网络安全工程师老王-优快云博客

原创不出网环境下的渗透测试

模拟靶机不出网的情况下，首先我们使用suo5代理出shell到vshell，然后再利用proxifier代理出数据库到本地navicat，再在此基础上进行操作。

2025-04-02 15:27:50 276

本节涉及到系统调用的相关知识，在这里我只是浅浅地介绍一下什么是系统调用。系统调用（System Call）是操作系统提供给应用程序与内核交互的核心接口，允许用户程序请求内核执行特权操作，它是用户态和内核态之间的桥梁。在免杀领域中，只要你是通过syscall指令进入内核态执行特权操作都可以称为系统调用。在Windows操作系统中，假设我们使用了这个Zw*类型的API，它就会从用户态转变为内核态，在内核态由操作系统真正的执行特权操作。

2025-03-24 16:31:56 827

原创攻防视角下的敏感信息泄露之检测与防护

在日常渗透测试和安全研究中，敏感信息泄露一直是个老生常谈的话题，但是找起来的时候可能无从下手，结合OWASP总结下来的场景，每种都会进行详细的分析，并提出利用和防护思路。

2025-03-19 13:57:24 1052

原创一文学会各种子域名收集方法

文章中涉及的敏感信息均已做打码处理，文章仅做经验分享用途，切勿当真，未授权的攻击属于非法行为！文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任，一旦造成后果请自行承担。

2025-03-14 16:38:59 1170

原创 FTP免杀绕过杀软及钓鱼绕过邮箱检测

打包为zip上传到github复制下载链接，插入到伪造的html页面中的下载url中。其中a文件是之前CS生产的powersshell命令文件，改一下名字就好了。然后客户端连上，然后建立监听器，之后生成powershell恶意文件。通过html页面伪装为查杀后的docx文件，实际链接是木马下载地址。good.dll内容如下，原理是ftp命令模式下，输入。实际测试成功绕过邮箱检测发送给收件人，收件效果如下。然后bad.ps1 写入powershell命令。只要打开快捷键，CS这边就会立刻上线。

2025-03-10 17:12:34 380

原创深度探索：直击服务器权限获取之旅

在网络安全的神秘棋局中，每一个系统都是一座布满机关的城堡。一次深度的系统渗透恰似一场精密的探秘之旅，从系统目录的文件路径出发，经由云存储桶路径的巧妙关联，最终借助文件上传漏洞，叩开了服务器权限的大门。

2025-03-05 15:44:27 883

原创徒手渗透测试的独特实践

渗透工具是这场网络安全探险不可或缺的“飞船”与“武器”，然而，无需借助工具，直接对网站进行渗透还是比较有挑战性的，最近一个星期基本都是这样，拿手机渗透，或者打开电脑一个浏览器打遍天下。

2025-02-26 17:21:38 598

原创 Windows渗透实战之EscapeTwo

获得sql_svc的shell，但当前用户并没有user.txt，同时在Users下发现了ryan，猜测user.txt在他的目录下在C:下发现SQL2019,cd进去发现ExpressAdv_ENU在该目录下发现sql-Configuration.INI。拿到这些凭据，可以考虑爆破，但要针对性的爆破，看到表格中的密码涉及了mssql，考虑会不会是mssql的账号密码我们结助netexec来爆破，当然也可以根据密码的特殊性，先尝试一下sa这组凭据。在命令后加上--local-auth。

2025-02-20 13:19:54 966

原创记一次渗透测试实战之Sightless

在 2.1.9 之前，Froxlor 应用程序的失败登录尝试日志记录功能中发现了一个存储盲跨站点脚本 (XSS) 漏洞。未经身份验证的用户可以在登录尝试时在 loginname 参数中注入恶意脚本，然后当管理员在系统日志中查看时，该脚本将被执行。通过利用此漏洞，攻击者可以执行各种恶意操作，例如在管理员不知情或未经同意的情况下强迫管理员执行操作。例如，攻击者可以强迫管理员添加由攻击者控制的新管理员，从而使攻击者完全控制应用程序。单击第一行的“检查”将启动一个窗口，显示开发工具中的活动。

2025-02-18 13:46:11 378

原创三层渗透测试-DMZ区域 & 二三层设备区域

首先先进行信息收集，这里我们可以选择多种的信息收集方式，例如nmap如此之类的，我的建议是，可以通过自己现有的手里小工具，例如无影，密探这种工具，进行一个信息收集。以免在信息收集的环节，遗漏一些信息，导致后续渗透任务的失败。先分析这个目录下的文件：我们的目标是为了通过分析代码，找到有无我们可以利用的漏洞点，利用管理员账户的账户与密码信息，或者是登录框存在sql注入。这个地方，上传的代码，并没有存在任何的上传过滤，对文件内容，以及常见的恶意文件后缀名没有进行任何的过滤，导致我们可以轻松获得shell。

2025-02-17 13:25:57 1193

原创记一次渗透测试实战之Usage

使用其来获取/root/.ssh/id_rsa，接着保存之后，使用ssh登录即可。收集敏感信息，发现在.monit.rc文件中，存在用户密码。访问web页面，发现存在一个登录地址。运行之后，成功读取root.txt.测试功能点，发现有一处文件上次处。注册一个用户，然后接着抓包看看。没用跑出来，接着修改参数继续跑。尝试上传图片马，访问之后没解析。尝试使用弱口令进行登录尝试。发现它有一些选项，可以运行。使用nmap进行端口探测。抓包之后，尝试SQL注入。使用sqlmap进行枚举。接着重新上传，修改后缀名。

2025-02-12 16:21:07 355

原创 JAVA安全之Java Agent打内存马

Java Agent是一种特殊的Java程序，它允许开发者在Java虚拟机(JVM)启动时或运行期间通过java.lang.instrument包提供的Java标准接口进行代码插桩，从而实现在Java应用程序类加载和运行期间动态修改已加载或者未加载的类，包括类的属性、方法等，而Java Agent内存马的实现便是利用了这一特性使其动态修改特定类的特定方法将我们的恶意方法添加进去java.lang.instrument.Instrumentation提供了用于监测运行在JVM中的Java API。

2025-02-10 15:32:20 1291

原创浅析Ruby类污染及其在Sinatra框架下的利用

在Ruby中也是万物皆对象，下面定义一个Person类@@cnt = 1# 定义属性# 初始化方法@age = ageend# 定义方法def greetendend类变量（类似Java中类的静态变量）使用@@前缀，实例变量使用前缀，在类内部才用这种前缀来访问。冒号前缀表示符号（Symbol）。Ruby中符号是轻量级的、不可变的字符串，通常用于表示标识符、方法名或键。符号的优点是它们在内存中只存储一次，因此在需要频繁比较或使用相同字符串的情况下，使用符号可以提高性能。

2025-02-08 13:16:49 1147

原创 Spring FatJar写文件到RCE分析

目录下的所有 jar，以及JAVA HOME下系统classpath的jar，无法在其运行的时候往 app.jar classpath 中增加文件。随便选一个sun.nio.cs.ext下的类进行覆盖就OK，为了保持最小体积，抛弃其他类（需要保留ExtendedCharsets类，不然无法加载其他类）。MiscCodec是老朋友了，直接看到deserialze方法，如果clazz是Charset.class的话，会调用Charset.forName。而且还得找系统启动后没有进行过。

2025-01-25 13:37:48 1039

原创从hello-web入手反混淆和disable_function绕过

比如：一个恶意文件中有一个恶意构造的函数和我们程序指令执行时调用的函数一样，而LD_PRELOAD路径指向这个恶意文件后，这个文件的优先级高于原本函数的文件，那么优先调用我们的恶意文件后会覆盖原本的那个函数，那么当我们调用原本函数时，它会自动调用恶意的函数，非常危险。用于动态链接库的加载，在动态链接库的过程中他的优先级是最高的。比赛打了一道题，考的是反混淆和disable-function的绕过，比较菜，也是学到了不少。虽然比赛打的是其他的，但是没有理解到，这里感觉LD_PRELOAD应该是最典的。

2025-01-23 13:57:17 636

原创探究Pker对opcode字节码的利用

pickle使用来定义序列化过程中的指令和格式。操作码是表示某些操作（如存储对象、读取对象等）的指令，它们以字节的形式存储在 pickle 数据流中。每个操作码对应一个 Python 对象类型或序列化操作。pker是一个用于生成pickle操作码（opcode）的工具，通常可以帮助用户更方便地编写 pickle 操作码。它可能是一个用于简化操作码编写和调试的辅助工具。通过使用pker，用户可以方便地构造 pickle 的二进制流，而不需要手动编写每个操作码。pker的核心是通过一些特殊的函数（GLOBAL。

2025-01-21 14:46:44 1088

原创强网杯RS加密签名伪造及PyramidWeb利用栈帧打内存马

由以上源码发现首先需要伪造admin用户token才能进入test路由进行命令执行，但是由于RS算法的密钥是随机的我们不能够伪造admin。但是发现并没有注册上路由，访问还是404，难点就在这里折磨了好久，猜测原因是，配置好路由之后才注册的app，注册好之后就不能添加路由了。我们只探索Pyramid WEB新框架下的内存马发现是通过pyramid.config来生成的。接下来就是注册路由添加内存马，我们通过定义路由函数仿照源代码中写内存马。先寻找一些Pyramid框架下的添加路由。我们本地调试解密函数。

2025-01-17 15:57:08 374

原创 Solon内存马构造

发现最终是调用org.noear.solon.core.route.RouterDefault#add(java.lang.String, org.noear.solon.core.handle.MethodType, int, org.noear.solon.core.handle.Handler)去添加。Solon是Java “新的”应用开发框架，类似Spring boot ，号称Java “纯血国产”应用开发框架，面向全场景的 Java 应用开发框架：克制、高效、开放、生态。

2025-01-16 15:10:22 874

原创 Lua项目下SSRF利用Redis文件覆盖lua回显RCE

这段代码的主要功能是从Redis缓存中获取HTTP响应，如果缓存中没有，则通过cURL发送HTTP请求获取响应，将响应缓存到Redis中，并返回响应内容。这段配置主要是用来处理 HTTP 请求，默认提供静态文件服务，并且通过 Lua 脚本动态处理 /visit 路径的请求。当然我们修改gopherus工具的/scripts/Redis.py来生成payload写入文件(原来的功能是写入计划任务反弹shell)写文件visit.script覆盖，写入的时候可以用16进制直接写入，防止有些特殊字符会出错。

2025-01-14 13:45:05 425

原创 Linux渗透实战之Hackademic: RTB1靶场提权

哈喽师傅们，这次又到了给师傅们分享文章的时候了，这篇文章呢主要是给师傅们以vulnhub中的Hackademic: RTB1靶场，开始使用nmap进行相关渗透测试的操作，端口、目录扫描，得到一个静态的html页面，通过源代码为线索，然后挖掘wordpress的CMS框架漏洞，后面通过SQL注入，以手工和sqlmap注入来演示了SQL注入的一个过程，最后面通过爆破wordpress账户密码，去后台进行上传木马，反弹shell，再进行后面的提权操作。就目前来看，还是80端口的web服务是最为吸引我们的。

2025-01-13 14:20:30 1025

原创 XXE 在文件上传当中的应用

如果是CVE-2014-3529，那么我们直接使用docem工具进行生成payload就可以利用，具体原理不多叙述。在实际的src挖掘当中，svg格式上传的地方不是很多，通常来说当有svg上传的地方一般首先会尝试XSS。可以看到某个pdf文件当中还是有一些xml标签的，我们插入无回显的payload可以尝试一下。生成docx的payload，该工具会在每一个xml文件当中插入指定的payload。压缩后，在burp当中进行抓包，修改插入payload。注意压缩文件当中必须要有xml文件！

2025-01-10 15:36:11 415

原创 Linux渗透实战之Nullbyte靶场提权

以靶场的形式给师傅们展示，这样大家看到我的一些好的操作也就可以去操作，去复现，这个也是后面我写一些渗透测试文章相关的一个走向，因为之前写了很大实战中的案例分享，但是是真实的站点，也不好给大家实操，只能作为思路分享，但是我现在单独拿出一些好的靶场来给师傅们演示渗透测试，那么这样对于师傅们来讲是一个不错的体验！我们这个靶机的那个存在sql注入界面的地方，我们第二种方法是以写入php木马执行文件，然后进行执行命令，那么我们可以执行命令，我们不就可以直接写入反弹shell的木马，然后直接迁移shell了。

2025-01-09 14:18:48 893

原创记一次某红蓝演练经历

之前没怎么关注，因为感觉资产测绘的工具都大差不差，但是听朋友说这款工具信息收集还不错，于是就尝试使用了一下，我配置了各种key以后，信息收集能力还是不错的，声明一下:我没有会员哈哈哈哈，不过还是可以当作一款信息收集工具的，会员可以增加全量POC，感觉还是很不错的，接下来就是拿到资产以后进行渗透。向然后说资源不存在之类的，可能是接口做了鉴权？，来自狼组安全团队的一款工具，挺不错的，这里也放一下工具的使用手册，新手放心食用，最新的云鉴也可以试试，毕竟CF的动静还是挺大的。首先拿到资产进行筛选，嗯？

2025-01-09 14:13:59 891

原创 HTML Application利用

HTML应用程序（HTML Application，简称 HTA）是 Microsoft 提供的一种用于创建桌面应用程序的技术。HTA 文件使用标准的 HTML、CSS 和 JavaScript 编写，并通过 Windows 系统的。HTA 的核心特性是允许开发者使用 HTML 和 JavaScript 创建可以直接访问 Windows 系统功能的本地桌面应用程序。标签，该标签定义了 HTA 的应用程序属性，例如标题、窗口大小、图标等。HTA 文件的核心是一个 HTML 文件，其中包含特殊的。

2025-01-08 13:47:13 704

原创记一次渗透测试实战之Sea

访问README.MD，发现是WonderCMS。使用exp.py脚本尝试，发现未能攻击成功。然后添加用户到管理员组，获取root权限。访问80端口，然后使用F12查看源代码。修改之后，重新尝试，成功获取shell。接着使用netexec验证ssh吗密码。查看数据库文件，获取password。使用浏览器搜索，发现存在CVE漏洞。使用hashcat解密，获取密码。发现存在22和80端口开放。发现存在SSRF漏洞。访问发现不能成功利用。然后进行内网信息收集。测试localhost。发现可以进行文件读取。

2025-01-07 10:50:39 306

原创渗透测试-非寻常漏洞案例

均支付成功，但是过几分钟就会退回支付宝并显示支付失败，而另一种支付方式并没有退回，此处不存在漏洞，但是充值会员是需要允许下个月自动续费才能进行充值，因此两种支付均存在自动续费，但是支付宝退款发现自动续费还存在，而查看支付成功的一边自动续费也没有取消，因此类似签约漏洞的问题产生。在渗透测试中挖掘到许多不一样的漏洞，在常见的渗透测试案例中非常稀少，即使是SRC中也很少见，这么久也没遇到过几次，所以在这里分享一下，亲身经历挖掘到的其中的几个比较奇奇怪怪的漏洞。此文章不允许未经授权转发至除先知社区以外的其它平台！

2025-01-03 14:31:40 451

原创 JS中的漏洞信息

本文章所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法. 此文章不允许未经授权转发至除先知社区以外的其它平台！当我们拿到网站，但是又不知道密码，目录扫描也扫不出有效的信息时，我们可以从前端JS源码入手，找找是否有可以利用的点，或者未授权的接口从而一步一步扩大危害，拿到系统源码或者用户信息等。这个其实危害感觉不大，只泄露了用户名，手机号等一些信息，但是这个网站SRC的，所以还有20元子赏金，hhh。此key有效，hhh。

2025-01-03 14:23:52 419

原创记一次渗透测试实战之Sea

访问README.MD，发现是WonderCMS。使用exp.py脚本尝试，发现未能攻击成功。然后添加用户到管理员组，获取root权限。访问80端口，然后使用F12查看源代码。修改之后，重新尝试，成功获取shell。接着使用netexec验证ssh吗密码。查看数据库文件，获取password。使用浏览器搜索，发现存在CVE漏洞。使用hashcat解密，获取密码。发现存在22和80端口开放。发现存在SSRF漏洞。访问发现不能成功利用。然后进行内网信息收集。测试localhost。发现可以进行文件读取。

2025-01-02 15:35:06 343

原创记一次某OA渗透测试有意思的文件上传漏洞挖掘经历以及分析

这些文件通常用于执行一些特殊的服务器任务，如图像生成、文件下载或其他动态内容的处理。这次感觉这个文件上传藏得还是比较深的，也是告诉自己挖掘一些漏洞的时候，千万不能放过任何一处细节，往往细节决定成败。给我返回了这个消息，那么我们可以理解为这个文件应该是要传递一个参数的，但是参数是什么，我们目前还不知道。ueditor组件也有一个ashx文件，看着文件名字应该就是用来处理文件上传功能的。看到api爆出200 ok的那一刻我的心情是激动的，感觉要有很多接口泄露了。我这边首先找到的是一个文件上传的登陆框。

2024-12-31 13:51:12 385

原创前端加解密对抗encrypt-labs

之后慢慢看师傅们的文章，也学到了很多绕过技术，于是写了个简单的靶场，为之后的师傅们铺路学习,加密方式列出了我经常见的8种方式包含非对称加密、对称加密、加签以及禁止重放的测试场景，比如AES、DES、RSA，用于渗透测试加解密练习。现在日子越来越不好过了，无论攻防、企业src还是渗透项目，总能看到大量的存在加密的网站，XZ师傅的前端加密靶场还是很值得做一做的，环境很贴合实战会遇到的一些情况，本人web小菜鸡练完之后反正是收获颇丰，推荐给各位师傅。值，丢到第二个包中，依旧是自写脚本即可，不难，这里不演示了。

2024-12-30 15:15:18 1119

原创 vulnhub靶机billu_b0x精讲

这里读取到了index.php的源码，存在任意文件读取漏洞，分别尝试读取passwd和shadow，看看能不能获得shadow文件爆破hash直接获取到root密码。index.php包含了c.php，head.php，而index.php又是一个登录页面，很有可能包含的就是数据库配置文件，继续利用文件读取漏洞读取源码。通过观察/test目录，页面提示需要传入一个file的值，联想到任意文件读取、文件包含，这里先get去传参一个index.php。

2024-12-27 13:38:31 1101

原创 Linux渗透实战之Trickster

这台靶机挺有趣的，兔子洞不少，难度的话在中等偏上吧，其中找凭据建立立足点卡了几个小时，最终提权到root打PrusaSlicer 2.6.1 - Arbitrary code execution，花了一晚上也没打通，最后在lzh师傅的帮助下利用了一个自动化脚本成功root。出现了很多config相关的文件夹及文件，一个一个找不现实，从哪里下手依赖经验及当前情势的判断，我们发现在app/config下放了很多config相关的文件，并且该路径也出现的靠前，先尝试着看看，如若不行在考虑其他路径。

2024-12-27 13:36:44 1010

原创记一次5000万资产的渗透测试

检索目录发现8080端口部署了一个web管理服务，就是上面能getshell的，还有另外一个web服务在8900，我们把两个源码都下载下来。后面就是可以进行内网的渗透利用了，但是点到为止，事后也是将所有后门木马删掉，也是通过这次记录，能给新手一点渗透的灵感吧。于是我先上传png进行测试，发现可以上传，然后又上传jsp，发现并没有过滤，可以直接传。发现扫描不出来什么，就是多了另外一个站，但是其实也是在我们开始资产收集的那个资产范围内。我拿了某个域名去进行扫描，然后有这几个路由是可以访问的，先看/admin。

2024-12-23 16:18:49 249

原创域渗透实战之HTB-Vintage

发现的目标域中获得立足点。Pre2k 可以从未经身份验证的上下文运行，以从提供的恢复主机名列表（例如从 RPC/LDAP 空绑定）执行密码喷射，或从经过身份验证的上下文运行以执行有针对性的或广泛的密码喷射。SERVICEMANAGERS组对svc_ark,svc_ldap,svc_sql这三个用户具有GenericAll的权限，这是个突破点，因为具有GenericAll权限，有很多事可以做。获得立足点后，进行了一些枚举，打算上传一些自动化收集信息的exe，但本地有杀软，举步维艰。

2024-12-18 16:30:11 1163

原创记对一次360远古版本安装包挖掘导致的kill

鄙人通过挖掘360历史版本得到了一个哇塞的卸载包，最新版本（v14系列）的，在想要运行卸载包来实现k360会收到很大阻碍，具体为：按键hook不允许模拟点击，需要先结束360服务再删除，删除的非常的彻底容易再次安装，鄙人挖掘到的这个卸载包完美避开以上所有缺点，唯一需要解决的就是判断按键位置并且点击，卸载包在附件中，密码为。序言，本文继续将分享一种鄙人不久前挖掘到的360相关可利用方面，可实现k360，代码还是需要各位师傅自己微调微调的，不要用我的技术搞违法乱纪的事，法律责任与鄙人无关。

2024-12-17 14:22:09 407

原创一种k360的方式分享

我们运行，发现虽然鼠标移动到了“是”按钮上，但是没有办法有效点击，这是因为360对旗下产品的任何按键都做了hook处理，防止这样去点击，那么我们沿着这个思路继续写，用NtUserInjectKeyboardInput函数绕过杀软屏幕锁定模拟键鼠。序言，本文将分享一种鄙人之前挖掘到的360相关可利用方面，可实现k360，代码还是需要各位师傅自己微调微调的，不要用我的技术搞违法乱纪的事，法律责任与鄙人无关。判断存在该指令利用，我们不妨输入试试效果。完成点击，360被成功干掉。

2024-12-17 14:20:12 239

原创 THM 靶场 — Overpass-writeup

在定时任务中，可以发现一个以 root 用户 curl 网站目录下的一个 bash 脚本并且执行。在关于我们的页面下有一些员工的名字，可暂时保存下来。需要在目标主机中 cp bash，接着在我们挂载的本机目录中进行赋予权限。那么我们可以尝试接口转发，让本地的某个端口，被转发到远程服务器上。在上面我们得知了密码，但不知道是谁的密码，甚至不知道是哪个服务的。这个页面是关于这个网站发布的软件的一些下载。在上题的流中，最下面使用了 git ，下载了一个文件。但是现在我们是 www 用户，我们需要一个真正的用户。

2024-12-13 13:28:16 992

原创 ATT&CK红队评估实战靶场二

发现目标主机上是安装了某60的，目前是管理员权限、有两种绕过的思路，第一种就是自写免杀shellcode，第二种就是远程桌面连上去手动关闭某60，因为在前期信息收集过程中收集到3389端口是开放的，为了节省时间，这里我先选择第二种方式，但是在实际的红队项目中，手动关闭杀软是一种高危操作，很容易被检测设备或者蓝队人员发现。漏洞存在，但是获取不到shell，猜测可能是目标装了防护软件。域内成员为DC（域控），PC，WEB（当前控制的主机）这里提示是存在永恒之蓝漏洞的，进一步进行利用。

2024-12-11 11:07:32 1165

原创入门级badusb框架的实现

作为HID 攻击的一种，badusb可以说是声名远洋本质是伪装成输入设备在被害者电脑上快速完成威胁操作，理论上来说只要能进行hid交互就能完成攻击，也有很多公司出相关产品例如O.MG 的伪装成数据线的O.MG Cable，不过这不是我们今天的目标，至于badusb的介绍网络上有很多了便不再追述，这次主要讲以最廉价的价格实现一个badusb。这就是一个简单的案例，将我们常用的字符通过key_map映射过后，通过遍历模拟键盘拉起一个poweshell终端，在其中输入字符，将代码烧如便是一个简单的badusb。

2024-12-10 15:25:35 986

原创域渗透入门靶机之HTB-Cicada

前期通过信息收集，发现smb存在匿名登录，在'Notice from HR.txt'中发现了默认密码，然后进一步信息收集，去寻找有效用户，通过crackmapexec的--rid-brutr参数，爆破出了一组用户，然后进行密码喷洒获得一组凭据，一无所获，也可能是字典的原因，我们也尝试利用LDAP服务来爆破用户名，可以借助ldapnomnom这个工具去爆破，但我们并不知道有效用户的格式，因此决定换一种方法，借助crackmapexec中的--rid-brute参数来寻找有效用户。

2024-12-09 15:59:46 864

空空如也

空空如也