- 博客(77)
- 收藏
- 关注
RSS订阅原创 基于Java Agent内存马
在 jdk 1.5 之后引入了 `java.lang.instrument` 包,该包提供了检测 java 程序的 Api,比如用于监控、收集性能信息、诊断问题,通过 `java.lang.instrument` 实现的工具我们称之为 Java Agent,Java Agent 支持两种方式进行加载:实现 premain 方法,在启动时进行加载 (该特性在 jdk 1.5 之后才有)实现 agentmain 方法,在启动后进行加载 (该特性在 jdk 1.6 之后才有)...
2022-06-06 20:53:11
2095
2
原创 基于Servlet-API型JAVA内存马(filter型、servlet型、listener型)
常规的木马实际写出落地后容易被检查出来,并且webshell被发现后也就导致我们的行动被发现,很容易造成木马被查杀、利用漏洞被修复,使我们的攻击变得更加艰难,所以内存马的出现与利用无疑是增强了隐蔽性,可以让我们的攻击更加稳定、持久Tomcat、filter、servlet、listener......
2022-06-03 17:21:38
2443
原创 weblogic反序列化之XMLDecoder
基于XML的weblogic反序列化漏洞紧跟上文,这篇来分析一下基于XMLweblogic反序列化漏洞,这里xml本身就是序列化对象,通过XMLDecoder进行反序列化解析(循环遍历XML数据并进行拼接处理),最终拼接出完整的恶意语句并执行,列出CVE:CVE-2017-3506、CVE-2017-10271、CVE-2019-2729、CVE-2019-2725,漏洞复现,断点分析,修复
2022-05-18 17:33:14
2008
原创 weblogic反序列化之T3协议(CVE-2015-4582)
基于T3协议的weblogic反序列化漏洞之前说过在weblogic里面其实反序列化漏洞利用中大致分为两种,一个是基于T3协议的反序列化漏洞,一个是基于XML的反序列化漏洞,这篇来分析一下基于T3协议的weblogic,列出几个基于T3协议具有代表性的CVE: CVE-2015-4582、CVE-2016-0638、CVE-2016-3510、CVE-2018-2628、CVE-2020-2555、CVE-2020-2883,每个cve的思路大致都是基于上几个漏洞的补丁进行的一个绕过,本来想逐个分析,这里
2022-05-12 21:46:42
4478
原创 利用nps(docker部署)实现隐藏ip
之前听过nps是在内网碰到不出网的时候可以实现内网穿透,最近听师傅说可以docker部署nps然后利用socks5实现隐藏ip(也就是访问ip变成了我们vps从而实现隐藏ip),所以实际搭建了一下。一开始我把nps放到vps把上npc放在我的主机上,但是发现代理出去的ip和地址还是我自己的,不知道是哪里出了问题,最后问了几个师傅才明白其实真正实现socks转发的是npc,而nps只是用来启一个web管理端的,最后把nps、npc都放在vps上后成功实现功能完成隐藏ip
2022-05-11 22:43:05
2947
原创 利用腾讯云函数搭建免费代理池
最近听师傅有提到云函数搭建代理池能实现代理功能来隐藏ip,原理是利用云函数可以对外发包的功能再配合vps上socks服务,这里记录一下搭建过程云函数是云计算厂商为企业和开发者们提供的无服务器执行环境,可在无需购买和管理服务器的情况下运行代码是实时文件处理和数据处理等场景下理想的计算平台。只需使用 SCF平台支持的语言编写核心代码并设置代码运行的条件,即可在某云基础设施上弹性、安全地运行代码。这里搭建主要分为三部分,vpn上SCFProxy搭建socks服务端、腾讯云上配置云函数、本地代理配置
2022-05-11 19:52:26
5638
2
原创 weblogic反序列化介绍及环境搭建
weblogic是一个常用的web中间件,它的反序列化漏洞也算是比较经典,而在weblogic里面其实反序列化漏洞大致分为两种,一个是基于T3协议的反序列化漏洞,一个是基于XML的反序列化漏洞,一个原因就是配置环境配了好长时间,这篇就当作专门介绍环境搭建了吧Cve-2017-3506Cve-2017-10271Cve-2019-2729Cve-2019-2725CVE-2015-4852CVE-2016-0638CVE-2016-3510CVE-2017-3248CVE-2018-2628CVE-20
2022-05-08 23:02:06
3795
4
原创 fastjson BCEL不出网打法
BasicDataSource如果目标服务器没有外网、无法反连,自然就用不了JdbcRowSetImpl利用链这种JNDI注入的利用方式,而TemplatesImpl利用链虽然原理上也是利用了 ClassLoader 动态加载恶意代码,但是需要开启Feature.SupportNonPublicField,并且实际应用中其实不多见,这里就引出BasicDataSource,我们可以直接在Payload中直接传入字节码并且不需要出网,不需要开启特殊的参数,适用范围较广,目标需要引入tomcat依赖,虽说也是
2022-04-30 21:29:01
6635
1
原创 Fastjson 1.2.22-24 反序列化漏洞分析
FastJson在 1.2.22 - 1.2.24 版本中存在反序列化漏洞,主要原因FastJson支持的两个特性:fastjson反序列化时,JSON字符串中的 @type 字段,用来表明指定反序列化的目标恶意对象类。fastjson反序列化时,字符串时会自动调用恶意对象的构造方法, setter 方法, getter 方法,若这类方法中存在利用点,即可完成漏洞利用。主要存在两种利用方式:JdbcRowSetImpl(JNDI)TemplatesImpl(Feature.SupportNonP
2022-04-29 23:54:30
2371
原创 红日安全vulnstack-ATT&CK实战系列 红队实战(四)
一.介绍下载地址http://vulnstack.qiyuanxuetang.net/vuln/detail/6/st漏洞利用phpmyadmin getshell、tomcat 漏洞利用、docker逃逸、ms14-068、ssh密钥利用、流量转发、历史命令信息泄露、 域渗透机器密码web: ubuntu:ubuntuwin7: douser:Dotest123DC: administrator:Test2008二.环境搭建下载完成后为三个压缩包,解压后如图在每个文件夹中创建
2022-03-29 01:32:16
8567
1
原创 php无参执行RCE
php无参执行RCE一般来说当我们可以控制或自己上传一个木马后,就可以进行任意命令执行,但像上面这样`/[^\W]+\((?R)?\)/`的正则过滤方式,我们不能输入任何参数,这样想绕过的话一个大的思路就是通过套娃,通过让一个函数的返回值作为另一个函数的参数,也就是这样`a(b(c()));`,最终达到rce的效果,下面列几种绕过方法
2022-03-23 19:12:08
3189
原创 php绕过open_basedir
php绕过open_basedir,简单来说就是限制一些文件的读取与执行,包括mysql的一些函数对这些指定文件的操作,ctfshow 805,绕过open_basedir扫描目录文件,绕过open_basedir读取文件
2022-03-23 14:58:23
3290
原创 log4j漏洞分析
Log4j漏洞复现步骤,Log4j断点分析,Log4j漏洞中2.15.0-RC1断定分析,以及绕过方法,Log4j2.15.0-RC2修复原理
2022-03-22 20:22:31
2372
原创 Flask debug模式算pin码
## 什么是PIN码pin码也就是flask在开启debug模式下,进行代码调试模式的进入密码,需要正确的PIN码才能进入调试模式## 如何生成这里就列一个了,前面全是获取值,最后进行加密,版本不同区别也就就是3.6与3.8的MD5加密和sha1加密不同
2022-03-21 15:30:35
5385
原创 BUUCTF(7)
[MRCTF2020]PYWebsite 1[MRCTF2020]Ezpop 1[SUCTF 2019]Pythonginx 1[NPUCTF2020]ReadlezPHP 1[CISCN2019 华东南赛区]Web11 1[BSidesCF 2019]Futurella 1[BJDCTF2020]EasySearch 1[GYCTF2020]FlaskApp 1
2022-03-14 19:13:11
2812
原创 commons-collections3(cc3)反序列化链分析
commons-collections3反序列化cc3链和cc1想法还是很相似的,然后构造恶意类和调用使用了不同的两个新类ObjectInputStream.readObject() AnnotationInvocationHandler.readObject() Map(Proxy).entrySet() AnnotationInvocationHandler.invoke()
2022-03-10 15:51:21
2579
原创 从0入门JNDI注入
先给本文立个框架1. jndi介绍2. RMI动态加载恶意类3. jndi注入利用思路4. RMI-JNDI注入5. LDAP-JNDI注入6. 版本及参考JNDI全称为Java命名和目录接口。我们可以理解为JNDI提供了两个服务,即命名服务和目录服务。
2022-03-07 16:31:24
3051
原创 commons-collections2(cc2)反序列化链分析
大的思路是将恶意参数放到`TemplatesImpl`类中的`_bytecodes`属性中,反射构造`PriorityQueue`队列的`comparator`和`queue`两个字段,将`PriorityQueue`队列的`comparator`字段设置为`TransformingComparator`(创建一个`InvokerTransformer`并传递一个`newTransformer`方法,然后将`InvokerTransformer`方法名传递给`TransformingComparator`)
2022-02-16 20:54:00
3262
原创 BUUCTF(4)
[安洵杯 2019]easy_serialize_php 1[BSidesCF 2020]Had a bad day 1[安洵杯 2019]easy_web 1[NCTF2019]Fake XML cookbook 1[BJDCTF2020]Cookie is so stable 1[WUSTCTF2020]朴实无华 1
2022-02-13 16:40:22
3134
原创 BUUCTF(3)
[BJDCTF2020]ZJCTF,不过如此 1[网鼎杯 2020 朱雀组]phpweb 1[强网杯 2019]高明的黑客 1[BJDCTF2020]Mark loves cat 1
2022-02-12 19:11:58
3159
原创 MySQLJDBC反序列化漏洞分析
大致思路就是在JDBC连接MySQL的过程中,执行了`SHOW SESSION STATUS`语句,并且用这句语句的结果执行`getObject`,因为连接MySQL的时候url地址是可控的,所以如果指定一个恶意的MySQL服务,那么执行`SHOW SESSION STATUS`语句的返回结果就是可控的,再用可控结果执行`getObject`就可以达到我们想要去执行的效果,并且该漏洞只需要能够控制客户端的JDBC连接字符串即可,在连接阶段便可触发,无需执行SQL语句
2022-02-10 13:58:43
4634
1
原创 红日安全vulnstack-ATT&CK实战系列 红队实战(二)
红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。关于靶场统一登录密码:1qaz@WSX
2022-02-05 18:22:22
6536
原创 commons-collections1(cc1)反序列化链分析
commons-collections1也就是常说的cc1,网上一般有两条链子,一个就是ysoserial中的lazymap链,还有transformedmap链,刚开始碰到cc1链子感觉有点麻烦,但只要迈出第一步后面就会挺流畅的,首先在细跟之前一定要有一个大的框架,哪一步完了再跟进到哪一步,像cc1这里主要就是Transformer接口里三个主要的实现类来实现命令执行,然后通过两个不同方法调用执行,即可!
2022-01-30 16:34:00
5173
2
原创 URLDNS反序列化链
URLDNSURLDNS算是一条比较简单的利用链,这条链不依赖第三方库,它无法执行系统命令,成功利用的结果也只是实现服务器的一次url解析,主要用这条链来判断服务器是否存在反序列化。接下来就这条链的原理和poc进行分析。原理分析首先了解这一下这条链是怎样执行的,代码中最重要的三个类是HashMap,URL,URLStreamHandler。其中HashMap重写了readObject方法,URL类是里面有个hashCode()方法被HashMap的readObject()调用了,URLStreamHa
2022-01-28 19:56:13
4028
原创 渗透测试横向移动
介绍其实也很好理解,在渗透测试时当我们获取到内网某台机器的控制权后,把它当作一个跳板,通过收集域内凭证等各种方法,访问域内其他机器,进一步扩大控制范围。甚至最终可能获得域控制器的访问权限,甚至完全控制基于Windows操作系统的整个内网环境。思路一.Windows远程连接和相关命令IPC介绍IPC(Internet Process Connection)是为了让进程之间通信的一种“管道”,通过提供用户名密码建立了一条安全的、加密的、用于数据交换的通道。在同一个时间里两个IP只能建立一个IPC连
2021-12-30 10:50:54
3406
原创 Xray和burpsuite联动被动扫描
Xray捡洞中的高频漏洞Xray和burpsuite联动实现被动漏扫xray 1.8.2pro破解版常见问题 - xray 安全评估工具文档
2021-12-26 21:53:47
15556
原创 红日安全vulnstack-ATT&CK实战系列 红队实战(一)
一.介绍vulnstack官网下载地址,也是拿百度网盘下载的,这里也放一个链接提取码: i7xv官方靶机说明:红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟 ATT&CK攻击链路进行搭建,开成完整闭环。后续也会搭建真实 APT 实战环境,从实战中成长。虚拟机所有统一密码:hongrisec@2019整体思路信息收集发现yxcms框架的网页,通过漏洞利用get到shell,拿cs控制后进行内网信息收集以及横向移动,最终用窃
2021-12-25 20:19:49
11395
原创 渗透测试提权指南
windows系统提权参考内网安全攻防:渗透测试实战指南(百度百科)一.系统内核漏洞利用已存在未安装补丁的漏洞进行提权参考Windows系统内核溢出漏洞提权1.手动寻找缺失补丁拿到权限后通过如下命令查看系统安装了哪些补丁systeminfowmic qfe get caption,description,hotfixid,installedon比CMD更强大的命令行:WMIC后渗透利用(系统命令)通过没有列出的补丁号,寻找相应的提权EXP进行提权(挺离谱的感觉)系统漏洞与对应的
2021-12-04 21:41:48
7524
原创 渗透测试信息收集
渗透测试信息收集本地工作组信息主要还是一些对命令及参数的使用,尤其像tasklist,net,wmic、route等等等等查看当前权限whoami本机网络配置信息ipconfig /all操作系统和版本信息(英文/中文)systeminfosysteminfo | findstr /B /C:"OS Name" /C:"OS Version"systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"查看系统所有环境变量setTasklist命
2021-12-02 16:12:50
5375
原创 vulnhub-MoriartyCorp渗透测试
环境搭建这个环境搭建还是很奇怪的,必须用virtual box,用vmware会出现扫不到ip的情况(一个区域网下有一个人搭建环境的话其他人可以直接访问到。)Moriarty Corp官网下载地址思路渗透测试仍然是刚开始直接用arp-scan(nmap)进行ip扫描,nmap进行端口扫描sudo arp-scan -lnmap -sV 192.168.1.247...
2021-11-25 20:37:38
3531
原创 vulnhub-prime_series_level_1渗透测试
环境搭建官网https://www.vulnhub.com/entry/prime-1,358/将VMX文件(VMWare 文件格式详解 .VMX .VMSD .VMDK)直接拖进来思路扫描网站路径与敏感文件,通过不断的提示找到一个可用的fuzz工具。利用fuzzing爆破参数发现了可利用进行文件包含的参数file,这里再得到提示后,在仅有的一个php文件中利用secrettier360参数fuzzing系统敏感文件,找到一个密码后在wordpress页面进行登录,找到一个可以写入内容的页面,写
2021-11-22 22:04:35
6264
原创 vulnhub-DC-1渗透测试
环境搭建官网https://download.vulnhub.com/dc/DC-1.zip将ova直接拖到vmware中,第一次还是失败重试后成功刚开始遇到了点小问题,环境搭建好后利用kali nmap扫不到,并且启动靶机时一直报驱动的错。解决方法就是将桥接模式换成NAT模式(“桥接”和“NAT”方式区别),然后移除CD/DVD(IDE)思路首先nmap扫描ip地址及端口号,进入web页面发现一个7版本的Drupal,利用msf中已存的漏洞可以直接打进去并且发现flag1并且提示配置文件,通过
2021-11-21 11:38:02
6415
原创 disable_functions绕过总结
提要Linux 中 PHP 环境,已知disable_functions=exec、passthru、popen、proc_open、shell_exec、system请写出两种有可能实现任意命令执行的方式exec <?phpecho exec('whoami');?> — 执行一个外部程序passthru <?phppassthru("whoami");?> — 执行外部程序并且显示原始输出
2021-11-19 11:55:27
6570
原创 vulnhub-CH4INRULZ渗透测试
环境搭建vulnhub官网https://download.vulnhub.com/ch4inrulz/CH4INRULZ_v1.0.1.ova下载好后直接拖进来,失败就再拖一次,成功部署后就是一个登陆界面思路nmap开路拿到四个端口,80和8011开放了Web服务,之后在扫80端口的目录时发现/development状态码是401需要密码认证,接着扫文件发现index.html.bak利用john爆破拿到账号密码,之后就是一个文件上传的功能,还是扫8011端口的目录发现文件包含漏洞。两者结合。其
2021-11-17 12:50:17
3447
原创 vulhub漏洞复现-Tomcat
TomcatTomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选思路我们首先要了解下Tomcat的下两个函数org.apache.jasper.servlet.JspServlet:默认处理jsp,jspx文件请求,不存在PUT上传逻辑,无法处理PUT请求org.apache.catalina.servlets.DefaultServlet:默认处理静态文件(除jsp,jspx之外
2021-11-06 11:31:51
3286
原创 vulhub漏洞复现-CouchDB(CVE-2017-12635/6)垂直越权漏洞远程代码执行
CouchDBApache CouchDB是一个开源的数据库,面向文档的数据库管理系统,专注易用性"完全使用Web"。使用JSON作为存储格式,JavaScript为查询语言,MapReduce和HTTP作为API的NoSQL数据库CVE-2017-12635垂直越权漏洞思路由于Erlang和JavaScript对JSON解析方式的不同,导致语句执行产生差异性导致的。可用于非管理员用户赋予自身管理员身份权限。在Erlang:> jiffy:decode(“{“a”:”1″, “a”:”2
2021-11-03 16:47:20
3483
原创 vulhub漏洞复现-Apache Flink(CVE-2020-17518 CVE-2020-17519)任意文件上传/读取
Apache FlinkApache Flink 是一个分布式系统,它需要计算资源来执行应用程序。Flink 集成了所有常见的集群资源管理器,例如 Hadoop YARN、 Apache Mesos 和 Kubernetes,但同时也可以作为独立集群运行。CVE-2020-17518思路Apache Flink 控制面板的Submit New Job处存在任意文件上传,利用REST API,可以修改HTTP头,将上传的文件写入到本地文件系统上的任意位置漏洞复现上传后抓包进入后台查看CV
2021-11-01 16:58:24
3719
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人