- 博客(24)
- 收藏
- 关注
RSS订阅原创 Android逆向实战知识(二)
参考资源:《安卓frida逆向与协议分析》APK的本质是一个压缩包,包含安卓应用的源码、配置文件、资源文件等。其中META-INF中存放着该APK的签名信息,不同于Apple签名机制由Apple官方严格管控,Android没有限制APP签名方的身份,为重打包技术创造了便利。
2024-02-08 15:34:19
881
1
原创 春秋云境Privilege-WP【一遍过】
然后切换到C目录,然后创一个test文件夹切换过去(不然后面会没权限),把本地的raj.dsh上传上去(这个文件要放在运行kali的那个目录下),接着用diskshadow执行raj.dsh中的命令。有备份以及还原文件或目录的权限,可以卷影拷贝然后读sam(SAM是安全账户管理器数据库,包含了本地用户及用户组,包括它们的口令及其他属性,位于注册表的HKLM\SAM下面)internal-secret里有一个文本,里面有很多账号信息,从里面找到XR-0923的。但是会报错(猕猴桃版本不对,多下几个试试)
2023-10-17 19:47:31
510
原创 春秋云境2022网鼎杯半决赛-WP【一遍过】
注意,这里的certipy不是出现命令不存在kali让你下载的那个,这个是个打CVE-2022–26923的工具:https://github.com/ly4k/Certipy/打开http://172.22.15.24/phpmyadmin用账号和密码登了一下,发现有个表有一堆域账户。(脚本链接:https://github.com/AlmondOffSec/PassTheCert/)wordpress,打开http://39.99.137.31/wp-admin。原来是**校园网,后来换热点就可以了。
2023-10-17 18:49:17
376
1
原创 春秋云境Flarum-WP【一遍过】
一种类似于yso但是针对php的反序列化利用工具,这里为了可控文件头,我们使用phpggc来生成tar格式包,里面内容就是反弹shell的命令。写个马好上蚁剑(/var/www/html/public/assets目录下才有权限,后面的文件上传也是一样)接着访问一下主页39.xx.xx.xx/assets/forum.css确保css样式已经成功修改。连接蚁剑http://39.xx.xx.xx/assets/1.php。申请票据,无密码连接(前面不知道为什么报错了,所以这里利用失败了)
2023-10-17 12:57:49
379
2
原创 春秋云境Spoofing-WP【一遍过】
攻击链:用petitpotam触发存在漏洞且开启了webclient服务的目标,利用petitpotam触发目标访问我们的http中继服务,目标将会使用webclient携带ntlm认证访问我们的中继,并且将其认证中继到ldap,获取到机器账户的身份,以机器账户的身份修改其自身的 msDS-AllowedToActOnBehalfOfOtherIdentity 属性,允许我们的恶意机器账户模拟以及认证访问到目标机器 (RBCD)这里的hash是前面抓到的XR-DESKTOP用户的hash。
2023-10-16 17:15:15
381
1
原创 春秋云境Delivery-WP【一遍过】
设置日志路径为网站根目录(这里因为知道使用了phpstudy所以改的默认网站根目录),并把文件格式修改为相应的后缀名。在vps上开放1099端口,然后用yso起一下服务(base64中的端口为vps监听的端口)在给chenglei添加DCSync权限后,用secretsdump.py获取管理员hash。根据题目提示打NFS,应该就是172.22.13.57中CentOS开的服务,试一试。利用ftp,因为172.22.13.14没开ftp,所以要用python起一个ftp。
2023-10-16 15:34:01
199
1
原创 春秋云境Delegation-WP【一遍过】
这个靶场打了出乎意料的久。1.外围打点总是有问题,一直不回显ok,最后靠复制大佬的命令才能正常弹shell;2.fscan在蚁剑的shell里不显示结果(frp也不显示结果,但是是运行了的),还好可以弹shell到vps上,vps上可以正常显示结果;3.植入木马部分,powershell修改注册表是无效的,cmd才有用;4.各种上传的工具需要用管理员权限打开才能正常使用,SharpHound需要用猕猴桃弹出的域用户终端才能正常使用。
2023-10-14 19:41:30
219
1
原创 春秋云境Exchange-WP【一遍过】
BloodHound 分析(我的sharphound会报错没有连接ldap,不知道为什么),发现exchange这台机器上的域用户有writeDacl权限,也就是zhangtong,因此可以写 DCSync。burpsuit抓包,改为/user/list?search=,再添加exp,发送。导出后做成字典passwd.txt,爆破得到密码(速度惊人得快),找到flag03。用刚改的密码登录之前的outlook网页,翻邮件知道密码是手机号。官方插件(右上角)-> 华夏ERP,找找漏洞,可以打jdbc。
2023-10-13 16:09:10
480
原创 春秋云境Certify-WP【一遍过】
这里有几个用户名被修改成*了 因为都是些个人的账号密码,再联系前面扫到的三个3389端口,尝试爆破172.22.9.26(域控和CA域不大可能,172.22.9.26这个域内机器是最有可能的)开代理,先看172.22.9.47 文件服务器,刚好也开了445端口(TCP端口),直接可以连接。扫描可以看到一个solr,solr一般会有log4j漏洞,看到有log4j组件。再次远程连接172.22.9.26,成功,但是没有管理员权限,所以没什么用处。导出数据,编为字典user.txt和pass.txt,爆破。
2023-10-12 21:31:38
321
原创 春秋云境Brute4Road-WP【一遍过】
ps:为方便操作,可以用msfvenom生成正向shell,上传到靶机运行,再利用msfconsole获得shell,这样就能在kali上操作了。首先通过Rubeus申请机器账户MSSQLSERVER的TGT,执行后,将得到 Base64 加密后的 TGT 票据。在/home/redis/flag目录下发现了flag01,但是没有cat的权限。发现Redis未授权和ftp匿名账号登陆,这里用Redis主从rce的方式打(正常情况下:输入r后依次输入vps的ip和端口2,端口2必须是vps上开放的。
2023-10-12 13:48:19
264
原创 春秋云境Tsclient-WP【一遍过】
quser查看计算机上的用户会话信息(quser命令在windows server和windows的某些专业版才适用)上传mimikatz,用shift后门启动管理员权限的cmd,运行mimikatz,执行命令。服务器管理器-->管理-->添加角色1 和功能-->功能-->勾选.net3.5进行安装。里面有一个敏感文件,查看后获取一个凭证和一个提示(镜像劫持)运行完会跳出一个命令框,直接通过命令行可以访问域控的文件。查看权限,当前用户是普通用户,没有管理员权限。或者用下面的命令添加用户test,远程登录。
2023-10-05 11:16:24
226
原创 春秋云境Initial-WP(附带详细代理过程)
用Thinkphpgui查找漏洞(一开始因为工具版本问题,一直不能getshell,心疼我的小砂砾),得到木马网址和密码。flag02在C://Users/Administrator/flag/flag02.txt中。fscan扫描172.22.1.0/24,结果默认保存在同目录下的result.txt中。利用frp和proxifier代理,可以访问到172.22.1.18(frp代理过程。用crackmapexec去进行hash传递攻击,使得我们可以访问到DC上的文件。
2023-10-01 13:08:34
357
原创 2023年第七届蓝帽杯半决赛WP(CTF&取证)
打开xlsx文件,打开以后,发现没有字,ctrl+a全选,修改你字体颜色,发现有些加粗,有些没加粗,结合题目,应当排序,将每一列从小到大排序,将加粗的单元格改成黑色,将列宽改为2,得到二维码,扫描后得到flag。对SMS.txt的加密逻辑是先AES加密,再base64加密,AES的秘钥在Getkey函数中。base64解码calllog.txt,得到通话记录,搜索10086结果是2条,且都为呼进。Base64、BASE64都是错的,答案格式模糊,而且base64是编码,不是很懂。
2023-09-18 11:17:20
1356
原创 取证专栏——手机&APK&二进制
(5)IDA解析后的数据在伪代码界面是小端序存储的,如果看到一长串16进制数据,那么很可能是多个16进制数据合在了一起,并且顺序是反的,比如v1 = 0xE45D8CAB,真实的数据应该是v1[0] = 0xAB,v1[1] = 0x8C,v1[2] = 0x5D,v1[3] = 0xE4。①普通恶意:比如给某个路径下的文件进行字节加密,导致文件不可正常显示,这也是最经典的,对于这类恶意程序,说到底就是二进制修改,写个解密脚本就能恢复,关键就是找加密逻辑,简单的byte[i]++也有,难的密上加密也有。
2023-09-06 22:25:04
1183
3
原创 CTFshow-PWN入门-栈溢出pwn41~pwn48
本文主要详解CTFshow中pwn入门系列的栈溢出模块的其中x题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope以下操作中小编用的都是自己的kali环境。
2023-08-25 17:00:40
980
2
原创 CTFshow-PWN入门-栈溢出pwn35~pwn40
本文主要详解CTFshow中pwn入门系列的栈溢出模块的前6题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope参考文章:以下操作中小编用的都是自己的kali环境。
2023-08-22 21:12:30
956
2
原创 [MRCTF2020]VirtualTree(花指令、二叉树、交叉引用)
main函数逻辑比较清晰,开头的sub_401510是去掉花指令(此题最关键的操作之一)后的函数,中间经过sub_6F1610函数和sub_6F16F0函数的变换,最后和byte_7108EC数组做对比。先将所有的401510函数替换成off_4208B0为起点的内容(off_4208B0也是有花指令的,需要去除),再将所有的中序遍历改为后序遍历。ps:这些函数的去花需要先D,然后对下面有意义的语句一行行C,最后对0EBh nop,就能去花了。对401680交叉引用,发现还有其他的函数引用,跟进。
2023-08-08 13:39:26
185
原创 CTFshow-PWN入门-前置基础-全篇
本文主要详解CTFshow中pwn入门系列的前置基础模块,共30道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope的博客以下操作中小编用的都是自己的kali环境。
2023-07-31 20:54:07
2986
6
原创 CTFshow-PWN入门-Test_your_nc详解
本文主要详解CTFshow中pwn入门第一块内容Test_your_nc的五道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope以下操作中小编用的都是自己的kali环境(小编的轻薄本已经容不提供的专用虚拟机了QAQ)
2023-07-29 00:54:22
1294
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人