记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华合天网安实验室CTF题目解析
[TOCCTF挑战赛-合天网安实验室逆向解析]
题目地址:https://www.hetianlab.com/CTFrace.html?&pk_campaign=-wemedia
0X01 逆向100
修改后缀为.apk
安卓模拟器打开,发现要求输入Password
用Android逆向助手打开,dex转jar,发现明文password
输入,得到flag。
0X02 逆向200
题目描述: pwd1_pwd2
疑似有两层密码,查壳无壳。
先求pwd1
OD打开,查字符串,
双击“You passed level1!”,进入代码窗口。F2下断点,F9运行,程序终止,发现操作错误。
某站点从SQL注入脱站&本地搭建全过程
一、前言
由于是在已知有一处sql注入的情况下才接手进行的后续操作,因此前面信息搜集则一笔带过。
二、信息搜集
目标是个本地的传销站点其大致信息为IIS+ASP.NET+安全狗、腾讯云。
三、Bypass Sql
3.1 Fuzz
根据如上测试可以看出程序本身也有过滤,error为程序自身的过滤。可以利用IIS处理%符号的机制绕过部分符号,例如空格使用%0b 加号使用%2b等。再根据测试的结果,可以先利用convert转换报错获取一部分信息。
发布时间:2020-10-12 17:53 |
阅读:4939 | 评论:0 |
标签:内网渗透 Bypass Sql Fuzz IIS+ASP.NET+安全狗 jsrecord MSSQL SQL注入 数据
从SQL注入到幸运域控
这是 酒仙桥六号部队 的第 37 篇文章。
全文共计2124个字,预计阅读时长8分钟。
背景
在某个午后,接到上级的任务需要对某个授权的目标进行渗透测试,于是磨刀霍霍向牛羊。
寻找突破口
由于这次给的目标范围很窄,只有两个域名跟两个IP,本来以为突破口不是那么好搞到,但拿到目标站点打开一看,心里稍微松了一口气,通过站点的氛围来看,应该是个运行很多年的系统了。
内网渗透之代理转发
这是 酒仙桥六号部队 的第 36 篇文章。
全文共计3447个字,预计阅读时长12分钟。
1 前言
谈到内网转发,在我们日常的渗透测试过程中经常会用到端口转发,可以利用代理脚本将内网的流量代理到本地进行访问,这样极大的方便了我们对内网进行横向渗透。
那为什么不直接通过登陆服务器来对内网中其他机器进行渗透,而是通过内网转发呢?意义何在呢?
因为.........
大部分时候拿到权限不够,无法直接登录。
而且如果在内网服务器中进行操作,我们需要上传工具进行很多操作,如果服务器缺少对应的环境变量或者组件,会导致渗透受阻。
而且直接远程登录会留下比较明显的痕迹。
发布时间:2020-09-09 16:29 |
阅读:25591 | 评论:0 |
标签:内网渗透 Client Earthworm Forward Proxy Natcat Proxy ProxyChains
内网渗透从敲门到入门
这是 酒仙桥六号部队 的第 33 篇文章。
全文共计1491个字,预计阅读时长5分钟。
前言
各位老哥们,最近刚开始学内网安全,玩了一套红日安全的靶场,分享一个内网安全的基础文章,写得不好,不足之处还请多多指出。
从Fastjson绕WAF到打穿网闸
这是 酒仙桥六号部队 的第 29 篇文章。
全文共计2160个字,预计阅读时长8分钟。
前言
记述一次授权测试中对某企业进行测试。
PS:渗透过程中的任何敏感信息均已做过脱敏处理,如有雷同,纯属巧合。
外网渗透
通过资产收集,发现了一个XX平台,验证码特别难识别,就没有了爆破的念头。
抓包看发现参数的传递使用了JSON格式。
祭出一个Fastjosn检测的poc,网站把报错页面做了隐藏,只能进行盲打。
把poc地址指向dnslog,查看是否能收到请求。
网站使用了防火墙,payload被拦截,通过修改编码的方式,查看能否绕过。
铁头娃的渗透测试
这是 酒仙桥六号部队 的第 12 篇文章。
全文共计1268个字,预计阅读时长5分钟。
前言
争当好青年,疫情期间,坚决执行政府与公司的要求,无奈在家办公的我一如既往的接到了渗透测试的任务。
正篇
话不多说,开干。
01
信息搜集
老规矩,第一步先从信息搜集开始。
对目标进行子域名搜集,并没有发现子域名。
扫描网站目录文件,就一个后台登陆页面,其他什么都没有发现。
之后还进行了nmap端口扫描,也没有发现什么有价值的问题。
没办法,只能正面硬刚了。
记一次渗透测试从XSS到Getshell过程(详细到无语)
0X00 前言
前段时间有幸和大佬们参加了一次一周的攻防演练,让我这个菜鸡体验到了红队的感觉。所以打算记录一下其中一个花了三天由xss存储到后台的踩坑过程,希望大佬们多带带。
0X01 钓鱼
到了攻防演练的第二天,早上有个同事和我说这边的一个目标存在存储xss,已经打回了cookie,但是对方开启了http-only无法利用,让我帮忙看看能不能进行钓鱼或者什么的。
于是我打开这个站看了一下登陆界面,把登陆界面扒了下来。
机缘巧合之下拿下个发卡网还撸了把羊毛
0x01 事情经过
家乡群有个不是我们老家的广告狗天天发“出售微信抢红包软件”广告,发一次两次就算了,每天都发。最讨厌的是我在群里吹牛逼的时候他出来发广告?严重影响群内人员吹逼,十分可恶~,然后加了好友,居然发现这是我初中同学,在和他py一番了,他居然同意我对他的网站进行渗透测试,那就干就完事了,站长都同意授权了,开干
0x02 渗透过程
网站打开这个样子↓↓↓
意外发现他还卖手机短信轰炸,电话轰炸的商品,必须干他啊!
随便点几个网页在参数的值后面加个'就找到个注入
SQLMap跑数据库没有发现后台管理员相关信息,陷入了沉思。
一次Shiro反序列化引起的域控沦陷
这是 酒仙桥六号部队 的第 9 篇文章。
全文共计2423个字,预计阅读时长8分钟。
前言
本文内容是笔者一次从0到1的实战记录,通过一次完整的外网到内网到拿下域控的过程,来为大家带来渗透的一些思路。
内网的环境千变万化,曲折的也有,一帆风顺的也有。
发布时间:2020-08-06 14:07 |
阅读:16703 | 评论:0 |
标签:内网渗透 aes加密 CS CS服务器 CVE-2019-2725 DNSLog java msf rememberMe
vulnhub靶机渗透-Presidential-01
环境搭建
靶机下载地址:https://download.vulnhub.com/presidential/Presidential.ova
靶机描述:
The Presidential Elections within the USA are just
发布时间:2020-07-29 18:43 |
阅读:22851 | 评论:0 |
标签:内网渗透 80端口 dirsearch john nikto Nmap Presidential searchsploi
如何进行内网穿透
当我们通过 webshell 或者其它一些方式获取到一台可以访问内网的服务器权限后,如果要做进一步的渗透,往往要访问内网中的其它主机,但其它主机在内网中,我们无法直接访问。由于控制的服务器处于内网中,所以我们可以通过这台服务器作为跳板进行内网穿透。
这篇文章将会使用之前搭建的环境(搭建一个简单的Windows域环境)对内网穿透常用的技术及防御手段进行介绍。
域渗透基础(一)
域
工作组(Work Group)
工作组是局域网中的一个概念,由许多在同一物理地点,而且被相同的局域网连接起来的用户组成的小组,也可以是遍布一个机构的,但却被同一网络连接的用户构成的逻辑小组。工作组是最常见最简单最普通的资源管理模式,就是将不同的电脑按功能分别列入不同的组中,加入工作组是为了区分用户计算机在网络中的类别,如果用户有工作组的话,在管理上会方便很多,可以共享/使用打印机和协和工作,很多小企业都是用这种方法来管理电脑,共享文件。
细说渗透江湖之柳暗花明又一村
这是 酒仙桥六号部队 的第 3 篇文章。
全文共计3684个字,预计阅读时长10分钟。
背景
某年的某个夏天,某医院需要做攻防演练,而且是全仿真的演练,只有客户名,没有任何资产信息。时间紧,任务重,于是我们兵分两路,一波人在远程从外围突破,我和另一个小伙则踏上了旅途,准备从内部来瓦解。
出师未捷险被抓
目标是当地最著名的医院,大夏天的依旧是人山人海,我们行走其间,完全无人注意。红蓝对抗中,最爽的事儿是什么?当然是能直接连入目标的内网。
于是我们进入医院后,首先就开始搜寻wifi,看是否有直接访问内网的可能。医院的就诊wifi应该是给病人临时用的,本身没有密码,使用手机号即可登录。
如何养成良好的渗透测试项目管理习惯
如何管理渗透项目,如何养成一个良好的渗透记录习惯
渗透项目都不建议放云上,建议在电脑里搞个文件夹<文件夹记得使用bitlock加密>,项目分类,渗透分类,然后资产分类。
最好是一个项目开一台断网虚拟机,然后虚拟机快照,一个项目一个快照
季度-时间-具体项目名称-实施内容这样分,文件夹也行,通过文档记录也行。
内网漫游之SOCKS代理大结局
文章作者:shuteer
## 0x01引言 ##在实际渗透过程中,我们成功入侵了目标服务器。接着我们想在本机上通过浏览器或者其他客户端软件访问目标机器内部网络中所开放的端口,比如内网的3389端口、内网网站8080端口等等。传统的方法是利用nc、lcx等工具,进行端口转发。适用端口转发的网络环境有以下几种:1. 服务器处于内网,可以访问外部网络。2. 服务器处于外网,可以访问外部网络,但是服务器安装了防火墙来拒绝敏感端口的连接。3. 服务器处于内网,对外只开放了80端口,并且服务器不能访问外网网络。
如何在远程系统执行程序
序言
在我们获得用户名口令后,尝试远程登陆目标主机并执行程序,结合实际环境做了如下测试。
目标
远程登陆目标主机执行测试程序
测试环境
远程
渗透测试-Getshell总结
无论是常规渗透测试还是攻防对抗,亦或黑灰产对抗、APT攻击,getshell 是一个从内到外的里程碑成果。我们接下来总结下常见拿shell的一些思路和方法。文中可能有一些不足之处,还望大佬不吝赐教。
发布时间:2020-05-11 18:30 |
阅读:40489 | 评论:0 |
标签:内网渗透 APT攻击 Getshell getwebshell RCE getshell SSRF + RCE XXE
载荷上传下载落地技术
前言:
如果获得一台主机的webshell或者能够任意命令执行,但是想要拿下主机进行提权、权限维持或者要进行内网渗透,那就需要将载荷上传下载到主机上。下面我将介绍几种载荷上传下载的落地技术,这几种技术都巧妙的利用系统自带的工具,因此降低了防火墙和杀毒软件处理的概率。
0x01方法一:利用certutil下载
什么是certutil.exe呢?
certutil.exe是一个命令行程序,作为证书服务的一部分安装。和显示证书颁发机构(CA)配置信息,配置证书服务,备份和还原CA组件以及验证证书,密钥对和证书链,能从远程URL下载证书或者其他文件。
基于AFL对Linux内核模糊测试的过程详述
coverage-guided fuzzing是一种强大的模糊测试技术,因为代码覆盖率(Code Coverage)是反映测试用例对被测软件覆盖程序的重要指标,自动化程序将半随机输入注入到测试程序中,这样做的目的是找到触发漏洞的输入,模糊测试在查找C或c++程序中的内存损坏漏洞时特别有用。通常情况下,建议选择一个非常熟悉但很少涉及的、大量解析的库。依据经验看,libjpeg、libpng和libyaml都是完美的攻击目标。不过现在很难找到一个好的目标,不过从另外一个角度来说,这也说明软件越来越安全了!不过我还是决定尝试一下Linux内核的netlink机制。
无 PowerShell.exe 运行 PowerShell 脚本的几种方法
本文将概述在不使用 powershell.exe 的情况下运行 powershell 脚本和命令的最佳工具。在过去的几个月里,我通过观察攻击者以及随之而来的杀毒软件的移动情况后,我打算写这篇文章给所有的渗透测试人员和红队成员,他们正在寻找在后漏洞利用阶段使用 PowerShell 脚本或命令行的最佳技术,而不需要运行 PowerShell.exe,从而避免被下一代杀毒软件、 EDR 或蓝队或威胁追踪团队捕获。在网上,我花了一些时间尝试和分析适合这个目的的不同工具。 对于每一个工具,我都给出了我个人的评分。 请让我知道你的想法以及你的经验或其他与文本提到的类似的工具。
现代无线侦察技术(二):MANA 和已知信标攻击
在本系列文章的第一部分中,我们介绍了802.11的一些基本原理,并描述了如何利用协议的漫游和网络选择特性来执行无线中间人(PITM)攻击。 我们还讨论了如何在 EAPHammer 中执行基本的仿冒接入点攻击(参见: https://github.com/s0lst1c3/eaphammer)。
开源情报(OSINT)侦察指北
社交媒体上的对话; 图片由Ethority提供于2014年慢点,牛仔! 在我们开始讨论红队已经为人所知的爆炸式的“性感时刻”(笑话,笑声)黑客冒险之前,我们还有一些功课要做。 一个专业的渗透测试人员从来不会在没有事先学习或者对他们的目标做“功课”的情况下开始一项工作。 关键的第一步是在操作范围内收集特定目标的信息,这使攻击者能够发现组织防御系统中可能被利用的潜在漏洞和弱点,无论是物理的、社会工程的、逻辑的还是三者的结合。 信息是一种新的交换商品,互联网上几乎可以免费获得的关于任何主题的大量信息。 那么 OSINT 到底是什么意思呢?开源情报(OSINT)是利用公开的资源来收集信息。
现代无线侦察技术(一):伪基站攻击基本理论篇
引言在过去的几年里,强制无线设备连接到恶意接入点的“微妙艺术”已经有了一些令人兴奋的发展。 在 Dominic White 和 Ian de Villiers 对 MANA 的研究以及 George Chatzisofroniou 的 Lure10和已知信标攻击中,我们已经看到了 karma 风格的攻击手段的复苏,这些攻击可以用来攻击对 karma 免疫的设备[1][2]。我想更深入地研究这些技术,了解它们在技术层面上是如何工作的,并且尝试试图亲自实现这些技术似乎看起来是一个完美的学习机会。
NTLM 中继攻击的几种非主流玩法
在企业组织中的常见的一种安全风险是凭证重用,当攻击者攻击 NT LAN Manager 身份验证协议(以下简称 NTLM 身份验证)时就会出现这样的风险,而这个协议通常会在 微软的 活动目录 中默认启用。NTLM 认证中的不安全性已经被安全研究人员发现超过15年了。该协议可以被滥用,通过一个称为“中继”的过程劫持受害者的会话,该过程通过将受害者的凭证转发到与预期不同的服务来滥用受害者的凭证。在许多情况下,NTLM身份验证仍然受到默认的支持和启用,尽管它已经被更安全的Kerberos取代,成为默认的身份验证方法。
授人予渔:你必须知道的 SYSTEM 令牌窃取攻防技术细节
引言这篇博文将描述访问令牌操作的概念,以及如何针对winlogon使用这种技术。从管理员上下文模拟系统访问令牌。该技术可以在 MITRE ATT&CK 技术框架中的 访问令牌操作 中找到。在通过组策略从本地管理员帐户中取消某些特权的情况下,模拟系统访问令牌非常有用。例如,可以从本地管理员组中删除SeDebugPrivilege,以使攻击者更难转储凭据或与其他进程的内存进行交互。但是,不能从系统帐户撤消特权,因为操作系统需要这些特权才能运行。这使得系统访问令牌对于加固环境中的攻击者非常有价值。
渗透基础——命令行下安装Microsoft .NET Framework
0x00 前言在渗透测试中,有些工具的运行(例如高版本的Powershell)需要依赖Microsoft .NET Framework 4.0的环境。 而默认配置下,Win7不支持Microsoft .NET Framework 4.0。为了保证工具能够在Win7下使用,这里就需要在命令行下实现安装Microsoft .NET Framework 4.0。经过一番搜索,我没有找到介绍命令行下安装Microsoft .NET Framework的资料。于是我写了这篇文章,介绍我的实现方法,开源C代码,分享实现原理和脚本开发的细节。
红蓝对抗的项目管理工具——Ghostwriter的幕后花絮
在本系列文章的第一部分中我向大家介绍了 Ghostwriter。并且我详细的介绍了 Ghostwriter 的制作过程、技术栈以及开发过程中的思维过程。 如果你还没有读过第一部分的文章,请点击这里查看。技术栈概述Ghostwriter 是一个使用 Python 编写的 web 应用程序,使用了 Django web 框架。 它是一个 Python 3.7、 HTML、 JavaScript、 CSS、Jinja和 Django 代码的集合,被划分为多个 Django 应用程序。 这个区分有助于保持代码的组织性,并且在定制或开发过程中易于阅读。
挖掘 OSINT 金矿——实习生和社交媒体
话说我看到了一个绝佳的机会: 某个员工正在进入安全工作区域。 当我试图跟着他时,他转过身来,看着我问道: “我可以看看你的工牌吗? ” ,我带着自信的微笑,把手伸进钱包,掏出一个工牌给他看。 当我戴着假冒的员工工牌进入安全工作区时,他笑了笑,向我表示感谢,然后走开了。这一切都要感谢他们公司的一名实习生在社交媒体上发布的一个帖子。我是怎么走到这一步的? 让我从头说起。黑掉人类,暴露安全盲点我是 X-Force 红队的一名“专门黑人的黑客” ,这是 IBM 安全团队内部的一个由资深黑客组成的自治团队,受雇闯入各个组织,揭露犯罪分子可能为了个人利益而利用的安全风险。
从零开始学威胁狩猎:手把手教你用 Jupyter Notebook 分析安全事件(二)
利用 Apache Spark 查询 Elasticsearch在前一篇文章中,我介绍了使用 DataFrames 以表格格式表示和分析安全事件日志的概念,并向你展示了如何在名为 Pandas 的 python 库的帮助下实现这一点。在本文中,我将向你展示如何直接使用 Elasticsearch 数据库中的安全事件日志,并将它们保存到一个 DataFrame 中,并通过 Apache Spark Python API 和 SparkSQL 模块执行一些查询。