- 博客(58)
- 收藏
- 关注
RSS订阅原创 URLDNS链构造
我们进行调试的时候第一步就是调用putVal这个函数,然后进一步调用hash这个函数,hash函数接着调用hashCode这个函数,hashCode然后再调用具体的url值,然后调用getHostAddress这个函数,最终调用到getByName,接着就做域名解析。我们继续向下调试,就会进入到URL里面的hashCode,这个hashCode是啥,就是URL这个对象的一个属性,同时在URL对象hashCode这个属性是私有的,且默认值是-1。也就是说,我们这个链条的目的是什么?
2025-04-20 11:06:24
424
原创 Java漏洞原理与实战
(1)序列化:将对象写入IO流中,ObjectOutputStream类的writeobject()方法可以实现序列化(2)反序列化:从IO流中恢复对象,ObjectinputStream类的readObject()方法用于反序列化(3)意义:序列化机制允许将实现序列化的Java对象转换为字节序列,这些字节序列可以保存到磁盘上,或通过网络传输,以达到以后恢复成原来的对象。序列化机制使得对象可以脱离程序的运行而独立存在。
2025-04-18 22:43:19
571
原创 Python攻击脚本开发-Python模拟勒索软件
1、将电脑上的一些重要文件,比如Word,RAR,图片,文本,PDF等一些重要数据进行加密,将文件以二进制的方式进行加密处理,导致无法成功打开加密过后的文件,要打开必须要解密,要解密必须要解密程序2、如何传播:要么就是利用系统或应用程序的漏洞,要么就是人为的疏忽,导致下载了后门或木马程序3、如何处理:交钱,想办法破解,数据备份。
2025-04-15 15:24:56
213
原创 CVE重要漏洞复现-Fastjson1.2.24-RCE漏洞
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了阿里巴巴公司开源Java开发组件Fastjson存在反序列化漏洞(CNVD-2022-40233)。攻击者可利用该漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。
2025-04-14 21:34:27
819
原创 Web渗透之文件包含漏洞
file:// -访问本地文件系统http:// -访问HTTP(S)网址ftp:// -访问FTP(S) URLSphp:// -访问各个输入/输出流(I/O streams)zlib:// -压缩流data:// -数据(RFC 2397)glob:// -查找匹配的文件路径模式phar:// -PHP 归档ogg:// -音频流expect:// -处理交互式的流php://是一种伪协议,主要是开启了一个输入输出流,理解为文件数据传输的一个通道。
2025-04-13 16:00:13
1012
原创 Web渗透之XSS注入
我们构建好一个urlXSS的payload,发送给受害者,受害者点击恶意链接后会在受害者的浏览器上执行恶意代码。反射型XSS是一次性的,而且比较容易被发现。通常恶意链接会被修改成短链接,或钓鱼图片的形式。
2025-04-12 16:46:28
925
原创 Web渗透之XSS注入
XSS全称为:Cross Site Scripting,指跨站攻击脚本,XSS漏洞发生在前端,攻击的是浏览器的解析引擎,XSS就是让攻击者的JavaScript代码在受害者的浏览器上执行。XSS攻击者的目的就是寻找具有XSS漏洞的网页,让受害者在不知情的情况下,在有XSS漏洞的网页上执行攻击者的JavaScript代码。XSS是提前埋伏好漏洞陷阱,等着受害者上钩。既然攻击者是执行JavaScript代码,所以攻击的语句应该能让JavaScript运行。
2025-04-12 10:20:34
1017
原创 ZeroLogon(CVE-2020-1472)漏洞复现
Netlogon是一个远程过程调用(RPC)接口,在域环境中对域用户和计算机进行身份验证,其有诸多功能,例如维护域成员与域控制器(DC)之间的关系;维护跨域的多域控制器之间的关系以及复制域控制器数据库,具体通信过程如下:1、客户端向NetLogon服务器发送八个随机字节(Client Challenge)2、服务端用自己的八个随机字节(Server Challenge)作为回复3、双方将两个随机字符串合在一起使用用户的hash(secret),生成一个一次性的加密密钥,称为SessionKey4、客户端使用
2025-04-09 14:26:11
658
原创 域渗透-白银票据伪造
在请求票据发放过程中,Client与TGS通信获取Ticket,拥有Ticket就可以访问对应服务器资源。而当攻击者拥有Server NTLM Hash时,就可以伪造一个Ticket,直接与Server通信,让其验证。当然,如果能获取到域控主机的Hash,也相当于可以获取到域控权限。
2025-04-09 10:41:38
486
原创 域渗透-黄金票据伪造
在域认证过程中,经过Client与AS的通信会得到TGT,有了TGT就可以向TGS请求访问对应Server资源的票据。当攻击者获取krbtgt的NTLM Hash值就伪造自己的TGT,而这个TGT就是常说的黄金票据,而我们拥有了黄金票据,就可以直接向TGT服务请求Ticket,而不经过AS认证。
2025-04-08 17:45:58
726
原创 域渗透- MS14-068域提权
微软在Windows平台上对Kerberos协议进行了一些扩充,其中最重要的扩充就是增加了认证过程中的权限认证,也就是在协议中增加了PAC(Privilege Attribute Certificate),特权属性证书在一个域中,通过User的SID和所在组Group的SID来确定该用户所拥有的权限。所以PAC包含Client的User的SID、Group的SID。PAC为了保证自身的合法性,还包含2个签名。
2025-04-07 18:07:09
830
原创 域渗透-哈希传递攻击进阶二
首先我们在Kali里边开启MSF之前我们的Windows7是由域管理员进行登录的现在我们切换用户,切换成我们的普通账户运行这个木马程序,使其上线上线成功正常情况下,如果我们要获取域控权限,首先得获取到域控的Hash那么MSF里面如何获取Hash1、使用kiwi模块首先使用如下命令,加载mimikatz,默认情况下是没有加载的提示告诉我们mimikatz已经被kiwi取代所以我们加载kiwiload liwi然后使用如下命令creds_all告诉我们需要用系统权限运行。
2025-04-07 12:50:26
737
原创 域渗透-哈希传递攻击进阶一
如果使用如下命令的话,本质还是在我们Windows7上的命令行去访问这个程序,这个命令最终还是在WIndows7上执行,但我们想要在Windows2008上执行,所以这种命令不对,不符合我们的要求。上线之后我们可以打印它的进程列表(Process List)看看,没有出现域管理员Administrator的进程,列表里的User都是当前系统本地的账号或者后台服务等等。第一个就是PsExec,我们可以使用如下这条命令,将Windows2008的命令行返回给我们的WIndows7,然后运行木马程序即可。
2025-04-07 10:44:16
791
原创 域渗透-哈希传递攻击PTH
在使用NTLM身份验证的系统或服务上,用户密码永远不会以明文形式通过网络发送。Windows上的应用程序要求用户提供明文密码,然后调用LsaLogonUser类的API,将该密码转换为一个或两个哈希值(LM或NTLM hash),然后将其发送到远程服务器进行NTLM身份验证。由于这种机制,我们只需要哈希值即可成功完成网络身份验证,而不需要明文密码。于是当我们获取到任意用户的Hash值就可以针对远程系统进行身份验证并模拟该用户,从而获取用户权限。
2025-04-06 21:17:01
570
原创 域渗透-Windows认证机制
基本介绍NTHM是NTLAN Manager的缩写,NTLM是指telnet的一种验证身份方式,即询问/应答身份验证协议,是Windows NT早期版本的标准安全协议,Windows 2000支持NTLM是为了保持向后兼容。WIndows 2000内置三种基本安全协议之一Windows早期的认证方式,目前所采用的是Kerberos认证认证过程NTLM使用在Windows NT和Windows 2000 server(or later)工作组环境中(Kerberos用在域模式下)。
2025-04-06 11:21:54
604
原创 域渗透-域环境信息采集与利用
当进入内网后,我们首先需要对当前环境进行判断,要考虑如下两个问题:1、我是谁?(确定当前机器的角色)2、位于何处?(当前机器所处的环境)为了解决这些问题,以及进一步扩大战果,我们需要进行信息收集。
2025-04-04 12:21:06
606
原创 JSONP跨域访问漏洞
当在list-json.html页面中,直接构造以下Payload,则会导致弹窗如果payload是这样的话,也会给我们进行弹窗,说明存在XSS漏洞基于这个XSS漏洞,我们就可以去利用这个漏洞我们可以试着去让它弹出当前页面的Cookie,成功弹出Cookie我们也可以让它做一个登录,成功登录然后我们再通过XSS漏洞将Sesssion ID弹出来,说明它并没有对当前的Cookie设置http-only的属性,让我们的JavaScript是可以读取到的。
2025-04-02 23:18:56
684
原创 域渗透-域环境操作与组策略
首先先进入windows7确认一下是否在域环境中也就是说我们在windows7里面拥有了双重登录的账号域账号可以进行登录,zhangsan也可以进行登录如果我们创建了李四这个用户,那么李四也可以去登这台windows7所以整个域环境是没有隐私可言的我们用域控administrator进行登录这个时候我们就用管理员的身份登录进去了,我们就拥有了这台主机的完全控制权了,因为域管理员账号拥有所有主机的完全控制权因为我们是administrator,所以我们可以看张三的任意数据,其他文件也可以看。
2025-04-01 19:03:56
870
原创 域渗透-AD域环境安装与配置
活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及Windows Datacenter Server的目录服务Active Directory不能运行在Windows Web Server上,但是可以通过它对运行Windows Web Server的计算机进行管理Active Directory存储了有关网络对象的信息。并且让管理员和用户能够轻松地查找和使用这些信息。
2025-04-01 14:43:20
826
原创 Java与代码审计-Java面向对象
介于类与接口之间的一种类型,使用abstract class来定义:类是可以实现实例化,抽象类不可以实例化,只能继承,抽象类中的方法可以实现,抽象类中也可以定义成抽象方法abstract void function(),则不能被实现。接口是一种极端情况下的抽象类,不能实例化,且接口中的方法不能被实现,全部转换为抽象方法。final关键字的意思是:本类不能被继承,是最低层的类,不能充当父类。关于String的equals方法,研究一下父类和子类对应的方法。可以使用父类声明,子类实例化的方式。
2025-03-31 16:56:54
193
原创 Java与代码审计-Java基础语法
关于==与equals的注意事项:==比较的是数据的地址和值,equals只比较值,不比较地址。第一种方式,点击运行,找到编辑配置,然后在程序实参那儿添加我们的参数即可。这次我们在后面加上参数,分别是woniu 123456 chengdu。然后再点击运行,发现已经有参数了,并且成功遍历了我们所提供的参数。有两种方式将参数传给args。第二种方式是在终端上实现的。但是下面那个没有参数。
2025-03-30 20:33:23
218
原创 DNS隧道
DNS隧道,是隧道技术中的一种。当我们的HTTP、HTTPS这样的上层协议、正反向端口转发都失败的时候,可以尝试使用DNS隧道。DNS隧道虽然很难防范,因为平时的业务也好,使用也罢,难免会用到DNS协议解析,所以防火墙大多对DNS的流量是放行状态。这时候,如果我们在不出网机器构造一个恶意的域名(xxx.yyy.zz),本地的DNS服务器无法给出回答时,就会以迭代查询的方式通过互联网定位到所查询域的权威DNS服务器。
2025-03-30 15:49:23
670
原创 内网渗透-ICMP隧道
ICMP隧道简单实用,是一个比较特殊的协议。在一般的通信协议里,如果两台设备要进行通信,肯定需要开放端口,而在ICMP协议下就不需要。最常见的ping命令就是利用的ICMP协议,攻击者可以利用命令行得到比回复更多的ICMP请求。在通常情况下,每个ping命令都有相应的回复与请求。
2025-03-29 11:59:55
913
原创 内网渗透-模拟DLL劫持技术
DLL劫持的原理:在一个DLL文件中植入木马(DLL文件的免杀效果较好),将其模拟成一个被别的应用程序(有数字签名)调用的函数名(通过逆向、文档等获取到原始DLL得函数名和参数)。然后我们换成申请内存加载的方式来加载ShellCode,使用代码混淆,也就是对ShellCode进行异或处理,将处理过后的ShellCode放进去,然后再进行解密,这样就不会有静态特征被火绒等杀毒软件给提示了。编译发现没有错误,我们将之前的MyDLLDemo.dll进行一个替换,这次火绒没有给我们提醒,已经达到了免杀的效果。
2025-03-28 14:59:44
249
原创 内网渗透-DLL和C语言加载木马
DLL:Dynamic Link library,动态链接库,是一个无法自己运行,需要额外的命令或程序来对其接口进行调用(类方法、函数)。(1)在DevCpp中创建一个DLL项目(2)在dllmain.c中定义源代码函数接口(3)在dll.h的头文件中声明函数接口(4)在Python中调用DLL函数接口没有编译之前都是源代码当我们点击编译发现编译无错误,编译成功编译一旦成功,这里就会生成一个DLL文件由于DLL只是供别人调用的一个函数库,所以自己本身是不能运行的。
2025-03-27 22:05:34
977
原创 内网渗透-网络分离免杀
但是360扫出来了,是因为我们那个python代码中有注释代码,说不定注释代码的里面就有一些木马的特征,然后被360发现,所以才扫出来了,我们将注释过的代码全部删除,发现360无法扫描出来。在本地用火绒扫描一下,发现成功达到免杀的效果,因为我们的python代码只有5行,没有任何的木马特征,所以应该是无法扫出来的。我们先在根目录下创建一个名为payload.txt的文件,将我们的paylaod放入进去,记住是双引号里面的数据,不加双引号。网络分离免杀,既然已经分离了,所以加不加密原则上是无所谓的。
2025-03-27 18:09:40
271
原创 内网渗透-CS免杀与应用开发
再做上面那一步的操作之前,我们先将这段加载器代码放到我们的csshellenc.py里面,将csshellenc.py里面的加密代码先给注释了,看看可不可以上线,也就是看看加载器代码有没有区别。然后在Kali启动我们的客户端,打开cobaltstrike的界面,建立与我们的公网服务器的来连接,端口是50050,用户名随便输,密码是我们刚刚启动teamserver的密码。代码我们已经搞定了,我们该如何去包装一下这个木马,把这个木马包装到正儿八经的应用程序当中去,然后再去做分发。
2025-03-27 16:48:50
814
1原创 内网渗透-ShellCode加载上线
然后将监听的Payload改为64位的,不然监听不到,然后开始运行pyth木on和run,木马上线成功。前面先引入ctypes这个库,然后加上我们生成的shellcode,最后加上这一段代码即可。我们也可以去确认一下18104是不是对应这个Python的进程。同样的方式我们可以来一下64位的Shellcode。然后使用下面的命令去生成一个shellcode。然后去查看生成的payload,生成的内容如下。进入到/home/kali/Muma目录中。接下来我使用老师的电脑进行实验。然后再使用64位的加载器。
2025-03-26 17:42:07
163
原创 SQL-查询漏洞
3、使用order by来确定主查询数目,order by本质上是一个排序的语法,但是order by有个条件,就是排序必须建立在正确的主查询条数上。所以在注入中用order by并不是为了排序,而是为了确认主查询的条数,确保union select的查询数与主查询一致。上述查询主要针对MySQL数据库,如果针对Oracle数据库,需要学习Oracle的语法,如果是SQLServer等其他数据库,也一样。1、通过and 1=1,and 1=2的输入,来判断是否存在注入点。id=1 and 1=1 和?
2025-03-25 22:13:11
960
原创 内网渗透-端口映射
接下来我们去配置内网客户端frpc.ini,在客户端的配置文件里面要指明服务器端的IP和服务器端的通信端口,表示让这个客户端用7000端口(公网服务器的)去和我们的公网进行连接。在这台公网服务器看到的是218.88.23.123的42328端口来连接我们。内网来连外部的公网IP的7000端口当然是没有问题的,也不违法。这样我们就启动了一个当前公网的7000端口的通信通道。218.88.23.123是我们的出口的公网IP。这个时候我们的客户端就会去连接我们的服务器。我们使用内网里面的centos。
2025-03-24 20:35:30
250
原创 内网渗透-内网隧道
内网穿透神器EarthWorm,(简称EW)是一套轻量便携且功能强大的网络穿透工具,基于标准C开发,具有socks5代理、端口转发、端口映射三大功能。相较于其他穿透工具,如reGeorg等,EarthWorm可以穿透更复杂的内网环境同时也不需要跳板机运行web服务,也可以支持多平台间的转接通讯,如Linux、Windows、MacOS、Arm-linux等。
2025-03-24 19:45:39
438
原创 内网渗透-隧道通信
Neo-reGeorg是常见的http正向隧道工具,是reGeorg工具的升级版。增加了很多特性,例如像内容加密、避免被检测、请求头定制、响应码定制、支持py3等等,https://github.com/L-codes/Neo-reGeorg打开windows2016跳板机上的Web服务开启之后在kali上确认是可以进行访问的进入到Neo-reGeorg。
2025-03-24 16:52:36
1191
原创 内网渗透-内网代理
通过内网的路由再配合着代理就可以实现了,添加路由的目的:做了代理,攻击机kali借助windows2016这个代理服务器实现访问内网,但是呢,如果只有代理没有路由的话,流量只能出去不能回来,无法形成闭环,所以也就无法进行访问,因为Kali可以通过windows2016这个跳板机去访问windows7.但是windows7是无法去访问Kali的。它告诉我们没有代理可以找到,但是我们的浏览器可以进行访问,浏览器能够访问的原因是我们在浏览器本身上配置了代理,所以是可以进行正常访问的。
2025-03-23 19:44:41
334
原创 内网渗透-端口转发
(1)先在Windows7上启动一个Xampp的,服务(80)端口或者其他服务(2016可以进行访问,kali不能访问)(2)在Windows2016服务器上,运行以下命令,完成端口转发。
2025-03-23 14:52:30
757
原创 Windows系统提权
从扫描结果可以看出,目标主机开放了80、445、3306和3389等端口,也就意味着有很多漏洞可以利用,但是本次实验,我们只拿MySQL开刀,不去利用其他漏洞,完成MySQL提权后,创建一个新的账号用于登录3389远程桌面,如登录成功,则实验成功。使用蚁剑进行连接,发现那个目录下没有lib目录,所以这就是出现错误的原因,不是因为权限,而是因为没有这个目录,所以我们无法写入,接下来我们手动添加目录即可。既然我们有写文件的权限,我们可以写入一句话木马,通过蚁剑进行连接,看看到底是什么原因导致的。
2025-03-22 14:00:46
809
原创 SQL-登录漏洞-实现原理
上述代码一共发现6个漏洞1、welcome.php页面谁都可以访问,没有进行登录判断(中)2、在登录页面输入'作为用户名,报错信息存在login.php的绝对路径,暴露了系统后台的敏感信息(低)3、保存用户信息的数据表中,密码字段是明文保存,不够安全(中)4、登录页面可以进行SQL注入,进而轻易实现登录(高)5、login.php页面中使用了万能验证码(中)6、登录功能可以被爆破,没有进行爆破防护(中)
2025-03-20 11:05:04
1256
原创 XSS获取Cookie实验
攻击者服务器:192.168.112.183,将获取到Cookie数据保存到该服务器的数据库中,运行PHP代码暴露一个接收Cookie的URL地址。正常Web服务器:192.168.112.188,用于正常的用户访问的目标站点,用户可以在上面阅读或者发表文章。用户浏览器:192.168.112.1,Windows环境,使用Chrome浏览器。攻击者浏览器:192.168.112.1,Windows环境,使用Firefox浏览器。
2025-03-19 20:21:04
1416
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人