- 博客(135)
- 收藏
- 关注
RSS订阅原创 Jsonp劫持
我们知道,在JSONP跨域中,我们是可以传入一个函数名的参数如callback,然后JSONP端点会根据我们的传参动态生成JSONP数据响应回来。如果JSONP端点对于用于传入的函数名参数callback处理不当,如未正确设置响应包的Content-Type、未对用户输入参数进行有效过滤或转义时,就会导致XSS漏洞的产生。jsonp.php} else {请求后触发xss,此时发现php默认的content-type为text/html。
2023-07-25 15:28:57
716
1
原创 CORS跨域资源共享漏洞
CORS(跨域资源共享)是一种用于在Web浏览器中处理跨域请求的机制。当在浏览器上执行JavaScript代码时,由于同源策略的限制,脚本只能与同源(相同协议、域名和端口)的服务器进行通信。但在某些情况下,我们可能需要从一个域向另一个域请求数据或资源,这就涉及到跨域请求。
2023-07-25 15:24:37
622
原创 浅谈JavaAgent
Javaagent是java命令的一个参数。premain 方法,从字面上理解,就是运行在 main 函数之前的的类。当Java 虚拟机启动时,在执行 main 函数之前,JVM 会先运行-javaagent所指定 jar 包内 Premain-Class 这个类的 premain 方法。
2023-03-17 10:57:09
1778
原创 [Java基础]—Javassist
Javassist (JAVA programming ASSISTant) 是在 Java 中编辑字节码的类库;它使 Java 程序能够在运行时定义一个新类, 并在 JVM 加载时修改类文件。原理与反射类似,但开销相对较低。
2023-03-15 17:54:12
4012
1
原创 [Java代码审计]—MCMS
利用 idea 打开项目创建数据库 mcms,导入修改中关于数据库设置参数启动项目登录后台,账户名:密码 msopen:msopen。
2023-03-03 15:14:59
1734
2
原创 [Java基础]—JDBC
其实学Mybatis前就该学了,但是寻思目前主流框架都是用mybatis和mybatis-plus就没再去看,结果在代码审计中遇到了很多cms是使用jdbc的因此还是再学一下吧。
2023-03-02 21:45:30
727
1
原创 [Java代码审计]—命令执行失效问题
关于Java的命令执行其实一直都没有单独学习过,正好昨天师傅问了一个问题:命令执行时字符串和字符串数组用哪个更好一些。当时被问得有点懵难道不都一样么?其实不然,借此重新了解下RCE以及失效问题。
2023-02-24 23:18:57
1530
原创 [Java安全]—Shiro回显内存马注入
接上篇[Java安全]—Tomcat反序列化注入回显内存马_,在上篇提到师傅们找到了一种Tomcat注入回显内存马的方法, 但他其实有个不足之处:由于shiro中自定义了一个filter,因此无法在shiro中注入内存马。所以在后边师傅们又找到了一个基于全局存储的新思路,可以在除tomcat 7以外的其他版本中使用。思路仍然为寻找 tomcat 中哪个类会存储 Request 和 Response在AbstractProcessor类中发现Request 和 Response,并且是final的,这就意味着
2023-02-20 13:56:00
2067
原创 Docker逃逸
docker其实就是一个linux下的进程,它通过NameSpace 等命令实现了内核级别环境隔离(文件、网络、资源),所以相比虚拟机而言,Docker 的隔离性要弱上不少 ,这就导致可以通过很多方法来进行docker逃逸。
2023-02-15 10:50:00
547
原创 [内网渗透]—CS生成office宏钓鱼
宏是一个批量处理程序命令,正确地运用它可以提高工作效率。微软的office软件允许用户自己编写,叫VBA的脚本来增加其灵活性,进一步扩充它的能力。如完打开word文件同时要打开某个文件的功能,必须要自己编写一段称之为宏的脚本。具体做法是在“工具”菜单“宏”-“宏”弹出的对话框输入宏名,然后按“创建”按钮会打开visual basic编辑器,你就可以编程了,这个就是宏。最直观的例子:鼠标宏就是如此。
2022-12-28 16:53:09
1237
原创 [内网渗透]—令牌窃取
令牌(Token)是指系统中的临时秘钥,相当于账户和密码,有了令牌就可以在不知道密码的情况下访问目标相关资源了,这些令牌将持续存在于系统中,除非系统重新启动。
2022-12-27 19:55:26
2234
原创 [内网渗透]—GPO批量控制域内主机
GPO(组策略管理),用来存储Active Directory中的策略。自Windows Server2008开始,GPO开始支持计划任务,便于管理域中的计算机和用户,默认情况下,域用户的组策略每90分钟更新一次,但会随机偏移0-30分钟,域控制器的组策略每5分钟刷新一次。
2022-12-21 17:04:50
1030
原创 [内网渗透]—权限维持
当拿到域控权限后,使用mimikatz可以注入Skeleon Key,将 Skeleton Key 注入域控制器的 lsass.exe 进程,这样会在域内的所有账号中添加一个 Skeleton Key,而这个key是自己设定的所以可以随时共享访问。PS:由于注入到lsass.exe进程中,所以每次关机后就不存在了,但一般在真正的域环境中,域控在很长一段时间内是不会重启的,因此可以作为权限维持的一种方式。
2022-12-16 21:04:01
766
原创 [内网渗透]—NTLM网络认证及NTLM-Relay攻击
Windows认证分为本地认证和网络认证,当我们开机登录用户账户时,就需要将lsass.exe进程转换的明文密码hash与 sam文件进行比对,这种方式即为——本地认证而当我们访问同一局域网的一台主机上的SMB共享时,需要提供凭证通过验证才能访问,这个过程就会设计windows的网络认证。
2022-12-16 11:28:54
1241
原创 [内网渗透]—AS-REP Roasting攻击
AS-REP Roasting是一种对用户账号进行离线爆破的攻击方式。但是该攻击方式利用比较局限,因为其需要用户账号设置 "Do not require Kerberos preauthentication(不需要kerberos预身份验证) "。而该属性默认是没有勾选上的。预身份验证是Kerberos身份验证的第一步(AS_REQ & AS_REP),它的主要作用是防止密码脱机爆破。默认情况下,预身份验证是开启的,KDC会记录密码错误次数,防止在线爆破。
2022-12-16 11:23:51
296
原创 [内网渗透]—NetLogon 域内提权漏洞(CVE-2020-1472)
CVE-2020-1472 是⼀个 windows 域控中严重的远程权限提升漏洞,攻击者通过 NetLogon,建⽴与域控间易受攻击的安全通道时,可利⽤此漏洞获取域管访问权限(将域控中保存在AD中的管理员password设置为空);其漏洞原理是发⽣在 RPC 认证过程的过程中,由于错误的使⽤了 AES-CFB8 加密所致。获取了一个加入了域的计算机权限,在域普通账号的情况下,将域管密码置空,导出域管hash,然后进行连接。
2022-12-16 11:22:26
578
原创 [内网渗透]—域外向域内信息收集、密码喷洒
当我们与目标内网建立了socks5隧道后,就可以从域外对域内机器进行信息搜集了,很多工具不用上传到目标机器,也就不易被AV检测到,但是有可能会被一些流量检测设备发现有大量socks5流量。接下来介绍下如何通过域外对域内进⾏更深的信息搜集:枚举域⽤户、查看域内⽤户、查看域内组、查看域内机器列表…LDAP(轻量⽬录访问协议),是⼀种⽤来查询与更新 Active Directory 的⽬录服务通信协议。AD 域服务利⽤ LDAP 命名路径(LDAP naming path)来表示对象在 AD 内的位置,以便⽤它来
2022-12-16 11:20:06
1190
原创 [内网渗透]—约束委派攻击
首先了解一下什么是委派,委派即委托安排,我把这件事委托给你做了。域委派是指将域内用户的权限委派给服务账号,使得服务账号能以用户的权限在域内展开活动。
2022-12-08 18:26:25
666
原创 [内网渗透]—Win2008组策略GPP漏洞
Windows 2008 Server引入了一项称为组策略首选项(Group Policy Preferences)的新功能,它允许管理员配置和安装以前无法使用组策略的Windows和应用程序设置。
2022-12-08 18:21:32
563
原创 [内网渗透]—卷影拷贝提取ntds.dit
ntds.dit文件是一个数据库,用于存储Active Directory数据,包括有关用户对象,组和组成员身份的信息。它包括域中所有用户的密码哈希。通过提取这些哈希值,可以使用诸如Mimikatz之类的工具执行哈希传递攻击,或使用诸如Hashcat之类的工具来破解这些密码。这些密码的提取和破解可以脱机执行,因此将无法检测到。一旦攻击者提取了这些散列,它们便可以充当域上的任何用户,包括域管理员。在活动目录中,所有的数据都保存在ntds.dit中。
2022-12-08 17:37:50
805
原创 [内网渗透]—票据传递
之前我们在哈希传递篇就介绍到,要想使用mimikatz的哈希传递功能,就必须具有本地管理员的权限。但是在实际的渗透环境中,我们更多的是得到一个低权限的域账户而已。mimikatz同样提供了不需要本地管理员权限进行横向渗透测试的方法,如票据传递(Pass The Ticket)。
2022-12-08 17:21:21
660
原创 [内网渗透]—kerberos&域内提权(pth、wmic)
在 Kerberos 认证中,最主要的问题是如何证明「你是你」的问题,如当一个 Client 去访问 Server 服务器上的某服务时,Server 如何判断 Client 是否有权限来访问自己主机上的服务,同时保证在这个过程中的通讯内容即使被拦截或篡改也不影响通讯的安全性,这正是 Kerberos 解决的问题。在域渗透过程中 Kerberos 协议的攻防也是很重要的存在。Kerberos 主要是用在域环境下的身份认证协议。PsExec是SysInternals套件中的一款强大的软件。
2022-12-08 17:12:28
466
原创 [内网渗透]—IPC通道&计时任务
IPC共享"命名管道"的资源,是为了实现进程间通信而开放的命名管道。IPC可以通过验证用户名和密码获得相应的权限,通常在远程管理计算机和查看计算机的共享资源时使用。通过IPC$,可以与目标机器建立连接。利用这个连接,不仅可以访问目标计算机机器中的文件,进行上传、下载等操作,还可以在目标机器上运行其他命令,以获取目标机器的目录结构、用户列表等信息。
2022-12-08 17:05:20
483
原创 [内网渗透]—CobaltStrike使用
模块来指明接收者的 ip 和端口,然后把session委派出去。简单来说,就是msf在拿到session之后,使用。2、新建会话,选择刚刚新建的回话即可。此时在MSF就收到了CS返回的回话。ip和端口设置CS中监听的端口。1、CS上线后在新建个监听器。把msf上的会话传递给cs。用之前上线时的监听器即可。
2022-12-08 16:59:23
252
原创 [内网渗透]—MSF使用
(2)使用-p指定使用的攻击载荷模块,使用-e指定使用x86/shikata_ga_nai编码器,使用-f选项告诉MSF编码器输出格式为exe,-o选项指定输出的文件名为payload.exe,保存在根目录下。这里其实有一个大问题,通过这种方式做代理转发,只能是msf使用,其它应用无法使用,如果想使用其他应用探测内网如nmap等工具?一般来说使用msfvenom生成的payload会单独开启一个进程,这种进程很容易被发现和关闭,在后期想做持久化的时候只能再使用migrate进行。
2022-12-08 16:43:31
404
原创 [内网渗透]—流量转发
模拟拿到Win2012的webshell,但对方限制了TCP无法使用frp,nps等做隧道转发,但对外开放了HTTP的web服务,通过web服务做代理转发。模拟win2012出网并且拿到了webshell,并且有一张内网网卡,通过Win2012将Win2016中转上线。攻击—>生成后门—>Windows可执行程序(stageless),添加刚刚生成的监听器即可。攻击—>生成后门—>Windows可执行程序,添加一个监听器生成即可。:基于sockets 5。:基于socks 4。添加1080端口代理。
2022-12-08 16:22:04
310
原创 [内网渗透]—提权后抓取密码
抓取本地SAM文件中的密码 从注册表中导出抓取到指定文件后,即可传入mimikatz抓取密码成功抓取到密码hashCMD5解密得到密码。
2022-12-08 15:56:16
680
原创 [内网渗透]—域环境搭建
单击"将此服务器提升为域控制器"选项,如不慎关闭了此界面,可以打开"服务器管理器"界面进行操作,点击右上角的"!(5)进入"Active Directory域服务器配置向导"界面,在"部署配置"部分单击选中"添加新林(F)"单选按钮,然后输入根域名(必须使用符合DNS命名约定的根域名)。在"角色服务器"中,勾选"Active Directory域服务器"和"DNS服务器"。进入"确认"部分,确认需要安装的组件,勾选"如果需要,自动重新启动目标服务器"。在"功能"界面保持默认设置,“下一步”;
2022-12-08 15:17:07
140
原创 [Java安全]—Tomcat反序列化注入回显内存马
在之前学的tomcat filter、listener、servlet等内存马中,其实并不算真正意义上的内存马,因为Web服务器在编译jsp文件时生成了对应的class文件,因此进行了文件落地。所以本篇主要是针对于反序列化进行内存马注入来达到无文件落地的目的,而的和可以直接获取,但是反序列化的时候却不能,所以回显问题便需要考虑其中。既然无法直接获取request和response变量,所以就需要找一个存储请求信息的变量,根据kingkk师傅的思路,在中找到了:并且这两个变量是静态的,因此省去了获取对象实例
2022-12-03 21:08:48
972
1
原创 [Java安全]—再探Filter内存马
关于tomcat反序列化注入回显内存马问题中,就是通过filter内存马进行反序列化动态注册的,但filter内存马由于当时学的时候就没有学的很明白,所以打算重新回顾一下。Tomcat中有四种类型的Servlet容器,从上到下分别是 Engine、Host、Context、Wrapper他们之间也就是一种父子关系:Servlet 有自己的过滤器filter,可以通过自定义的过滤器,来对用户的请求进行拦截等操作。经过 filter 之后才会到 Servlet ,那么如果我们动态创建一个 filter 并且将其
2022-12-03 13:07:17
488
转载 [Java反序列化]—SnakeYaml反序列化
SnakeYaml是一个完整的YAML1.1规范Processor,用于解析YAML,序列化以及反序列化,支持UTF-8/UTF-16,支持Java对象的序列化/反序列化,支持所有YAML定义的类型。题目中添加了添加authc拦截器,/admin/*的请求会被拦截,但存在绕过如/admin/*/后边加个斜杠"\",即可绕过,所以访问/admin/hello/即可。,首先获取要调用的类名也就是SPI1,通过反射获取该类,接着通过newInstance进行实例化,并retrun返回。
2022-11-20 12:36:56
1963
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人