- 博客(348)
- 收藏
- 关注
RSS订阅原创 401/403绕过
一般开发者会通过Nginx代理识别访问端IP限制对接口的访问,尝试使用。服务端一般使用Referer请求头识别访问来源。请求头包含了当前请求页面的来源页面的地址,基于扩展名,用于绕过403受限制的目录。等标头绕过Web服务器的限制。标头绕过Web服务器的限制。
2024-08-22 11:00:27
201
原创 Nacos历史漏洞复现(汇总)
这个漏洞其实可以说是CVE-2021-29442的更深层次利用,在上文中我们分析了,Derby未授权SQL注入利用的是/derby这个路由,但是限制了语句必须为select开头的即查询语句,而仅仅是查询语句就无法RCE。:nacos带有一个嵌入式的小型数据库derby,而在版本<=1.4.0的默认配置部署nacos的情况下,它无需认证即可被访问,并执行任意sql查询,导致敏感信息泄露。简单来说就是将远程服务器上的jar包导入数据库,就可以动态调用类中的static方法),也就是所谓组合拳RCE。
2024-08-18 12:59:59
1891
原创 Windows域权限维持——Kerberos协议
服务端收到由客户端发来的AP-REO请求后,会通过服务密钥对ST进行解密,并从中提取service sessionkey信息,同时就TGT的过期时间、Authenticator认证中的Client主体名和TGT中是否相同等信息对客户端进行校验。的认证请求,认证请求携带了通过客户端NTLM哈希加密的时间戳、用户名、主机IP,以及一些其他参数(如消息类型、版本号、协商选项等),作为认证请求的凭据。收到AS发来的响应包后,客户端会使用自己的NTLM哈希对两部分密文进行解密,得到用于与TGS通信的密码。
2024-08-12 11:39:27
753
原创 域凭证获取——DCSync
在一个大型网络中往往存在多台域控制器(DC),每台DC都需要保持最新的凭证,而保持最新凭证的方法就是在各个域控制器之间进行数据共享,共享用户凭证、安全描述符等域内变更信息。于是微软推出了目录复制服务,这个服务让域控制器可以在其他域控制器进行任何修改时进行更新。例如,DC1新增了一个名为test的域用户,那么DC2就可以通过该服务的自身同步功能同时更新test用户。DCSync就是伪装域控制器并使用函数来请求其他域控制器获取域内的用户凭证。DCSync攻击已经被集成到mimikatz中,在使用DCSync。
2024-08-06 09:03:36
816
原创 域凭据获取——利用NTDS.DIT获取windows域哈希
NTDS.DIT文件是域控制器的数据库文件,该文件作为AD的数据库,存储了AD的所有数据,包括域内的用户对象、组和组成员身份等信息,以及域内所有用户的凭据信息。该文件位于域控制器下的根目录下。NTDS.DIT文件与Windows主机中的SAM文件类似,不同点在于SAM文件中只存放本机的用户哈希,而NTDS.DIT文件中存放了所有域用户的哈希凭据。在windows中NTDS.DIT文件同样被Windows系统锁定,正常操作无法复制该文件,权限低于system的用户将无法读取。
2024-08-05 11:00:45
837
原创 内网权限维持——利用WMI进行权限维持
WMI(Windows Management Instrumentation,Windows管理规范)是windows提供的一种能够直接与系统进行交互的机制,旨在为系统中运行的各程序界定一套独立于环境的标准,允许系统中允许的程序相互交流系统的程序管理信息。WMI事件是Windows管理架构中的一部分,它可以监视应用程序的运行、响应系统和应用程序的事件。通过使用WMI事件,应用程序可以接收系统各类通知,并且在特定事件发生时采取相应的措施。例如,磁盘空间不足时可以通过WMI事件来发出警报等。
2024-08-04 16:34:52
524
原创 内网权限维持——映像劫持&CLR劫持
IFEO(,镜像文件执行选项)是windows系统的一个注册表项,路径为。在windows NT系统中,IFEO原本是为一些在默认系统环境中允许是可能引发错误的程序执行体提供特殊的环境设定。利用IFEO,开发人员能够在程序运行之前执行程序所配套的环境配置程序。
2024-08-04 12:03:42
789
原创 内网权限维持——利用windows注册表
windows自启动是指windows系统在启动时会自动允许一些程序或服务,这些程序要么是windows自带的,要么是用户安装的第三方程序。在注册表中,windows自启动程序或服务注意存储在。是windows系统的组件,用于处理与用户有关的各种行为,如扽古路、注销、在登陆时加在配置文件、锁定屏幕等。中,并执行下面命令,通过编辑注册表安装一个端口监视器。中放了一个计算器,注销后重新登录,也会弹计算器。下的注册表的修改下会应用于系统中的所有用户;下的注册表的修改只应用于当前用户。进程,以实现相应的功能。
2024-08-03 15:23:42
1015
原创 内网权限维持——创建影子账户
在windows中每个用户和组都会有一个独特的SID,而系统就是通过用户之间不同的SID来区分每个用户账户和组的。whoami /user # 查看当前用户的SIDSID的最后一部分为RID,在windows中,每新增一个组或用户,RID都会递增一位。wmic useraccount get name, sid # 查看系统中所有用户的SID在windows中,部分应用是根据当前会话用户的SID来判断用户权限的。也就是说,如果用户A的RID被替换为用户B的RID,那么用户A将有用户B的部分权限。
2024-08-03 11:22:31
545
原创 内网横向——常见系统传递攻击(1)
网络拓扑:攻击机kali IP:192.168.111.0跳板机win7 IP:192.168.111.128,192.168.52.143靶机win server 2008 IP:192.168.52.138。
2024-08-02 21:18:40
1006
原创 内网基础——Windows认证
整个NTLM协议的流程图如下(工作组环境):域环境下的NTLM认证又有所不同:域环境下,使用域用户登录远程主机,因为域用户的用户名密码保存在域控上,所有验证阶段是由域控进行response的对比。
2024-07-30 15:09:41
935
1
原创 内网横向——利用WMI进行内网横向
WMI(Windows Management Instrumentation,Windows管理规范)是一项核心的windows管理技术。从Windows 98开始,windows操作系统都支持WMI。用户可以通过WMI管理本地和远程计算机。Windows为远程传输WMI数据提供了两个可用的协议,即分布式组件对象模型()和windows远程管理(,WinRM),使得WMI对象的查询、事件注册、WMI类方法的执行和类的创建等都可以远程执行。
2024-07-28 23:11:13
691
原创 内网横向——远程桌面利用
网络拓扑:攻击机kali IP:192.168.111.0跳板机win7 IP:192.168.111.128,192.168.52.143靶机win server 2008 IP:192.168.52.138。
2024-07-27 22:12:21
414
原创 内网横向——利用系统服务
网络拓扑:攻击机kali IP:192.168.111.0跳板机win7 IP:192.168.111.128,192.168.52.143靶机win server 2008 IP:192.168.52.138。
2024-07-27 18:55:25
407
原创 内网横向——文件传输
网络拓扑:攻击机kali IP:192.168.111.0跳板机win7 IP:192.168.111.128,192.168.52.143靶机win server 2008 IP:192.168.52.138。
2024-07-27 12:25:57
798
原创 内网横向——计划任务
crond是linux下用来周期性的执行某种任务或等待处理某些事件的一个守护进程,与windows下的计划任务类似,当安装完成操作系统后,默认会安装此服务 工具,并且会自动启动crond进程,crond进程每分钟会定期检查是否有要执行的任务,如果有要执行的任务,则自动执行该任务。Linux下的任务调度分为两类,系统任务调度和用户任务调度。系统任务调度:系统周期性所要执行的工作,比如写缓存数据到硬盘、日志清理等。
2024-07-25 21:31:53
1042
原创 内网隧道——Venom(毒液)
Venom工具也被称为“毒液工具”,它是一款开源的多级代理工具,使用Go语言开发,支持多种平台。Venom可以将多个节点进行连接,并以节点为跳板构建多级代理搭建网络隧道,渗透测试人员可以使用Venom轻松地将网络流量代理到多层内网管理代理节点,利用"毒液"进行可视化网络拓扑、多级Socks5代理、多级端口转发、端口复用(Apache、Mysql等服务)、SSH隧道、交互式Shell、文件的上传和下载、节点间通信加密等。网络拓扑如下:攻击机kali IP:192.168.111.0。
2024-07-24 17:04:22
1000
原创 内网隧道——Earthworm(EW)
EW参数作用Ssocksd正向代理Rcsock反向代理客户端Rssocks反向代理服务端Lcx_slave一侧通过反弹方式连接代理请求方,另一侧连接代理提供主机Lcx_tran通过监听本地端口接收代理请求,并转发给代理提供主机Lcx_listen通过监听本地端口接收数据,并将其转交给目标网络会连的代理提供主机。
2024-07-24 12:41:29
742
原创 内网隧道——HTTP隧道
实验网络拓扑如下:攻击机kali IP:192.168.111.0跳板机win7 IP:192.168.111.128,192.168.52.143靶机win server 2008 IP:192.168.52.138攻击机与Web服务器彼此之间都可以进行直接通信,但是攻击机与靶机之间不能直接进行通信,。
2024-07-23 21:08:32
1417
1
原创 内网隧道——隧道利用方法
(2)在靶机(192.168.52.138)3389端口和跳板机(192.168.52.143)的6666端口之间搭建一条隧道,就能通过跳板机的8888端口连接内网的3389端口。(2)在kali上连接跳板机8888端口,lcx会将跳板机8888端口的流量转发到靶机(192.168.52.138)3389端口上。工具进行端口转发,在靶机和跳板机中搭建一条隧道,用攻击者电脑连接跳板机隧道端口,通过跳板机的端口,获取到内网靶机的远程桌面权限。注:通过MSF获取到的shell,是经过加密了的。
2024-07-23 15:39:14
797
原创 内网隧道——内网探测出网
(Internet Control Message Protocol)是一种面向无连接的协议,属于网络层的协议,用于检测网络通信故障和实现链路追踪。(1)ping命令经常用于测试网络连通性,由于该命令是基于ICMP协议来实现的,因此Ping是ICMP出网测试中最常用的命令。返回如下图信息,即证明ICMP协议出网探测成功。(2)tracert 命令命令是Windows中用来跟踪路由的命令,它依靠ICMP协议实现,在ICMP出网测试中只需要使用Tracert命令跟踪下目标地址即可。获得下图的返回信息,即证
2024-07-22 09:26:52
617
原创 内网隧道——隧道技术基础
正向连接就是受控端主机监听一个端口,由控制端主机主动去连接受控端主机的过程,适用于受控端主机具有公网IP的情况。简单来说,就是被攻击的机器监听一个端口,攻击机主动去连接被攻击机监听的端口。使用MSF生成一个win7的正向木马:MSF首先设置监听器,再在受害机上运行,成功连接正向shell。反向连接指的是攻击机监听一个端口,被攻击机反向连接攻击机的过程。使用MSF生成一个win7的反向木马:MSF首先设置监听器,再在受害机上运行,成功连接反弹shell。端口转发是网络地址转换(NAT)的一种
2024-07-20 09:24:33
1002
原创 凭据获取——windows单机凭据获取
在windows中,SAM文件是windows用户的账户数据库,位于系统的目录中,所有本地用户的用户名、密码hash等信息都存储在这个文件中。用户输入密码登录时,用户输入的明文密码会被转化为hash,然后再与SAM文件中的hash值对比,若相同,则认证成功。lsass.exe是windows的一个系统进程,用于实现系统的安全机制,主要用于本地安全和登录策略。在通常情况下,用户输入密码登录后,登录的域名、用户名和登录凭据等信息会存储在lsass.exe的进程空间中,用户的明文密码经过WDigest和。
2024-07-14 20:00:30
1167
1
原创 内网信息收集——MSF信息收集&浏览器记录&配置文件敏感信息
域控:windows server 2008域内机器:win7攻击机:kali就是红日靶场(一)的虚拟机。
2024-07-14 16:13:48
451
原创 内网信息收集——基本信息收集
一般情况下,一个域的用户只能访问本域内的资源,无法访问其他域的资源,而要想不同域之间实现互访就需要建立信任关系。查看当前主机的操作系统信息,包括当前主机的主机名、操作系统版本、系统目录、所处的工作站(域或工作组)、各网卡信息、安装的补丁信息等。,查看当前主机的端口连接情况,包括当前主机的TCP、UDP等端口监听或开放状况,以及当前主机与网络中其他主机建立的连接情况。,查看当前主机与其他主机远程建立的网络共享连接。,查看当前主机与所连接的客户端主机之间的会话。,查看当前主机开启的共享列表。
2024-07-13 11:41:33
1006
原创 服务攻防——中间件Jboss
JBoss是一个基于J2EE的开发源代码的应用服务器,一般与Tomcat或Jetty绑定使用。默认端口:8080、9990。
2024-07-09 09:47:05
1587
1
原创 Vulhub——struct2
Struts2框架,用于开发Java EE网络应用程序的开放源代码网页应用程序架构。Struts2是一个基于MVC设计思路的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中(Model负责数据维护,包括数据和业务逻辑(Action),View负责向用户呈现数据(Result),Controller通过代码控制),Struts2作为控制器来建立模型与视图的数据交互。Struct2是一个Java网站框架。
2024-07-03 15:10:27
1394
原创 安鸾学院靶场——安全基础
后门端口,直接执行系统命令。注意:10021端口上ftp的后门端口为16200。添加完后,根据icon,可以看出这是一个python打包成的exe程序。看wp是由web.zip文件的,但是这里没有,所以搞不定了。下载提供的flag.zip和wordlist.txt,使用。:在vsftpd 2.3.4版本中,在登录输入用户名时输入。的返回包,可以拿到包含flag的txt文件。九阴真经上卷找不到,似乎被删了,只有下卷。类似于笑脸的符号,会导致服务处理开启。flag在whalwl数据库中。
2024-06-13 17:26:36
1356
原创 Dvws靶场
发现一个SOAP服务。在SOAP中,简单来说,wsdl是一个接口文档,用来说明接口干什么;soap则是传输协议。在登录的时候,服务器会返回一个admin参数,来指示该用户是不是admin用户。登录的时候,会发现当前用户的admin参数变为了true,可以打开。看到api接口中出现linux命令后,可以尝试执行linux命令。可以看到这是一个用于用户名查询的API接口。,就可以访问到刚刚创建的note。在注册的时候给一个admin参数。时,会跳转,这里应该是做了鉴权。:就是可以通过对象进行访问。
2024-06-06 15:08:51
509
1
原创 65、API攻防——接口安全&WebPack&REST&SOAP&WSDL&WebService
webpack:一个用于javascript应用程序的静态模块打包工具。有些网站数据传输使用js进行数据传输,也就是ajax异步请求。,运行swagger-hack2.0.py,主要关注状态码为200的请求。工具:Soap UI、ReadyAPI、Postman。:java中第三方接口工具,用于调试接口。
2024-06-05 15:21:41
562
原创 burp爆破——带token、识别验证码
【burp/Setting】——【sessions】——【Macros Add】添加宏。添加规则,【add-Run a post-request macro】添加【session handing rules】——【Add】选择工具范围和URL范围(在指定的URL中更改token值)。burp抓取数据包,可以发现携带token。找到请求token的数据包,并点击【OK】填写参数名称,选中token值。添加payload之后再爆破。
2024-05-30 16:39:46
502
原创 vulhub——Aria2、bash、catic
在评估某些构造的环境变量时存在安全漏洞,向环境变量值内的函数定义后添加多余的字符串会触发此漏洞,攻击者可利用此漏洞改变或绕过环境限制,以执行shell命令。Aria2是一个命令行下轻量级、多协议、多来源的下载工具(支持 HTTP/HTTPS、FTP、BitTorrent、Metalink),内建XML-RPC和JSON-RPC接口。在有权限的情况下,我们可以使用RPC接口来操作aria2来下载文件,其中safe.cgi是最新版bash生成的页面,victim.cgi是bash4.3生成的页面。
2024-05-23 11:53:29
1023
原创 Vulhub——CAS 4.1、AppWeb、apisix
他们没有经过droplet框架的权限验证,导致未授权的攻击者可以导出、导入当前网关的所有配置项,包括路由、服务、脚本等。他使用C/C++来编写,能够运行在几乎先进所有流行的操作系统上。Apache APISIX是一个动态、实时、高性能API网关,而Apache APISIX Dashboard是一个配套的前端面板。,对于digest和form两种认证方式,如果用户传入的密码为null(也就是没有传递密码参数),appweb将因为一个逻辑错误导致直接认证成功,并返回session。,可见需要用户名和密码。
2024-05-22 17:04:08
1057
原创 Vulhub——Airflow
Apache Airflow是一款开源的,分布式任务调度框架。,如果攻击者控制了Celery的消息中间件(如Redis/RabbitMQ),将可以通过控制消息,在Worker进程中执行任意命令。成功绕过登录检测,但是此时cookie值发生了改变,就是不是我们生成的那个cookie了。中存在一处命令注入漏洞,未授权的访问者可以通过这个漏洞在Worker中执行任意命令。,即使开启了认证,攻击者也可以通过一个默认密钥来绕过登录,伪造任意用户。来执行任意命令,参数为命令执行中所需要的数组。这个小脚本来执行命令。
2024-05-22 15:57:48
504
原创 Vulhub——adminer
Adminer是一个PHP编写的开源数据库管理工具,支持MySQL、MariaDB、PostgreSQL、SQLite、MS SQL、Oracle、Elasticsearch、MongoDB等数据库。Adminer是一个PHP编写的开源数据库管理工具,支持MySQL、MariaDB、PostgreSQL、SQLite、MS SQL、Oracle、Elasticsearch、MongoDB等数据库。在Adminer登录页面中填写恶意服务地址和用户名。,即可查看到Adminer的登录页面。
2024-05-22 14:33:16
680
原创 vulhub——ActiveMQ漏洞
所以,只需要写入一个文件,然后使用MOVE请求将其移动到任意位置,造成任意文件写入漏洞。允许具有代理网络访问权限的远程攻击者“通过操纵OpenWire协议中的序列化类类型来运行任意shell命令,从而使代理实例化类路径上的任何类”,问题的根本原因是不安全的反序列化。默认的ActiveMQ账号密码均为admin,首先访问。在没有密码的情况下,我们可以诱导管理员访问我们的链接以触发,或者伪装成其他合法服务需要的消息,等待客户端访问的时候触发。:程序没有限制可在代理中序列化的类,远程攻击者可借助特制的序列化的。
2024-05-22 11:10:41
1246
原创 域渗透之PTT横向攻击
这个补丁,就可以用MS14-068进行横向移动。查看当前用户的SID,SID具有唯一性。直接不进入mimikatz运行。有票据后,就可以直接连服务端了。
2024-05-20 14:30:50
235
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人