- 博客(178)
- 收藏
- 关注
原创 通过Elastic EDR看smbexec并进行二次开发Bypass
这是笔者第一次在EDR环境下进行横向移动测试,Elastic EDR是一种开源的解决方案,通过impacket包中smbexec进行横向移动测试时,Elastic EDR有5种类型告警。本文通过分析smbexec原理,分析在不同阶段Elastic EDR的告警规则,二次开发smbexec,修改特征,最终绕过了Elastic EDR,0告警,获取目标主机SYSTEM权限shell。笔者使用的Elastic EDR的版本是8.17。一整套smbexec流程下去,一共有5种类型告警。
2025-06-10 14:59:45
890
原创 任意类加载环境下注入内存马
在 JVM 中,每个类都有它所属的类加载器,在 Java 内存马注入场景下,我们会制作一个恶意类通过 ClassLoader.defineClass 方法注入到 JVM 中,然后通过一些特定方法注册到 Web 组件上以供我们访问。看起来非常的完善,兼容性很强的样子,先尝试获取上下文类加载器中注入,上下文类加载没有就注入到 context 的类加载器中。实际测试起来就会发现有些场景下根本不行,而记某次实战 hessian 不出网反序列化利用。
2025-06-06 13:38:55
962
原创 Linux Shellcode开发(Stager & Reverse Shell)
在linux shellcode编程中,我们应该使用 RDI,RSI,RDX,R10,R8,R9,来传递前六个参数。
2025-05-28 13:26:34
636
原创 HotSwappableTargetSource+XString利用分析
为什么 XString 需要配合 HotSwappableTargetSource 进行利用而不能直接单独使用由 equals 调用到 tostring 方法。
2025-05-23 13:22:59
936
原创 高版本Fastjson:Getter调用限制及绕过方式探究
前面提及到了,在fastjson或者jackson中存在有原生的反序列化链Gadgets,能够触发任意对象的getter方法,而在高版本中同样对之前的方式进行了一系列的限制,那么该如何绕过这类限制呢?
2025-05-20 15:24:54
1094
原创 关于Mirth Connect的一些利用方式
存在是存在,但是是urlclassloader的下面,java父classloader是无法找到子classloader的,所以没法注入内存马,宣告失败。再查看pid,可以发现监听的端口10010,10086和登陆端口18080是同一个进程启动的,这也许可以把内存马打到18080上去。上面实现的功能,需要我们新建端口的监听,需要服务器没有nat,如果存在nat,只能访问登陆页面,那就没法访问到新建的通道的端口。仔细看了下发现应该是用Mirth Connect改的,但是使用历史漏洞打了一波,并无成果.
2025-05-16 15:55:33
712
原创 红队视角下的域森林突破:一场由Shiro反序列化引发的跨域控攻防对抗
收集完没有太大进展,想着还是扫一下内网的端口的服务把,等多收集点账户在做喷洒,然后扫内网扫出来,很多mysql数据库,其中一个有弱口令但是对方机器是linux,也不刷分,对我们渗透没多用也就没利用.查看了内网大部分的web服务都没有突破口。这下总算是让我有些收获了,也是成功的横移到另外一个域控上,然后我又通过这样的方法,连续横移了好几台机器并且提取了机器上的hash,让我成功拿到了administrator的用户密码。显示500,我说呢,难怪内存马打不上,原来是Tomcat版本问题啊,那这就好办了。
2025-05-12 14:49:38
922
原创 web+wx浏览器组合拳拿下edu证书站
这次是在某个无聊的假期闲逛edusrc礼品的时候,某个证书站有种莫名奇妙的魔力吸引了手中的鼠标,随后开始的一段证书挖掘。。。
2025-05-07 15:22:22
297
原创 记一次奇妙的Oracle注入绕WAF之旅
整个测试过程如下从登陆框开始 --> 构造1=1 成功闭合 --> %23不能用猜测不是mysql --> xor 再次确认不是mysql --> 尝试like&&ilike 排除pg --> 函数过滤 fuzz --> 想到 /0报错 --> 找到user虽然写出来后并没有多长的内容,但实际上也是消耗了很长的时间。时间主要也是花在了fuzz和寻找可用函数的过程中。
2025-04-28 15:04:24
694
原创 从Nacos derby RCE学习derby数据库的利用
使用derby数据库的嵌入模式。有token,即需要有权限绕过的漏洞或者有密码版本:2.x小于2.4.0,1.x<=1.4.7这篇文章除了常规的漏洞分析外,我做的有价值的工作有两个地方:一是解决了如何联动JMG注入任意内存马,二是解决了不出网情况下写入jar有大小限制的问题。
2025-04-23 15:00:03
1122
原创 云对象存储桶验证漏洞?模型和数据被投毒、机器沦陷?- AI & 云安全
随着云计算的兴起,私有云也逐渐成为企业数字化转型的重要选择之一。然而,无论是公有云还是私有云,在建设过程中都曾爆出过许多安全漏洞。今天,我们就来聊一聊最近爆出的私有云的对象存储系统的漏洞(可以导致任意覆盖写桶里面的文件)以及这个漏洞场景挖掘以及影响。MinIO 是在 GNU Affero 通用公共许可证 v3.0 下发布的高性能对象存储。它与 Amazon S3 云存储服务的 API 兼容。使用 MinIO 为机器学习、分析和应用程序数据工作负载构建高性能基础设施。如何修改我们自定义的想上传的内容呢?
2025-04-22 15:30:39
1053
原创 CC注入Tomcat Upgrade/Executor/WebSocket内存马
学习一下Tomcat中和组件内存马不一样的马。除了学习注入原理外,其payload还在一些缩短payload的场景有应用,比如shiro。
2025-04-21 16:26:40
805
原创 加密补洞?您这是给漏水的船贴创可贴呢!
今天领导甩来一个漏洞让复测,说是业务方不认(大概初测同事写的有点问题)。结果复测时一看,好家伙!人家在原本加密的参数上又套了层加密,活像高校论文查重——重复率太高?那就用翻译软件再翻一遍!😅"我们加了双重加密,安全得很!你不认漏洞,那你做防护干嘛?关键是——再套一层加密能防的住吗?最新也是碰到挺多这样的案例,SQL注入?上加密!越权?上加密!XSS?上加密!仿佛加个密就能一键安全,殊不知攻击者连解密都省了——直接操作加密后的数据照样打。
2025-04-14 15:13:15
236
原创 clickhouse注入手法总结
和mysql差不多,就是注意一下有哪些函数可以互相平替的,比如字符串截取,编码等函数,方便绕过对特定函数的过滤。遇到一题clickhouse注入相关的,没有见过,于是来学习clickhouse的使用,并总结相关注入手法。除了上述表函数,还能够发起mysql连接,jdbc连接,redis连接,详细可以查阅文档。其中TabSeparated表示脚本文件的输出每行以\t符号分隔,用于解析结果,可以换成TSV。表函数就是接在from后面的,返回的结果作为一张表,能够被查询。2. 两个查询对应的列的数据类型要相同。
2025-04-08 15:21:48
1021
原创 SpringAOP新链浅析
在复现CCSSSC软件攻防赛的时候发现需要打SpringAOP链子,于是跟着前人的文章自己动手调试了一下参考了大佬的文章该SpringAOP新链危害还是很大的,因为其依赖少的原因,而且本身就具备该依赖。
2025-04-07 15:51:44
950
原创 不出网环境下的渗透测试
模拟靶机不出网的情况下,首先我们使用suo5代理出shell到vshell,然后再利用proxifier代理出数据库到本地navicat,再在此基础上进行操作。
2025-04-02 15:27:50
351
原创 重写ring3 API函数
本节涉及到系统调用的相关知识,在这里我只是浅浅地介绍一下什么是系统调用。系统调用(System Call)是操作系统提供给应用程序与内核交互的核心接口,允许用户程序请求内核执行特权操作,它是用户态和内核态之间的桥梁。在免杀领域中,只要你是通过syscall指令进入内核态执行特权操作都可以称为系统调用。在Windows操作系统中,假设我们使用了这个Zw*类型的API,它就会从用户态转变为内核态,在内核态由操作系统真正的执行特权操作。
2025-03-24 16:31:56
863
原创 攻防视角下的敏感信息泄露之检测与防护
在日常渗透测试和安全研究中,敏感信息泄露一直是个老生常谈的话题,但是找起来的时候可能无从下手,结合OWASP总结下来的场景,每种都会进行详细的分析,并提出利用和防护思路。
2025-03-19 13:57:24
1129
原创 一文学会各种子域名收集方法
文章中涉及的敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担。
2025-03-14 16:38:59
1464
原创 FTP免杀绕过杀软及钓鱼绕过邮箱检测
打包为zip上传到github复制下载链接,插入到伪造的html页面中的下载url中。其中a文件是之前CS生产的powersshell命令文件,改一下名字就好了。然后客户端连上,然后建立监听器,之后生成powershell恶意文件。通过html页面伪装为查杀后的docx文件,实际链接是木马下载地址。good.dll内容如下,原理是ftp命令模式下,输入。实际测试成功绕过邮箱检测发送给收件人,收件效果如下。然后bad.ps1 写入powershell命令。只要打开快捷键,CS这边就会立刻上线。
2025-03-10 17:12:34
429
原创 深度探索:直击服务器权限获取之旅
在网络安全的神秘棋局中,每一个系统都是一座布满机关的城堡。一次深度的系统渗透恰似一场精密的探秘之旅,从系统目录的文件路径出发,经由云存储桶路径的巧妙关联,最终借助文件上传漏洞,叩开了服务器权限的大门。
2025-03-05 15:44:27
935
原创 徒手渗透测试的独特实践
渗透工具是这场网络安全探险不可或缺的“飞船”与“武器”,然而,无需借助工具,直接对网站进行渗透还是比较有挑战性的,最近一个星期基本都是这样,拿手机渗透,或者打开电脑一个浏览器打遍天下。
2025-02-26 17:21:38
623
原创 Windows渗透实战之EscapeTwo
获得sql_svc的shell,但当前用户并没有user.txt,同时在Users下发现了ryan,猜测user.txt在他的目录下在C:下发现SQL2019,cd进去发现ExpressAdv_ENU在该目录下发现sql-Configuration.INI。拿到这些凭据,可以考虑爆破,但要针对性的爆破,看到表格中的密码涉及了mssql,考虑会不会是mssql的账号密码我们结助netexec来爆破,当然也可以根据密码的特殊性,先尝试一下sa这组凭据。在命令后加上--local-auth。
2025-02-20 13:19:54
1044
原创 记一次渗透测试实战之Sightless
在 2.1.9 之前,Froxlor 应用程序的失败登录尝试日志记录功能中发现了一个存储盲跨站点脚本 (XSS) 漏洞。未经身份验证的用户可以在登录尝试时在 loginname 参数中注入恶意脚本,然后当管理员在系统日志中查看时,该脚本将被执行。通过利用此漏洞,攻击者可以执行各种恶意操作,例如在管理员不知情或未经同意的情况下强迫管理员执行操作。例如,攻击者可以强迫管理员添加由攻击者控制的新管理员,从而使攻击者完全控制应用程序。单击第一行的“检查”将启动一个窗口,显示开发工具中的活动。
2025-02-18 13:46:11
399
原创 三层渗透测试-DMZ区域 & 二三层设备区域
首先先进行信息收集,这里我们可以选择多种的信息收集方式,例如nmap如此之类的,我的建议是,可以通过自己现有的手里小工具,例如无影,密探这种工具,进行一个信息收集。以免在信息收集的环节,遗漏一些信息,导致后续渗透任务的失败。先分析这个目录下的文件:我们的目标是为了通过分析代码,找到有无我们可以利用的漏洞点,利用管理员账户的账户与密码信息,或者是登录框存在sql注入。这个地方,上传的代码,并没有存在任何的上传过滤,对文件内容,以及常见的恶意文件后缀名没有进行任何的过滤,导致我们可以轻松获得shell。
2025-02-17 13:25:57
1239
原创 记一次渗透测试实战之Usage
使用其来获取/root/.ssh/id_rsa,接着保存之后,使用ssh登录即可。收集敏感信息,发现在.monit.rc文件中,存在用户密码。访问web页面,发现存在一个登录地址。运行之后,成功读取root.txt.测试功能点,发现有一处文件上次处。注册一个用户,然后接着抓包看看。没用跑出来,接着修改参数继续跑。尝试上传图片马,访问之后没解析。尝试使用弱口令进行登录尝试。发现它有一些选项,可以运行。使用nmap进行端口探测。抓包之后,尝试SQL注入。使用sqlmap进行枚举。接着重新上传,修改后缀名。
2025-02-12 16:21:07
370
原创 JAVA安全之Java Agent打内存马
Java Agent是一种特殊的Java程序,它允许开发者在Java虚拟机(JVM)启动时或运行期间通过java.lang.instrument包提供的Java标准接口进行代码插桩,从而实现在Java应用程序类加载和运行期间动态修改已加载或者未加载的类,包括类的属性、方法等,而Java Agent内存马的实现便是利用了这一特性使其动态修改特定类的特定方法将我们的恶意方法添加进去java.lang.instrument.Instrumentation提供了用于监测运行在JVM中的Java API。
2025-02-10 15:32:20
1414
原创 浅析Ruby类污染及其在Sinatra框架下的利用
在Ruby中也是万物皆对象,下面定义一个Person类@@cnt = 1# 定义属性# 初始化方法@age = ageend# 定义方法def greetendend类变量(类似Java中类的静态变量)使用@@前缀,实例变量使用前缀,在类内部才用这种前缀来访问。冒号前缀表示符号(Symbol)。Ruby中符号是轻量级的、不可变的字符串,通常用于表示标识符、方法名或键。符号的优点是它们在内存中只存储一次,因此在需要频繁比较或使用相同字符串的情况下,使用符号可以提高性能。
2025-02-08 13:16:49
1180
原创 Spring FatJar写文件到RCE分析
目录下的所有 jar,以及JAVA HOME下系统classpath的jar,无法在其运行的时候往 app.jar classpath 中增加文件。随便选一个sun.nio.cs.ext下的类进行覆盖就OK,为了保持最小体积,抛弃其他类(需要保留ExtendedCharsets类,不然无法加载其他类)。MiscCodec是老朋友了,直接看到deserialze方法,如果clazz是Charset.class的话,会调用Charset.forName。而且还得找系统启动后没有进行过。
2025-01-25 13:37:48
1072
原创 从hello-web入手反混淆和disable_function绕过
比如:一个恶意文件中有一个恶意构造的函数和我们程序指令执行时调用的函数一样,而LD_PRELOAD路径指向这个恶意文件后,这个文件的优先级高于原本函数的文件,那么优先调用我们的恶意文件后会覆盖原本的那个函数,那么当我们调用原本函数时,它会自动调用恶意的函数,非常危险。用于动态链接库的加载,在动态链接库的过程中他的优先级是最高的。比赛打了一道题,考的是反混淆和disable-function的绕过,比较菜,也是学到了不少。虽然比赛打的是其他的,但是没有理解到,这里感觉LD_PRELOAD应该是最典的。
2025-01-23 13:57:17
666
原创 探究Pker对opcode字节码的利用
pickle使用来定义序列化过程中的指令和格式。操作码是表示某些操作(如存储对象、读取对象等)的指令,它们以字节的形式存储在 pickle 数据流中。每个操作码对应一个 Python 对象类型或序列化操作。pker是一个用于生成pickle操作码(opcode)的工具,通常可以帮助用户更方便地编写 pickle 操作码。它可能是一个用于简化操作码编写和调试的辅助工具。通过使用pker,用户可以方便地构造 pickle 的二进制流,而不需要手动编写每个操作码。pker的核心是通过一些特殊的函数(GLOBAL。
2025-01-21 14:46:44
1124
原创 强网杯RS加密签名伪造及PyramidWeb利用栈帧打内存马
由以上源码发现首先需要伪造admin用户token才能进入test路由进行命令执行,但是由于RS算法的密钥是随机的我们不能够伪造admin。但是发现并没有注册上路由,访问还是404,难点就在这里折磨了好久,猜测原因是,配置好路由之后才注册的app,注册好之后就不能添加路由了。我们只探索Pyramid WEB新框架下的内存马 发现是通过pyramid.config来生成的。接下来就是注册路由添加内存马,我们通过定义路由函数仿照源代码中写内存马。先寻找一些Pyramid框架下的添加路由。我们本地调试解密函数。
2025-01-17 15:57:08
403
原创 Solon内存马构造
发现最终是调用org.noear.solon.core.route.RouterDefault#add(java.lang.String, org.noear.solon.core.handle.MethodType, int, org.noear.solon.core.handle.Handler)去添加。Solon是Java “新的”应用开发框架,类似Spring boot ,号称Java “纯血国产”应用开发框架,面向全场景的 Java 应用开发框架:克制、高效、开放、生态。
2025-01-16 15:10:22
894
原创 Lua项目下SSRF利用Redis文件覆盖lua回显RCE
这段代码的主要功能是从Redis缓存中获取HTTP响应,如果缓存中没有,则通过cURL发送HTTP请求获取响应,将响应缓存到Redis中,并返回响应内容。这段配置主要是用来处理 HTTP 请求,默认提供静态文件服务,并且通过 Lua 脚本动态处理 /visit 路径的请求。当然我们修改gopherus工具的/scripts/Redis.py来生成payload写入文件(原来的功能是写入计划任务反弹shell)写文件visit.script覆盖,写入的时候可以用16进制直接写入,防止有些特殊字符会出错。
2025-01-14 13:45:05
444
原创 Linux渗透实战之Hackademic: RTB1靶场提权
哈喽师傅们,这次又到了给师傅们分享文章的时候了,这篇文章呢主要是给师傅们以vulnhub中的Hackademic: RTB1靶场,开始使用nmap进行相关渗透测试的操作,端口、目录扫描,得到一个静态的html页面,通过源代码为线索,然后挖掘wordpress的CMS框架漏洞,后面通过SQL注入,以手工和sqlmap注入来演示了SQL注入的一个过程,最后面通过爆破wordpress账户密码,去后台进行上传木马,反弹shell,再进行后面的提权操作。就目前来看,还是80端口的web服务是最为吸引我们的。
2025-01-13 14:20:30
1148
原创 XXE 在文件上传当中的应用
如果是CVE-2014-3529,那么我们直接使用docem工具进行生成payload就可以利用,具体原理不多叙述。在实际的src挖掘当中,svg格式上传的地方不是很多,通常来说当有svg上传的地方一般首先会尝试XSS。可以看到某个pdf文件当中还是有一些xml标签的,我们插入无回显的payload可以尝试一下。生成docx的payload,该工具会在每一个xml文件当中插入指定的payload。压缩后,在burp当中进行抓包,修改插入payload。注意压缩文件当中必须要有xml文件!
2025-01-10 15:36:11
442
原创 Linux渗透实战之Nullbyte靶场提权
以靶场的形式给师傅们展示,这样大家看到我的一些好的操作也就可以去操作,去复现,这个也是后面我写一些渗透测试文章相关的一个走向,因为之前写了很大实战中的案例分享,但是是真实的站点,也不好给大家实操,只能作为思路分享,但是我现在单独拿出一些好的靶场来给师傅们演示渗透测试,那么这样对于师傅们来讲是一个不错的体验!我们这个靶机的那个存在sql注入界面的地方,我们第二种方法是以写入php木马执行文件,然后进行执行命令,那么我们可以执行命令,我们不就可以直接写入反弹shell的木马,然后直接迁移shell了。
2025-01-09 14:18:48
925
原创 记一次某红蓝演练经历
之前没怎么关注,因为感觉资产测绘的工具都大差不差,但是听朋友说这款工具信息收集还不错,于是就尝试使用了一下,我配置了各种key以后,信息收集能力还是不错的,声明一下:我没有会员哈哈哈哈,不过还是可以当作一款信息收集工具的,会员可以增加全量POC,感觉还是很不错的,接下来就是拿到资产以后进行渗透。向然后说资源不存在之类的,可能是接口做了鉴权?,来自狼组安全团队的一款工具,挺不错的,这里也放一下工具的使用手册,新手放心食用,最新的云鉴也可以试试,毕竟CF的动静还是挺大的。首先拿到资产进行筛选,嗯?
2025-01-09 14:13:59
915
原创 HTML Application利用
HTML应用程序(HTML Application,简称 HTA)是 Microsoft 提供的一种用于创建桌面应用程序的技术。HTA 文件使用标准的 HTML、CSS 和 JavaScript 编写,并通过 Windows 系统的。HTA 的核心特性是允许开发者使用 HTML 和 JavaScript 创建可以直接访问 Windows 系统功能的本地桌面应用程序。标签,该标签定义了 HTA 的应用程序属性,例如标题、窗口大小、图标等。HTA 文件的核心是一个 HTML 文件,其中包含特殊的。
2025-01-08 13:47:13
745
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人