- 博客(120)
- 收藏
- 关注
原创 Netlogon漏洞复现
Netlogon这个漏洞很特别,只要是内网非域环境下,能访问到域控就能直接打。影响的windows版本也很广,从win08到win19。Netlogon攻击的思路poc探测→重置密码→空密码导出域内hash→利用域管hash登陆→取出3个save文件→取出MACHINE.ACC值→恢复密码攻击路线如下:挂上代理之后,通过信息收集获取内网主机1.1.1.20通过端口扫描发现,该主机开放了88端口和53端口,一般域控都会开启dns和88端口的krb协议,并且445端口中探测出来存在GOD域
2021-03-04 10:44:05 874 1
原创 ios低版本app成功砸壳之Clutch
前言如果ios9.0的版本允许下载安装且可以运行的app,就可以很轻松的用Clutch来砸壳,没有什么难度,可以直接砸。而且对于没有mac的学生党来说,也比较方便,windows就能解决问题了为什么砸壳?因为安服仔日常有个业务就是ios的app测试,有时候客户给的不是ipa文件,而是让你去appstore下载的app,但是AppStore基本都会给原来的app套上一层壳,这样子就没办法进行反编译或者程序完整性校验等等这些步骤。所以需要砸壳https://github.com/KJCrack
2021-01-16 14:57:51 1698
原创 ios高版本app成功砸壳之kali使用frida-ios-dump砸壳
前言从事渗透这个行业,我相信百分之九十的人都是安服仔,安服仔就是要什么都懂一点点但是又不精通,碰到了困难也没办法从底层的原理去解决,但是为了能在这个社会混上一口饭,安服仔永远都是那种最拼命的人,那种干劲是无敌的!所以凭借着打不死的心态,解决了所谓"不可能解决的问题"。所以可以相信我,跟着我的操作,保证你能成功砸的高版本ios app的ipa文件1、越狱的ios手机配置好对应的frida版本2、kali或者linux服务器,对应的egg文件放置在用户的目录下(解决python安装frida模块问题
2021-01-16 14:05:16 3822 7
原创 weblogic(CVE-2019-2725)漏洞复现
最近打攻防演练的时候碰到了这个漏洞,趁热打个铁复现一下漏洞这个漏洞对比shiro来说还是比较新鲜的,他是去年新出的一款漏洞,19年4月受影响版本Oracle WebLogic Server 10.*Oracle WebLogic Server 12.1.3影响组件:bea_wls9_async_response.warwsat.war 漏洞存在的页面:/_async/AsyncResponseServicepoc如下POST /_async/AsyncResponseServ
2020-12-16 10:45:16 9037 3
原创 Tomcat配置后不能访问webapp目录下页面和manager输入正确密码后还是无法访问正确页面的解决方法
1、修改config\web.xml中一个listings中 <param-value>true</param-value>2、html文件不能直接放到webapps下,需要在webapps下新建一个文件夹(英文的),然后把html文件放到这个文件夹下,再在浏览器地址栏输入路径就可以。manager输入正确密码后还是无法访问正确页面,需要在conf/tomcat-users.xml文件中添加manager和manager-gui的用户名和密码配置...
2020-11-22 21:37:27 1197
原创 关于3389远程时CredSSP加密数据库修正问题
有时候渗透内网打进去了流量转发到本地需要3389连进去的时候,账号密码都抓了,还是登陆不了3389,居然是这个问题,CredSSP加密数据库修正咨询了一番和查了一波百度,原来是本地问题。解决方法:先打开本地计算机策略→计算机配置→管理模板→凭据分配→加密数据库修正→已启用和易受攻击→应用、确定然后再连3389...
2020-11-15 20:29:16 831
原创 记一次对前端js加密的调试
很多时候登录框不再以明文的形式传输,这样就比较难对登录口进行暴力破解。前端加解密,首先看网络请求,一条一条的翻,然后看请求,看哪个url是会发生加密的。这里发现是Login!loginSystemhttp://c.biancheng.net/view/8015.html使用$.param()方法将数组或对象转化为字符串序列,以便用于 URL 查询字符串或 Ajax 请求。所以要对loginData进行搜索F12搜索loginData,一直往下搜索,发现了encrypt字眼,在23717行发现,
2020-11-12 09:35:55 1817
原创 Spring Data Rest 远程命令执行漏洞复现(CVE-2017-8046)
环境搭建好后直接访问,漏洞页面如下看到有/customers和/profile路径访问请求会发现响应包有json传值访问/customers和/profile路径访问json请求中给的路径构造pochttp://www.jackson-t.ca/runtime-exec-payloads.html先对想要执行的命令进行编码然后转ascii码转ascii直接写了个小脚本ch=str(input("请输入一串字符:"))a=[]for i in ch: print(i,"
2020-11-09 15:02:08 397
原创 Spring Security OAuth2 远程命令执行漏洞复现(CVE-2016-4977)
访问路径/oauth/authorize,会看到左上角有个绿色叶子的标志,一般都是spring或者springboot直接打poc,可以看到有el表达式注入的形式/oauth/authorize?response_type=${2*3}&client_id=acme&scope=openid&redirect_uri=http://test 如果要命令执行需要把执行结果带外才行,java的命令执行漏洞基本需要编码http://www.jackson-t.ca/runti
2020-11-09 14:55:59 1898
原创 phpstudy后门dll文件命令执行漏洞复现
一直安装了phpstudy这个玩意,但没想到这个集成工具还有后门漏洞,于是我一探究竟,环境启动查了下资料,漏洞版本和路径主要如下漏洞版本phpstudy 2016版php-5.4phpstudy 2018版php-5.2.17phpstudy 2018版php-5.4.45phpStudy2016路径php\php-5.2.17\ext\php_xmlrpc.dllphp\php-5.4.45\ext\php_xmlrpc.dllphpStudy2018路径PHPTutorial\
2020-11-08 13:30:34 3019
原创 信息收集之ICO
最近看到个文章https://blog.csdn.net/qq_36119192/article/details/105795647可以用shodan来搜索相同ico的站来扩大信息收集的效果甚至可以绕过cdn,ico其实就是指网页的图标例如话不多说,直接上手复现一波因为python脚本涉及到mmh3这个库,需要下载vcforpython27.msi这个文件https://www.microsoft.com/en-us/download/details.aspx?id=44266然后安装mmh
2020-11-02 19:58:00 944
原创 weblogic未授权访问命令执行复现(cve-2020-14882)
最近的weblogic漏洞很火,直接上手复现一波。也踩了很多坑,比如用docker搭建环境的时候,用不回显payload的话,如何执行命令(所以用有回显的payload是最舒服的最直观的)漏洞版本主要影响到Oracle WebLogic Server版本10.3.6.0,12.1.3.0,12.2.1.3,12.2.1.4,14.1.1.0。版本12.2.1.3先执行下现有的payload,可以直接未授权面板ip/console/images/%252E%252E%252Fconsole.p
2020-11-01 00:20:48 4702 1
原创 Pystinger上线不出网机器
实战拿shell后发现,这个机器ping不通外网,没有办法走网络层协议,所以需要搭建不出网隧道,但经过实验,建议最好是php环境会比较稳定。同样操作jsp环境下问题居多相关介绍Kali作vps 192.168.201.129 目标win7:192.168.201.132目前拿下win7 shell上传对应的Pystinger webshell文件并成功访问然后将 stinger_server.exe上传到目标服务器 ,执行如下命令:start stinger_server.exe
2020-10-26 20:39:10 2143
原创 docker逃逸的简单思路笔记
判断shell是不是在docker容器里边?一般docker容器的shell都会带上上一串英文和数字(阿里云服务器也会),并且一些常见的命令并不能执行。如下Docker容器才有的命令:root@d2c06d8f5809:/# ls -alh /.dockerenvroot@d2c06d8f5809:~# cat /proc/1/cgroup正常服务器不在docker容器:Docker逃逸思路:查看docker容器ip通过循环ping找到宿主机的IP,可以得到宿主机ip为1
2020-10-25 17:34:18 466
原创 GPP漏洞利用(组策略学习)
本地组策略提权只要把cs的木马放到本地组策略编译器中,只要机器重启就能上线cs,并且是system权限把木马上传在C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup直接gpedit.msc打开本地组策略编译器,并把木马添加在启动项中,应用保存。电脑重启后,木马以system权限上线获取域组策略的凭据创建组织单位aufeng123,将需要下发策略的用户移动到此单位。此时对aufeng123组进行组策略下发,该组里的用户都会被执行
2020-10-22 17:06:34 1525
原创 cs利用smb上线内网不出网主机
实战中打入内网经常会碰到内网中存在不出网的主机。实验win7通外网也和域内不出网主机相通,域内不出网主机ip10.0.0.3前提该出网主机已经被成功拿下。利用这个机子作为中间人,创建一个listen,Name这里我设置为smb1。选择 Attacks->Packages->Windows Executable(Stageless),生成exe、dll木马文件都可以生成的beacon.exe木马文件。并将该木马文件上传至目标主机,这里我同时上传了PsExec.exe工具进行一
2020-10-21 10:48:51 2924
原创 域内用户枚举和密码喷射浅析
由于Kerberos本身是一种基于身份认证的协议,所以也可对进行暴力破解或用户名枚举,并且不需要域用户下,只要攻击者所控的机器可以与域控的KDC正常通信即可(可以ping通)实验我这里实验主要是域控administrator、域成员af、还有一台非域机。nmap -p 88 --script krb5-enum-users --script-args krb5-enum-users.realm='aufeng.com',userdb=C:\Users\ou\Desktop\user.txt 10.0
2020-10-18 23:03:55 1269
原创 Powershell的学习笔记
Powershell的优点1、PowerShell可以用来管理活动目录2、Windows7以上的操作系统默认安装3、很多杀毒软件检测不到PowerShell的活动4、可以从另外一个系统中下载PowerShell脚本并执行5、cmd通常会被杀毒软件阻止运行,而PowerShell不会6、PowerShell无须写到磁盘中,它可以直接在内存中运行。Powershell的执行策略Powershell有个安全策略,默认情况下,这个执行策略会被设置受限。Get-ExecutionPolicy命令可
2020-10-16 14:24:13 4820
原创 Java反射的学习笔记
什么是java反射大白话讲就是反向获取class中各种对象的信息、例如成员变量、方法、构造方法、包等等信息图片来自:获得到类的字节码有3种方式要想反射,首先第一步就是得到类的字节码,获得到类的字节码有3种方式1、Student stu1 = new Student();//这一new 产生一个Student对象,一个Class对象。Class stuClass = stu1.getClass();//获取Class对象2、Class stuClass2 = Student.class
2020-10-08 13:28:39 241 1
原创 Java命令执行代码
通过执行Runtime.getRuntime().exec()函数执行 calc.exe 命令package first;public class RCE2 { public static void main(String[] args) { String command1 = "calc.exe"; try { Process process = Runtime.getRuntime().exec(command1); process.waitFor(); }catch(Except
2020-10-07 13:08:01 1100
原创 springmvc的创建和学习
使用idea搭一个简单的springmvc,中间踩了很多的坑,这个星期一直在搞java,感觉渗透的手感也开始生疏了,希望自己能一直保持进步的状态的,每天都进步一点点,java审计注定会走很多弯路,学代码是很枯燥的,要沉下心来,不要浮躁,希望自己能不忘初心一直保持学习的劲头通过IDEA新建Spring MVC项目配置tomcat运行web服务添加Controller配置xml文件视图定位失败篇SpringMVC常用注解通过IDEA新建Spring MVC项目创建一个springmvc项目
2020-09-25 09:35:23 208
原创 servlet SQL注入的java审计
刚入门学习java审计,注定要走很多弯路,但希望能坚持下来从容易到难,一步步的成长。这篇文章是基于panda 师傅的文章来学习的,https://xz.aliyun.com/t/6872?accounttraceid=80830b9ba7504847b13dec404f34658aspsf环境搭建首先要把servlet的sql注入项目导入idea,sql 测试源码:https://github.com/cn-panda/JavaCodeAudit启动mysql添加数据库和对应的数据,直接把数据
2020-09-20 20:00:07 383
原创 Java Servlet创建和学习
前言最近学java审计,想了解java web开发基础,所以想先从servlet,体验下纯java web的开发所需环境Jdk 1.8Tomcat 8.5IDEAIDEA中Javaweb 创建过程总结大概如下5点1.创建Project项目2.WEB-INF下创建classes和lib目录3.Project Structure中把两个path修改成classes的目录,并且Dependencies中设置Jar Direcotry4.配置 tomcat,在Deployment中设置w
2020-09-18 11:58:27 482
原创 app服务端抓包方法
普通情况手机和burp同一个网段,然后手机导入了burp证书,需要把car改成cer,电脑设置成自己的ip手机处设置成电脑的代理名和端口电脑就可以抓取流量了如果还抓取不了流量,可以尝试关闭防火墙,然后再对网页抓包,看看能不能抓到流量抓不到包的情况Xposed+JustTrustMe使用夜神模拟器+root手机权限+xposed框架使用360超级root管理工具 下载 http://www.jisuxz.com/down/28590.html#download手机root掉之后
2020-09-03 13:56:41 1616
原创 Jboss 5.x/6.x admin-Console后台部署war包Getshell
Jboss 5.x/6.x版本不能使用jmx Console部署war包,但可以用administrator Console部署,Jboss 4.0部署war包getshell(点击)使用账号密码登录后台登录进admin-console后台后,点击Web Application(WAR)s ,然后Add a new resource然后上传本地部署好的war包上传成功后可以看到自己部署的war包然后防问war包/生成的木马脚本名(因为当时是用shell.jsp生成的aufeng.war
2020-08-31 14:27:12 2371
原创 Jboss 4.x版本jmx-console控制台弱口令getshell
总结:1.发现jboss4.0,尝试弱口令,成功2.直接访问ip/jmx-console/HtmlAdaptor?action=inspectMBean&name=jboss.deployment%3Atype%3DDeploymentScanner%2Cflavor%3DURL3.void addurl中的Param Value中插入公网部署好的war包4.返回第二步,并点击apply changes5.查看jmx-console目录下如果有部署war包的名字证明上传成功6.ip/wa
2020-08-31 11:33:28 2741
原创 JBoss JMXInvokerServlet 反序列化漏洞(CVE-2015-7501和CVE-2017-12149)
JBoss在 /invoker/JMXInvokerServlet 请求中读取了用户传入的对象,然后我们可以利用 Apache Commons Collections 中的 Gadget 执行任意代码。CVE-2017-12149适用JBoss版本:5.x / 6.x踩坑提醒:生成的ser文件最好在linux系统操作,windows会出现各种错误,甚至shell反弹不回来。步骤:发现漏洞指纹→反弹shell进行编码→用ysoserial把编码好的反弹shell生ser文件→启动监听→用curl或
2020-08-29 18:50:18 5314 1
原创 Tomcat PUT方法任意写文件漏洞(CVE-2017-12615)
当 Tomcat启用了HTTP PUT请求方法并且将 readonly 初始化参数由默认值设置为 false,就能执行任意文件写入漏洞Tomcat 7.x版本内web.xml配置文件内默认配置无readonly参数,需要手工添加,所以默认配置条件下不受此漏洞影响。配置文件为 \conf\web.xml利用vulhub搭建漏洞环境 目录为tomcat/CVE-2017-12615 环境启动成功直接构造如下pocPUT /shell1.jsp/ HTTP/1.1Host:目标ipAccep
2020-08-18 23:30:37 1654
原创 Fastjson1.2.47版本远程命令执行漏洞
我的一个好朋友和我说,他在淘宝挖到fastjson命令执行,获得了一万奖金。我虽然是个学渣,也不太懂java,但起码以后碰到了,要知道这个玩意,并且要知道这个玩意如何挖掘。话不多说,开始复现之路。环境攻击机ip 192.168.10.144 漏洞环境ip 192.168.10.158攻击的步骤:1.Exploit.exp需要进行javac编译2 所有用的工具和编译后的包要在同一目录,然后在该目录启动http服务和启动一个RMI服务器,监听9999端。其中RMI服务marshalsec
2020-07-20 23:39:32 3884 3
原创 Tomcat页面弱口令war包上传Getshell
思路burpsuit对tomcat进行弱口令爆破→利用弱口令进入tomcat管理页面→制作war包上传getshell在vulhub路径/vulhub/tomcat/tomcat8中启动tomcat环境Tomcat默认页面登录管理在manager/html路径下启动burpsuit抓包进行弱口令爆破对Basic后面那一段base64进行解码发现是这样的一个格式 账号:密码发送至爆破处然后再选择encode编码阿里云搭建漏洞环境跑爆破居然会ban掉自己ip。。。只能从虚拟机来
2020-07-19 12:23:54 3098
原创 Apache Flink任意jar包上传漏洞复现
这个漏洞也是我在参加攻防演练的时候碰到的,这个Apache Flink文档搭建好后一般都会在8081端口映射出来。漏洞环境主要的影响版本<= 1.9.1攻击机ip 192.168.10.144 漏洞环境ip 192.168.10.158Apache Flink的下载地址https://www.apache.org/dyn/closer.lua/flink/flink-1.9.1/flink-1.9.1-bin-scala_2.11.tgz安装解压好后,来到bin目录下启动文件然后
2020-07-18 15:55:16 545
原创 最近碰到的未授权访问漏洞(小总结)
没有研究的太深,只是一些简单验证是否存在未授权访问漏洞的方法。zookeeper 2181端口ZooKeeper 是一个分布式的开放源码的分布式应用程序协调服务,ZooKeeper 默认开启在 2181 端口在未进行任何访问控制的情况下攻击者可通过执行 envi 命令获得系统大量的敏感信息包括系统名称Java 环境,任意用户在网络可达的情况下进行为未授权访问并读取数据甚至 kill 服务echo envi|nc ip 2181其中envi可以换stat ruok reqs dumpRsyn
2020-07-12 17:31:22 2899
原创 记一次简单的内网渗透
起因本人这次实验过程回公司后连wifi已经相当于进入内网环境→对目标进行端口扫描→存在高危端口139、445(永恒之蓝)、3389(19年RDP)→poc验证存在漏洞并用msf打exp,只成功了一次→对成功的一次把握住机会对222主机添加了账号密码并提升为管理员权限→因为发烧去不了公司,罗哥给了我跳板机→利用跳板机代理流量→访问222机子,下载mimikatz抓取密码→登录到222机子的域身份→发现是域管→用哈希传递、psexec横向连接到域控→清理痕迹。和目标机同一局域网Nmap对内网ip 19
2020-06-18 21:26:01 1475
原创 dns隧道之dnscat2(无域名操作)
如果主机可以解析域名,或者通过ping来指向IP,那么也可以尝试通过DNS协议传输内部网的通信。先留个坑,因为没有域名所以用ip作为实验,知道操作的一个过程,后面继续完善环境准备server端(攻击端ip:192.168.10.144):root@kali:~# apt-get updateroot@kali:~# apt-get -y install ruby-dev git make g++root@kali:~# gem install bundlerroot@kali:~# git c
2020-06-10 09:39:21 1750
原创 ssh隐蔽隧道之动态转发
环境情况攻击ip 192.168.10.144受害机 双网卡 192.168.10.158 内网ip 10.0.0.5Win3 只有内网10.0.0.2攻击机是访问不了win3的。但是攻击机可以和受害机互ping(假设nat作公网),攻击机内网段可以访问win3的web服务Win03架设的web页面内容现在假设攻击机知道受害机用户名和密码,并进行ssh的动态转发root@kali:~# ssh -CfNg -D 7000 root@192.168.10.158然后攻击机在流量器配置s
2020-06-08 22:30:54 554
原创 ssh登录失败 Permission denied, please try again
如果ssh进行登录的时候,密码正确但就是登不上去,出现了以下情况连接不上Permission denied, please try again进入以下命令行,寻找PermitRootLogin 把参数改为yesroot@kali:~# vi /etc/ssh/sshd_config然后重启一下sshroot@kali:~# service sshd restart连接成功!...
2020-06-07 17:46:02 15108 2
原创 ICMPSH的学习ICMP反弹shell
ICMP隧道最常见的ping命令就是利用的ICMP协议,使用该协议反弹shell,两台机器不需要开放端口,ICMP隧道简单好用。实验环境Kali 192.168.10.144 win7 192.168.10.129kali安装好icmpsh工具root@kali:~# git clone https://github.com/inquisb/icmpsh.git安装icmpsh的依赖包root@kali:~# apt-get install python-impacket执行之前最重要
2020-06-04 08:37:36 1406
原创 内网转发之Netsh端口转发的使用学习
Netsh是什么netsh(Network Shell) 是一个windows系统本身提供的功能强大的网络配置命令行工具。自WindowsXP开始,Windows中就内置网络端口转发的功能。任何传入到本地端口的TCP连接(IPv4或IPv6)都可以被重定向到另一个本地端口,或远程计算机上的端口,并且系统不需要有一个专门用于侦听该端口的服务。现在搭配好一个简单模拟内网的环境(简单的搭配过程),nat假设一个外网,lan作一个内网Win10 192.168.10.1 win7双网卡 nat 192.
2020-06-02 08:20:28 2311
原创 EarthWorm结合proxifier的使用学习
拿下一个目标机器的web权限后,如何在本机就可以通过这台被拿下webshell的机器访问内网的其他主机的端口服务呢?拿下一个shell后,想要访问这个shell主机的其他内网机器的服务,可以用earthworm作为一个流量转发,把ew对应的系统文件上传到这台有shell的主机进行正向或者反向的代理配置。使得攻击机可以通过这台有shell的主机在本地就可以访问目标内网其他机器Earthworm是什么网穿透神器 EarthWorm,(简称 EW) 是一套轻量便携且功能强大的网络穿透工具,基于标准 C
2020-05-31 14:52:14 1885 2
原创 内网转发之reGeorg结合proxychains代理链(HTTP隧道)
reGeorg和端口转发是什么reGeorg是用 python 写的利用Web进行代理的工具,流量只通过 http 传输,也就是http隧道。内网端口转发主要是把内网服务器的端口通过http/https隧道转发到本机,形成一个回路。用于目标服务器在内网或做了端口策略的情况下连接目标服务器内部开放端口。比如说攻击机拿下win7主机的一个web服务器权限,探测到内网存在其他的机器。所以要用内网转发的一些技术,使得我们自己的攻击机可以直接访问与操作内网中的其他机器。配置一个简单的内网环境Win10
2020-05-26 21:54:58 2761
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人