- 博客(328)
- 收藏
- 关注
原创 内网隧道——内网探测出网
(Internet Control Message Protocol)是一种面向无连接的协议,属于网络层的协议,用于检测网络通信故障和实现链路追踪。(1)ping命令经常用于测试网络连通性,由于该命令是基于ICMP协议来实现的,因此Ping是ICMP出网测试中最常用的命令。返回如下图信息,即证明ICMP协议出网探测成功。(2)tracert 命令命令是Windows中用来跟踪路由的命令,它依靠ICMP协议实现,在ICMP出网测试中只需要使用Tracert命令跟踪下目标地址即可。获得下图的返回信息,即证
2024-07-22 09:26:52
283
原创 内网隧道——隧道技术基础
正向连接就是受控端主机监听一个端口,由控制端主机主动去连接受控端主机的过程,适用于受控端主机具有公网IP的情况。简单来说,就是被攻击的机器监听一个端口,攻击机主动去连接被攻击机监听的端口。使用MSF生成一个win7的正向木马:MSF首先设置监听器,再在受害机上运行,成功连接正向shell。反向连接指的是攻击机监听一个端口,被攻击机反向连接攻击机的过程。使用MSF生成一个win7的反向木马:MSF首先设置监听器,再在受害机上运行,成功连接反弹shell。端口转发是网络地址转换(NAT)的一种
2024-07-20 09:24:33
783
原创 内网信息收集——用户凭据窃取
用户输入密码登录时,用户输入的明文密码会被转化为hash,然后再与SAM文件中的hash值对比,若相同,则认证成功。,一个用于Windows环境的凭据提取PowerShell模块,能解密LSA和DPAPI存储的敏感信息,以及捕获Wdigest明文密码。在目标主机上导出SAM和SYSTEM文件,因为系统在运行时,这两个文件被锁定,可以使用。读取SAM文件中保存的用户登录凭证,可以导出当前系统中所有本地用户的hash。在windows中,SAM文件是windows用户的账户数据库,位于系统的。
2024-07-14 20:00:30
857
1
原创 内网信息收集——MSF信息收集&浏览器记录&配置文件敏感信息
域控:windows server 2008域内机器:win7攻击机:kali就是红日靶场(一)的虚拟机。
2024-07-14 16:13:48
376
原创 内网信息收集——基本信息收集
一般情况下,一个域的用户只能访问本域内的资源,无法访问其他域的资源,而要想不同域之间实现互访就需要建立信任关系。查看当前主机的操作系统信息,包括当前主机的主机名、操作系统版本、系统目录、所处的工作站(域或工作组)、各网卡信息、安装的补丁信息等。,查看当前主机的端口连接情况,包括当前主机的TCP、UDP等端口监听或开放状况,以及当前主机与网络中其他主机建立的连接情况。,查看当前主机与其他主机远程建立的网络共享连接。,查看当前主机与所连接的客户端主机之间的会话。,查看当前主机开启的共享列表。
2024-07-13 11:41:33
869
原创 服务攻防——中间件Jboss
JBoss是一个基于J2EE的开发源代码的应用服务器,一般与Tomcat或Jetty绑定使用。默认端口:8080、9990。
2024-07-09 09:47:05
1140
1
原创 Vulhub——struct2
Struts2框架,用于开发Java EE网络应用程序的开放源代码网页应用程序架构。Struts2是一个基于MVC设计思路的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中(Model负责数据维护,包括数据和业务逻辑(Action),View负责向用户呈现数据(Result),Controller通过代码控制),Struts2作为控制器来建立模型与视图的数据交互。Struct2是一个Java网站框架。
2024-07-03 15:10:27
1312
原创 安鸾学院靶场——安全基础
后门端口,直接执行系统命令。注意:10021端口上ftp的后门端口为16200。添加完后,根据icon,可以看出这是一个python打包成的exe程序。看wp是由web.zip文件的,但是这里没有,所以搞不定了。下载提供的flag.zip和wordlist.txt,使用。:在vsftpd 2.3.4版本中,在登录输入用户名时输入。的返回包,可以拿到包含flag的txt文件。九阴真经上卷找不到,似乎被删了,只有下卷。类似于笑脸的符号,会导致服务处理开启。flag在whalwl数据库中。
2024-06-13 17:26:36
1238
原创 Dvws靶场
发现一个SOAP服务。在SOAP中,简单来说,wsdl是一个接口文档,用来说明接口干什么;soap则是传输协议。在登录的时候,服务器会返回一个admin参数,来指示该用户是不是admin用户。登录的时候,会发现当前用户的admin参数变为了true,可以打开。看到api接口中出现linux命令后,可以尝试执行linux命令。可以看到这是一个用于用户名查询的API接口。,就可以访问到刚刚创建的note。在注册的时候给一个admin参数。时,会跳转,这里应该是做了鉴权。:就是可以通过对象进行访问。
2024-06-06 15:08:51
479
1
原创 65、API攻防——接口安全&WebPack&REST&SOAP&WSDL&WebService
webpack:一个用于javascript应用程序的静态模块打包工具。有些网站数据传输使用js进行数据传输,也就是ajax异步请求。,运行swagger-hack2.0.py,主要关注状态码为200的请求。工具:Soap UI、ReadyAPI、Postman。:java中第三方接口工具,用于调试接口。
2024-06-05 15:21:41
527
原创 burp爆破——带token、识别验证码
【burp/Setting】——【sessions】——【Macros Add】添加宏。添加规则,【add-Run a post-request macro】添加【session handing rules】——【Add】选择工具范围和URL范围(在指定的URL中更改token值)。burp抓取数据包,可以发现携带token。找到请求token的数据包,并点击【OK】填写参数名称,选中token值。添加payload之后再爆破。
2024-05-30 16:39:46
348
原创 vulhub——Aria2、bash、catic
在评估某些构造的环境变量时存在安全漏洞,向环境变量值内的函数定义后添加多余的字符串会触发此漏洞,攻击者可利用此漏洞改变或绕过环境限制,以执行shell命令。Aria2是一个命令行下轻量级、多协议、多来源的下载工具(支持 HTTP/HTTPS、FTP、BitTorrent、Metalink),内建XML-RPC和JSON-RPC接口。在有权限的情况下,我们可以使用RPC接口来操作aria2来下载文件,其中safe.cgi是最新版bash生成的页面,victim.cgi是bash4.3生成的页面。
2024-05-23 11:53:29
988
原创 Vulhub——CAS 4.1、AppWeb、apisix
他们没有经过droplet框架的权限验证,导致未授权的攻击者可以导出、导入当前网关的所有配置项,包括路由、服务、脚本等。他使用C/C++来编写,能够运行在几乎先进所有流行的操作系统上。Apache APISIX是一个动态、实时、高性能API网关,而Apache APISIX Dashboard是一个配套的前端面板。,对于digest和form两种认证方式,如果用户传入的密码为null(也就是没有传递密码参数),appweb将因为一个逻辑错误导致直接认证成功,并返回session。,可见需要用户名和密码。
2024-05-22 17:04:08
1014
原创 Vulhub——Airflow
Apache Airflow是一款开源的,分布式任务调度框架。,如果攻击者控制了Celery的消息中间件(如Redis/RabbitMQ),将可以通过控制消息,在Worker进程中执行任意命令。成功绕过登录检测,但是此时cookie值发生了改变,就是不是我们生成的那个cookie了。中存在一处命令注入漏洞,未授权的访问者可以通过这个漏洞在Worker中执行任意命令。,即使开启了认证,攻击者也可以通过一个默认密钥来绕过登录,伪造任意用户。来执行任意命令,参数为命令执行中所需要的数组。这个小脚本来执行命令。
2024-05-22 15:57:48
465
原创 Vulhub——adminer
Adminer是一个PHP编写的开源数据库管理工具,支持MySQL、MariaDB、PostgreSQL、SQLite、MS SQL、Oracle、Elasticsearch、MongoDB等数据库。Adminer是一个PHP编写的开源数据库管理工具,支持MySQL、MariaDB、PostgreSQL、SQLite、MS SQL、Oracle、Elasticsearch、MongoDB等数据库。在Adminer登录页面中填写恶意服务地址和用户名。,即可查看到Adminer的登录页面。
2024-05-22 14:33:16
525
原创 vulhub——ActiveMQ漏洞
所以,只需要写入一个文件,然后使用MOVE请求将其移动到任意位置,造成任意文件写入漏洞。允许具有代理网络访问权限的远程攻击者“通过操纵OpenWire协议中的序列化类类型来运行任意shell命令,从而使代理实例化类路径上的任何类”,问题的根本原因是不安全的反序列化。默认的ActiveMQ账号密码均为admin,首先访问。在没有密码的情况下,我们可以诱导管理员访问我们的链接以触发,或者伪装成其他合法服务需要的消息,等待客户端访问的时候触发。:程序没有限制可在代理中序列化的类,远程攻击者可借助特制的序列化的。
2024-05-22 11:10:41
1131
原创 域渗透之PTT横向攻击
这个补丁,就可以用MS14-068进行横向移动。查看当前用户的SID,SID具有唯一性。直接不进入mimikatz运行。有票据后,就可以直接连服务端了。
2024-05-20 14:30:50
209
原创 域渗透之PTH横向攻击
命令行也可以连接RDP,上述指令可能连不成功。直接连接肯定不行,因为没有凭据。输入IP就行,不用输入密码。前提:RDP明文连接过。
2024-05-20 10:58:11
198
原创 域渗透之kerberos认证讲解
用微软账号登录计算机,微软账密码存在微软服务器上。本地账号则存在SAM数据库中。win 11后强制使用微软账户登录。windows 2003以后的系统加入域,默认使用kerberos协议进行认证。本地用户使用本地登录流程进行认证;域用户走网络登录流程进行认证。协议主要用于windows机器之间的文件共享、打印机共享。NTLM V1和NTLM V2最显著的区别就是。与加密算法不同,共同点就是加密的原料都是。FTP协议密码是明文传输。linux下文件共享。UNC用于共享文件。
2024-05-20 10:03:31
492
原创 域渗透之smb进行明文或hash传递
打了补丁,关了明文密码显示之后,更改当前cmd使用的编码格式。准报错,不支持hash。显示乱码的话,需要使用。就抓不到明文密码了。
2024-05-17 10:39:26
199
原创 域渗透之明文传递&hash传递
在拿下一台内网主机后,通过本地信息搜集收集用户凭证等信息后,如何横向渗透拿下更多的主机?这里提供一条思路:在已知目标系统的用户明文密码的基础上,直接可以在远程主机上执行命令。mimikaze抓取windows用户名、密码。建立IPC常见的错误代码。
2024-05-16 16:36:26
387
原创 域信息收集
不同,但是有IP地址,说明机器存活,但是可能有防火墙,防火墙反正ping。加入域后,域内机器可以通过域名(短域名可以,完整域名也可以)进行通信。是基于powershell的,win7以后才能用。一定要以管理员身份运行。显示出来的域名,就是域控的域名,可以直接。收集版本、补丁、服务、任务、防护等。,创建的文件中都会有相应的属性。一般DNS服务是安装在域控上的。每个用户登录成功,都会有一个。,需要root权限。,可以收集Xshell凭据。是用来获取系统密码的,CS插件:Fscan。
2024-05-16 11:31:44
499
原创 搭建域环境
windows server 2008是基于windows vista开发的,windows server 2008 r2是基于Win 7开发的。首先用本地账号登录新的机器,然后更改其DNS服务器地址为域控IP。这里设置的是域管理员的密码,和本机管理员密码不一样。(如果当前域控不是静态IP,安装过程将会报错)(域环境下,DNS服务是安装在域控上的。查看当前域环境中的用户,域用户都会存放在。或者在命令行中安装域服务,命令。,再输入域管理员用户名和密码。关于局域网下的网关IP,就是创建一个域环境。
2024-05-15 11:54:29
326
原创 Grafana(CVE-2021-43798)、Apache Druid 代码执行漏洞
Apache Druid是一个开源的分布式数据存储,它包括执行嵌入在各种类型请求中的用户提供的JavaScript代码的能力。Grafana是一个系统监测工具。
2024-05-14 16:26:00
240
原创 Gitlab、Redis、Nacos、Apache Shiro、Gitlab、weblogic相关漏洞
weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下,名为。Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。是base_domain的全局配置文件,所以乱七八糟的内容比较多,找到其中的。点击我们刚刚部署的war包,然后启动即可获取反弹shell。,用户名为weblogic,密码为Oracle@123。,用户名为root,密码为vulhub123456。,实现任意文件下载。
2024-05-14 15:56:42
840
原创 geoserver SQL注入、Think PHP5 SQL注入、spring命令注入
介绍:是一个开源的地理信息系统(GIS)服务器,用于发布、共享和管理地理空间数据和地图服务。它是一个基于Java的应用程序。访问payload:是php开发框架。payload1:thinkphp_gui_tools也是可以检测出该SQL注入漏洞的。spring是一个java框架~直接访问是一个错误页面。直接发送下面的数据包:
2024-05-11 17:26:00
399
原创 weblogic(CVE-2017-10271、CVE-2020-14882)、Jenkins(CVE-2018-1000861)、JBoss 5.x/6.x 反序列化漏洞
简介:的组件对外提供服务,其中使用了来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。kali开启4444端口:docker部署好环境后,直接访问,会出现404界面,表示weblogic已成功部署。直接发送下面的数据包:jboss是一款java中间件,docker部署成功后,访问编写反弹shell编码网址:runtime-exec序列化数据生成简要介绍:Jenkins可以被认为是一个Java中间件,它是用Java编写的开源软件,使用Java Servlet容
2024-05-11 14:33:52
348
2
原创 fastjson_1.2.24和Shiro(CVE-2016-4437)漏洞复现
如果用户勾选记住密码,那么在请求中会携带cookie,并且将加密信息存放在cookie的rememberMe字段里面,在服务端收到请求对rememberMe值,先base64解码然后AES解密再反序列化,这个加密过程如果我们知道AES加密的密钥,那么我们把用户信息替换成恶意命令,就导致了反序列化RCE漏洞。时,需要进行 base64 编码绕过检测(不编码,执行不了,已经试过了~):勾选记住密码选项后,点击登录,抓包,观察请求包中是否有。注意:这里java版本要用java8。,加一个环境变量,就可以用了~
2024-05-11 10:32:05
831
1
原创 Vulstack红队评估(一)
NTLM Hash是微软为了提高安全性的同时保证兼容性而设计的散列加密算法,NTLM Hash是基于MD4加密算法进行加密的。个人版从以后,服务器版从以后,windows操作系统的认证方式均为NTLM Hash。windows操作系统通常使用两种方法对用户的明文密码进行加密处理,一部分为LM-Hash,另一部分为NTLM-Hash。为了解决LM加密和身份验证方案中固有的安全弱点,微软于1993年在Windows NT 3.1中引入NTLM协议。
2024-05-09 17:25:33
957
原创 ctfshow——SSRF
(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)
2024-05-02 17:16:24
953
1
原创 ctfshow——JWT
抓个包,可以看到cookie部分使用JWT(Json Web Token)。先用base64将JWT进行解密,修改为admin,再用base64进行加密。再访问这里使用了HS256加密方式,方法:alg字段改为,sub改为,对每一段分别用base64进行加密,然后用拼接起来,注意最后一个点不能少。都可以用jwt-cracker进行爆破,获取密匙。或者用脚本跑。web 349——非对称加密算法RS256私钥泄漏根据提示,大致意思就是访问,服务器会使用RS256算法私钥加密一段字符串作为cookie
2024-05-01 18:19:08
934
原创 ctfshow——SQL注入
前者恒为真,如果and前面的语句有内容,则正常输出;后者恒为假,如果and前面的语句有内容,也不会输出。故,可以通过他们俩来判断SQL注入类型。查看页面源代码,发现一个js文件。访问该文件,会发现一个查询接口。一种方法是抓取数据包,让sqlmap跑数据包;不知道为啥这里%0c没有被过滤。的时候,需要使前面一条语句错误。伪造referer。这一关开始使用sqlmap。进行报错注入的时候,需要对。(+的url编码)替换。指定 sqlmap 以。参数指定要测试的网址,
2024-04-30 22:41:15
1352
2
原创 ctfshow——XSS
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为 XSS。恶意攻击者往 WEB 页面里插入恶意 HTML 代码,当用户浏览该页之时,嵌入其中 Web 里面的 HTML 代码会被执行,从而达到恶意攻击用户的特殊目的。
2024-04-24 10:36:07
1154
原创 linux提权——提权大赏
我的理解是:靶机的shell标准输入、输出、错误输出都与127.0.0.1:4444的输出建立了TCP连接,也就是说靶机shell所有的输出信息都会显示到监听127.0.0.1:4444的shell中,唯独没有解决从127.0.0.1:4444向靶机发送命令。文件中,每个用户的密码都是用一个特定的哈希函数加密的。查看当前系统的自动任务后,一方面可以定位定时脚本的位置,然后将shell写到定时脚本中,实现提权;时本来就是root权限,预先加载共享库shell.so时,也是以root用户的权限去加载的。
2024-04-20 18:59:48
915
原创 linux提权——Mysql UDF提权
UDF:user define fucntion,在mysql中,允许用户创建自定义函数,这些函数可以在SQL查询语句中使用,通过使用UDF,用户可以对数据库执行自定义操作。:生成位置无关代码,PIC(Position independent code),这种代码可以在内存中的任何位置执行,简单查看该EXP,在利用过程中,需要登陆到mysql数据库,新建表,在表中插入编译好的共享库,gcc编译的时候,不指定相关参数,直接接源文件,可能会有各种各样的报错。:仅仅编译源代码,不进行链接,通常生成.o文件。
2024-04-12 22:58:35
602
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人