0x30sec-CSDN博客

原创、写入Shellcode到注册表上线

其实本质就是将shellcode写入到注册表中，然后读取注册表中的shellcode，然后创建线程去执行shellcode。

2023-12-22 20:29:37 1036

参考文章：https://blog.csdn.net/solitudi/article/details/118675321。flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6} 最终flag。紧接着在fscan中可以看到存在一个ms17-010的机器，也就是172.22.1.21。通过Fscan进行扫描发现存在Thinkphp RCE漏洞。我们进行getshell之后通过蚁剑进行连接。紧接着通过MSF打MS17-010。然后我们通过蚁剑挂代理进行连接。

2023-12-15 21:50:38 632

原创 i春秋云镜之Tsclient

因为它在远程连接我们的时候把磁盘也挂载过来了，这里由于我们不能让对面那台主机重启所以我们不能通过写启动项的方式让他上线但我们在对方的C盘发现了一个用户以及提示的信息接下来就是进一步的操作这里先把权限切换到John用户。因为对方远程登录的是这个桌面这里切忌一定不要远程上去你一旦远程上去对方的连接就会断开他的C盘也会断开所以你收集不到他的磁盘信息了迁移到John的进程上去。我们可以发现这里面都是windows的机器，我们先提权。我们发现是权限是mssql权限，所以我们需要提权。

2023-12-15 21:46:29 1150

原创 Smbexec绕过Windows Defender

那么我们就可以使用"SystemRoot"\\system32\\cmd.exe。可以看到这里它调用了系统的变量，我们可以来看一下这个系统变量指的是什么。可以看到它指向的是C:\windows\system32\cmd.exe。Smbexec会尝试将.bat文件写入到临时目录，然后将它删除。这里我们将写入.bat的名称改掉以及它存在一些特征。可以看到这里的指向的是C:\WINDOWS。可以看到加上逗号是不会影响执行的。那么我们尝试给他参数加一点污染。那就有可能是参数的问题了。那么我们给他加上逗号即可。

2023-12-14 09:15:14 500

原创你真的了解进程注入吗？

这里的第一个参数还是跟上面一样进程的句柄，第二个参数设置为nullptr,第三个参数就是shellcode的大小，第四个参数表示指向一个应用程序定义的函数的指针，这个参数的类型为 LPTHREAD_START_ROUTINE，这里的第一个参数就是我们进程的句柄，第二个参数就是我们使用VirtualAllocEx申请的地址，第三个参数就是shellcode，第四个参数表示shellcode的大小，最后一个参数就是写入字节数的输出参数。对于要运行的进程，它必须有一个正在运行的线程，该线程是运行代码的组件。

2023-12-13 19:52:14 1716

原创你真的了解Shiro框架吗？

到这里Shiro的加密和解密就说完了其实发现不管我们认证的过程还是 AES加密和解密的过程全都在DefaultSecurityManager类中的一些方法中实现的紧接着会调用其他类。

2023-12-13 19:47:57 1166

原创域渗透之BloodHound分析

BloodHound 是一个强大的内网域渗透提权分析工具，BloodHound 采用了原始的 PowerPath 概念背后的一些关键概念，并将这些概念放在一个能运行且直观，并易于使用的功能中，用于提取和分析数据，可以高效准确地显示如何提升 AD 域中的权限。攻击者可以使用BloodHound轻松识别高度复杂的攻击路径，否则很难快速识别。防御者可以使用BloodHound来识别和防御那些相同的攻击路径。蓝队和红队都可以使用BloodHound轻松深入了解Active Directory环境中的权限关系。

2023-12-12 22:55:57 1347

原创域渗透之影子凭证滥用密钥信任账户映射进行账户接管

当用户注册时 TPM 会为用户的帐户生成一个公钥-私钥对如果在组织中实施了证书信任模型，则客户端发出证书请求，以从环境的证书颁发机构为 TPM 生成的密钥对获取受信任的证书但是，如果实施 Key Trust 模型，则公钥将存储在帐户的 msDS-KeyCredentialLink 属性中的新 Key Credential 对象中。微软引入了密钥信任的概念以在不支持证书信任的环境中支持无密码身份验证，在 Key Trust 模型下，PKINIT 身份验证是基于原始密钥数据而不是证书建立的。

2023-12-12 09:18:32 966

原创 SqlServer相关渗透思路

通过使用存储过程对注册表进行修改，替换成任意值，造成镜像劫持。前提条件:未禁止注册表编辑（即写入功能）xp_regwrite启用。

2023-12-11 09:25:23 1329

原创关于Mybatis的一个小问题

之前在挖一些项目的时候，老是遇到参数置空导致信息泄露的问题。为了一探究竟，我又去重新补了一下Mybatis 也算是水一篇文章了。Mybatis中XML中的SQL规范可能产生的信息泄露如果在Mybatis中的XML文件中如果是这么写的话。

2023-12-11 09:14:58 1130 1

原创没有人比我更了解NTLM协议

其实简单来说，就是客户端去访问SMB服务的时候，需要输入服务端的账号和密码，来进行校验身份，此时客户端会将服务端的密码存储在自己的本地中，然后当服务端发送过来的质询消息中包含质询值发送过来的时候，客户端会将之前保存服务端的那个密码的hash，对这个质询值进行加密，加密之后封装成认证消息发送给服务端，服务端紧接着用自己的密码也对质询值进行加密。没有定义的话，就是使用的默认值。②：服务端接收到客户端发送过来的Type 1消息后，会读取其中的内容，并从中选择出自己所能接受的服务内容，加密等级，安全服务等。

2023-12-10 23:36:51 1675 1

原创域渗透之Kerberos协议详解

例如用户所属的用户组，用户所具有的权限等。可以看到，ST服务票据中的PAC和TGT认购权证中的PAC是一致的，在正常的非S4u2Self请求的TGS过程中，KDC在ST服务票据中的PAC是直接拷贝TGT票据中的PAC。当某个域内的用户去访问域内的某个服务的时候，例如FTP,SMB，HTTP等服务的时候，输入账号和密码，这个用户所在的客户端就会向密钥分发中心(KDC)的AS认证(TGT认购权证都是由KDC的AS认证服务颁发的)服务发送一个AS_REQ的请求，里面包含着请求的用户名，域名，加密时间戳等等。

2023-12-10 11:46:03 1285 1

原创一文了解Mybatis

打包方式：jar引入依赖创建MyBatis的核心配置文件创建mapper接口创建MyBatis的映射文件相关概念：ORM（Object Relationship Mapping）对象关系映射。对象：Java的实体类对象关系：关系型数据库映射：二者之间的对应关系Java概念数据库概念类表属性字段/列对象记录/行映射文件的命名规则表所对应的实体类的类名+Mapper.xml例如：表t_user，映射的实体类为User，所对

2023-12-10 11:40:03 626 1

原创域渗透之组策略详解

组策略可以对用户账户，计算机账户进行集中化管理和配置，组策略分为本地组策略和域的组策略，本机组策略一般用于计算机管理员统一管理本机以及所有用户，域内的组策略用于域管统一管理域内的所有计算机以及域用户。打开组策略，可以看到域林中有一条条的组策略。可以看到Default Domain PolicyDefault Domain Controller Policy 这两条组策略是默认的。对于组策略，我们一般关心两点。这条组策略链接到哪里。这条组策略的内容是啥。以为例。

2023-12-10 09:40:25 1765 1

原创域渗透之挖透Ldap协议

域中的组我们分为两类，第一类是通讯组，就是类似于邮件组之类的，第二类是安全组，就比如说运维需要对公司网络进行管理，需要给一些特殊的管理权限，再比如说就跟VPN一样，我们用深信服VPN的时候有些网段的权限我们是无法访问，需要管理员进行开启。域本地组。具备系统管理员的权限，拥有对整个域最大的控制权，可以执行整个域的管理任务。Administrators包括Domain Admins和Enterprise Admins。全局组。我们常说的域管组。

2023-12-09 20:59:01 1143

原创横向渗透之PSExec、SMBExec和WMIExec的使用及特征

支持单向、双向通信。攻击者通过PSEXEC连接到远程机器并通过命名管道执行命令，命名管道是通过一个随机命名的二进制文件创建的，这个文件被写入到远程机器上的ADMIN$共享，最后通过SVCManager用来创建服务。建立连接之后，我们执行notepad.exe，可以发现它卡在这了，这因为我们在等待远程机器的输入，然而它永远不会输入。首先我们通过PSEXEC去横向的时候，这里上传了一个文件名字叫SBxFixsS.exe的文件，也就是说将这个文件写入到了远程机器的ADMIN$共享中，我们可以查看一下共享目录。

2023-12-09 20:20:16 2549 1

原创域渗透之DCSYNC攻击

2015年八月份Mimikatz新增了一个主要功能叫做"Dcsync"，使用这项技术可以有效的模拟域控制器并从目标域控上请求域内用户的Hash，这项技术为当下域渗透提供了极大的便利，可以直接远程dump域内hash，另外也衍生出很多的攻击方式。在域内，不同的域控制器之间，每隔15分钟都会有一次域数据的同步，当一个域控制器想从其他域控制器上面获取数据时，DC1会向DC2发起一个GetNCChanges请求，该请求的数据，包括需要同步的数据，如果需要同步的数据比较多，则会重复上面的过程。

2023-12-09 20:14:10 1221

原创终于有人把域渗透之ADCS证书攻击讲透了

PKI是一个术语，有些地方会采用中文的表述——公钥基本结构，用来实现证书的产生、管理、存储、分发和撤销等功能。我们可以把他理解成是一套解决方案，这套解决方案里面需要有证书颁发机构，有证书发布，证书撤掉等功能。

2023-12-09 09:34:42 1842

原创域渗透之委派利用方式(详细)

如下图:客户端想要访问www.xxxx.com，这个网站去下载一个文件，而文件在文件服务器上面，这时候客户端无法直接拿到这个文件，所以就委托HTTP服务器帮客户端把文件文件拿到，然后给客户端。这里提到了一个关键词是委托，说的简单点就是比如说自己手里有点事走不开，但是自己饿了，想吃饭，所以我把钱给我同事，并且委托我同事去帮忙买个饭，店里将饭做好之后交给我同事，然后我同事交给我。

2023-12-08 18:11:09 1075

原创服务主体名称SPN

kerberoastring攻击是出在TGS_REP阶段的，由于ST服务票据是使用服务的Hash进行加密的，所以如果我们能获取到ST服务票据，就可以对该ST服务票据进行暴力破解，得到服务的Hash，在TGS_REP这一阶段并不会验证客户端是否有权限访问服务端，因此这一步无论用户也没有访问服务的权限，只要TGT正确，都会返回ST服务票据，这也就是kerberoasting能利用的原因，任何一个域内用户都是去请求任何一个服务的ST服务票据。在AD域中的对象SPN属性有一种特殊的情况，它是HoST SPN。

2023-12-08 17:50:50 1026

原创域渗透之Hash传递攻击

哈希传递(pth)攻击是指攻击者可以通过捕获密码的hash值(对应着密码的值),然后简单地将其传递来进行身份验证，以此来横向访问其他网络系统。攻击者无须通过解密hash值来获取明文密码。因为对于每个Session hash值都是固定的，除非密码被修改了(需要刷新缓存才能生效)，所以pth可以利用身份验证协议来进行攻击。攻击者通常通过抓取系统的活动内存和其他技术来获取哈希。虽然哈希传递攻击可以在Linux,Unix和其他平台上发生,但它们在windows系统上最普遍。

2023-12-08 17:45:14 1045

原创域渗透之Ntlm Relay详解

Ntlm Rleay翻译过来就是Ntlm 中继的意思，也肯定是跟Ntlm协议是相关的，既然要中继，那么攻击者扮演的就是一个中间人的角色，类似于ARP欺骗，ARP欺骗就是在一个广播域中发送一些广播，然后大声问这个IP地址的MAC地址是多少啊？？？如果有不怀好意的人回答了，那么就造成了ARP欺骗，好似一个中间人攻击。

2023-12-08 11:13:24 1039

原创域渗透之Exchange

下载地址：https://support.microsoft.com/zh-cn/topic/%E9%80%82%E7%94%A8%E4%BA%8E-windows-%E7%9A%84-microsoft-net-framework-4-8-%E8%84%B1%E6%9C%BA%E5%AE%89%E8%A3%85%E7%A8%8B%E5%BA%8F-9d23f658-3b97-68ab-d013-aa3c3e7495e0。首先我们去装win2012虚拟机的时候需要给两个网卡，一个是内网，一个是外网的网卡。

2023-12-08 10:56:42 1250

原创绕过360给目标机器添加账户

Beacon 对象文件 (BOF) 是一个已编译的 C 程序，按照约定编写，允许其在 Beacon 进程内执行并使用内部 Beacon API。在BOF中我们是可以通过GetProcAddress，LoadLibraryA，GetModuleHandle 来调用我们想要的windows API。它们在 Beacon 进程内部运行，并且可以使用进程注入块中的可延展的 c2 配置文件来控制内存。其实go函数就是BOF的入口，当你在CS上执行inline-execute命令的时候，就会调用go函数。

2023-12-07 15:17:43 1448 1

原创微信提取聊天记录

打开chatViewTool工具，注意目录，这里需要指定javafx的目录，我这里是直接切换到jdk11的目录，然后指定javafx的目录，最后将chatViewTool.jar也放到了java11的bin目录。将MicroMsg.db文件copy出来，再次进入Multi目录然后将MSG*.db文件都copy出来。这里需要将上面拿到的key，前面加上0x表示16进制，然后每两个加一个0x。可以将chatViewTool工具放到JDK11的目录，这样会很方便。来到wxid这个目录，进入到msg目录。

2023-12-05 22:32:11 2803 1

原创绕过Defender/360/火绒导出Lsass进程

绕过Defnede导出Lsass进程

2023-12-04 17:46:55 381

原创 FreeMarker入门到简要分析模版注入

FreeMarker 是一款模板引擎：即一种基于模板和要改变的数据，并用来生成输出文本(HTML网页，电子邮件，配置文件，源代码等)的通用工具。它不是面向最终用户的，而是一个Java类库，是一款程序员可以嵌入他们所开发产品的组件。模板编写为FreeMarker Template Language (FTL)。它是简单的，专用的语言，不是像PHP那样成熟的编程语言。那就意味着要准备数据在真实编程语言中来显示，比如数据库查询和业务运算，之后模板显示已经准备好的数据。

2023-06-26 18:19:09 944 1

原创一文彻底了解Java反射(为了反序列化漏洞挖掘基础准备)

在加载阶段也是最重要的阶段，当我们去new对象的时候他就会导致加载字节码，他会将字节码加载到内存的堆中，他会生成Class类对象，这个Class类对象中包含成员变量，方法，构造器等等。该对象知道他是属于那个Class对象的。例如如下代码: 当我们输入其他数字的时候他会输出no，当我们输入2的时候他才会报错，也就是说他在编译器是没有报错的，只会在运行时用这个类的时候才会报错。例如如下代码，这里的Dog这个类是不存在的，当我们去运行的时候他会直接在编译的时候就会报错，这就体现出了编译时会加载相关的类。

2023-06-26 18:14:45 620 1

原创 FilteUpload反序列化

FileUpload包可以很容易地添加强大的，高性能，文件上传到你的Servlet的Web应用程序的能力。FileUpload解析HTTP请求符合RFC 1867年，“在HTML的文件上传。就是说，如果一个HTTP请求是使用POST方法提交，并与一个内容类型“multipart/norm-data”，然后FileUpload可以解析这个请求，并把结果提供一个容易使用的调用方式。

2023-03-13 16:53:32 146 1

weixin_65550121的博客