2401_89294392的博客

目录：0 前言1 信息搜集思路02 用户密码重置3 仔细走包，拿下全校用户敏感信息实现全校学生重置且登录0 前言记得那是一个美丽冻人的下午，无意间翻到了一个站点，重置密码只需要学号/工号，姓名和身份证。那肯定要搜集一波。1 信息搜集思路我和他的相遇，离不开我之前的不断学习和提高。这个学校不是什么985高校，所以就直接google语法搜了。这里给大家一些我经过实验整理的一些非常好的关键词，巨巨巨好用，往往会搜集到一些预想不到的东西。

目录：一、团队建设实践经验1.1人才储备方面1.2武器储备方面1.3绩效考核方面1.4团队协作方面二、红队成员核心能力2.1情报搜集人员2.2打点实施人员2.3漏洞挖掘及工具开发人员2.4社工钓鱼人员2.5内网渗透人员三、红队快速上分若干技巧3.1完整读一遍攻击方手册3.2手里有0day交还是不交3.3关注历史遗留webshell3.4与裁判保持良好的沟通四、经典案例4.1某大型金融企业集团4.1.1子公司供应链迂回打点4.1.2与蓝队反复对抗4.1.3社工钓鱼4.1.4内网横向渗透。

目录：一、Obj List List二、WEB一、Obj List List固件：xxx.img二、WEB导环境启动开机，配置一下环境CLI 查看一下设备信息这里按照原文中作者思路已经拿不到源码了，在内存启动的不在磁盘。根据作者思路，挂 grub 引导驱动p1中 设置了超级用户 xxx 以及使用了pbkdf2 sha 512 1000 进行加密，如果需要过二级认证 这里可以直接注释掉用户和密码开头行，或 自行生成密码替换到文件中。

主要问题一个想法AI 模型方法查找视频开始利用！本文分享使用人工智能扫描 HackerOne 上所有已公开视频的经验。我将讨论我是如何成功开发一个 AI 模型，并基于模型的结果提交了多个漏洞报告的。主要问题HackerOne 接受任何关于在已公开报告视频中报告未公开报告的报告。这听起来有点令人困惑，所以我会举一个例子来更清楚地解释这一点。#1294767该报告包含一个漏洞猎人录制的视频，作为其报告的概念验证（PoC）；问题在于，该视频中显示了未公开的报告（在左侧）。一个想法。

GraphQL算是一个国内外比较常见的API了，泄漏、注入、未授权的测试都比较方便，在SRC中可以多加关注。

前记0x1 判断网站数据库类型0x2 了解mssql数据库的主要三大系统表0x3 了解mssql的主要函数0x4 判断注入点及其注入类型0x5 联合查询之判断列数0x6 联合查询之获取数据库相关信息0x7 mssql之时间盲注0x8 mssql之报错注入0x9 总结前记今天挖edu随意点开个站，发现存在mssql数据库的sql注入，在此分享下整个挖掘过程0x1 判断网站数据库类型•根据后缀进行判断，mssql数据库一般后缀为aspx，只要是后缀为aspx的站一般都是mssql数据库。

目录：0x01 信息收集0x02 弱密码爆破（无成果）0x03 忘记密码（无成果）0x04 登陆突破（万能账号登陆）0x05 越权（密码修改绕过）0x06 敏感信息泄露0x07 SQL注入0x08 任意文件上传0x01 信息收集1.通过目录扫描，和js审计发现该站点只存在登陆和忘记密码功能0x02 弱密码爆破（无成果）1.先手动测试了几个，发现提示都是用户密码错误，那么就不能根据账户去爆破密码了。

目录：动态加载字节码 字节码 加载远程/本地文件 利用defineClass()直接加载字节码 利用TemplatesImpl加载字节码Java字节码指的是JVM执行使用的一类指令，通常被存储在文件中。在前面类加载机制的学习中，正常情况下URLClassLoader是AppClassLoader的父类。通常情况下,Java会根据配置项sun.boot.class.path和java.class.path中列举的基础路径（这些路径是经过处理后的java.net.URL类）来寻找文件来加载，这个基础路径有分三种

Serein 安装使用SRC 批量挖掘Serein 安装使用工具地址：zkanzz一款图形化、批量采集url、批量对采集的url进行各种nday检测的工具。可用于 src挖掘、cnvd挖掘、0day利用、打造自己的武器库等场景。其实能够利用 1day 打站的工具有很多，可以自定义的武器库工具也有很多，该工具主要是引用了反查域名和查权重的 api 功能，实现了一步到位。github 下载后， pip 下载好依赖就能直接使用，工具排版，

目录：前言外网突破资产扫描与常规漏洞域环境渗透核心生产网渗透总结教程下载链接：zkanzz话不多说，我们开始：作为一个资深的安服仔，经常要去客户那里做渗透测试的。最近在做项目的时候，领导让我带带徒弟，于是把整个过程做了详细记录，重点是域环境的渗透，有很多碰到的问题和解决思路，大佬勿喷哈哈，为了脱敏，其中涉及的域名全部用*.COM代替。确定攻击目标公司之后，利用网络空间测绘平台fofa发现该公司部署在公网Fortigate VPN设备。

在随意浏览目标网站时，我遇到了一个响应。我使用浏览器扩展来分析目标所使用的技术。结果显示，该网站正在使用。我启动了，捕获了请求并将其发送到 Repeater。我收到以下响应：​​​​​​​由于收到响应，我决定测试是否允许。我对请求进行了如下修改：​​​​​​​令我惊讶的是，我收到了响应，这表明我的数据已成功上传！​​​​​​​随后，我尝试访问上传的文件，并成功检索到了存储的数据。的此类错误配置允许未授权用户上传数据，可能导致严重的安全风险，例如：未授权的数据存储覆盖敏感文件潜在的数据泄露。

目录：Hessian 介绍远程调用示例远程调用源码分析客户端处理sendRequest 方法readReply 方法服务端处理封装调用Hessian 反序列化Hessian1.0 源码分析序列化反序列化Hessian2.0源码分析序列化反序列化Hessian 反序列化漏洞ROME 链hessian 是个轻量级的远程 http 工具，采用binaray Rpc协议，适合发送二进制数据，同时具有防火墙穿透功能，hessian 一般通过 web 应用来提供服务。

目录: 某公交管理系统挖掘 SQL注入漏洞越权漏洞前台通过给的账号密码,进去按顺序依次点击1、2、3走一遍功能点，然后开启抓包点击4当点击上图的4步骤按钮时，会抓到图下数据包，将其转发到burp的重放模块构造以下注入poc，可见注入延时了五秒，用户输入的语句成功拼接到原有的SQL语句上执行了 下面的poc是MenuIds的值下面开始进行注入拿数据，构造下面poc，对数据库当前用户名进行查询成功延时5秒，说明数据库当前用户名第一个字母为t，下面继续对数据库用户名第N位字母进行猜解后面通过注入我成功

一、web.xml 文件泄露二、Fastjson 远程代码执行漏洞三、hydra工具爆破四、绕过验证，SQL攻击成功五、Struts2代码执行今年七月，我去到了北京某大厂参加HW行动，因为是重点领域—-jr，所以每天态势感知设备上都有大量的告警。现在给大家分享一下我碰见的部分告警流量以及一些其他友厂当时分享的流量，并教大家我是如何分辨其为什么漏洞引起的告警。涉及保密协议，以下所有内容都会厚码。

我尝试通过更改帖子 ID 来修改请求，试图将其他用户的报告发送到我的邮箱。起初，我并没有计划测试这个导出功能，但出于好奇，我点击了下载 PDF 的按钮。3、我会为每个测试的应用程序创建一个 Obsidian 文件，在其中存储重要信息，比如两个测试账户的 ID，以及应用使用的任何。通过这样做，我可以未经授权访问其他用户的 PDF 报告，暴露了他们的私人帖子信息，我能够看到应用程序中的所有帖子。简而言之，该应用未能实施适当的安全机制来防止未经授权的访问，使这两个漏洞都变得非常危险。（而不是我所有的帖子）。

于是我开始思考平台是如何对用户进行权限划分的，回到响应数据包中，对比admin用户与其他用户的区别，我发现admin用户与其他用户最大的不同在type和teacherId两个参数，所以我推测系统是根据参数type和teacherId来对用户进行权限的划分。经过一番寻找，成功找到另外一个与admin用户鉴权参数值相同的用户，并且此用户的密码是可解密的，登录该用户后，发现先前的猜测完全正确，该用户具备与admin用户完全同等级的权限，成功拿下了该校的学工系统。1.Env接口中找到加密字段的属性名称;

智能合约安全合约无效化攻击合约自毁函数 selfdestruct攻击实现漏洞防御总结本篇主要引入 自毁函数 在攻击上的一些可能点, 其核心还是代码逻辑漏洞, 另外, 本篇中的漏洞代码也可以使用回滚攻击去”耍赖”, 感兴趣的同学可以自行尝试.

最近发现蛮多师傅在去挖补天、或者cnvd的时候，大批量去dump资产要证明归属，奈何一个一个的搜索又太繁琐，所以这里就写了一个小脚本（gpt为主，键盘为辅0.0）用法简单就是把你dump下来的资产把url那一栏直接放到该脚本同目录下的domain.txt文件中即可。而后直接run这个脚本（习惯命令行的师傅们自便改改）（脚本会自动提取不为域名的url）结果会生成两个文件jieguo.txt (百度、移动、谷歌三个权重值有一个不为0的url列表结果)result.txt （最开始do

信息搜集未授权+敏感信息泄露+越权+任意用户密码重置1.越权访问2.大量敏感信息越权任意用户密码重置信息搜集这里找到从小穿一条裤子长大的兄弟，要挟他交出来他的统一账号，否则把小时候的照片挂网上，开始某大学的资产搜集，直接hunter搜索此大学域名看有价值的站点，ok找到下面的站点未授权+敏感信息泄露+越权+任意用户密码重置。

因为那天项目刚忙完闲来无事，尝试捡个cnvd洞，cnvd录取要五千万资产，自己又懒得找毕竟捡洞嘛，索性去cnvd上进行搜集直接开搜弱口令，因为我比较喜欢有登录框的站，这样搜索出来的资产可能就更容易进行挖掘随便挑一个开始直接在搜索引擎开始搜索适合自己的资产欧克，未授权捡洞成功，提前下班开个玩笑，虽然是未授权但是里面的功能点是不能访问的，能查看的数据有限空空如也，啥也没有，而且点击上传，还直接让你进行登录开始抓取登录口的数据包，看看有什么好玩的，第一个包什么都没有。

目录： CB链 环境配置 　　环境配置 　　测试环境 正式学习 　需要了解的类 　　PropertyUtils 　　BeanComparator 　攻击构造　 　反序列化部分 　　序列化部分pom.xml添加：测试环境这里需要3.2.1的原因是后面要利用的BeanComparator要用：image-20240809203554712踩了一下坑，这里4是用不了的Apache Commons Beanutils 是 Apache Commons 工具集下的另一个项目，它提供了对普通java类对

目录：动态加载字节码字节码加载远程/本地文件利用defineClass()直接加载字节码利用TemplatesImpl加载字节码。

前言互联网突破第一层内网第二层内网总结上个月根据领导安排，需要到本市一家电视台进行网络安全评估测试。通过对内外网进行渗透测试，网络和安全设备的使用和部署情况，以及网络安全规章流程出具安全评估报告。本文就是记录了这次安全评估测试中渗透测试部分的内容，而且客户这边刚刚做过了一次等保测评，算一下时间这才几周不到，又来进行测试，实在是怕没成绩交不了差啊。

测试SQL注入，我试了”—+符号，显示权限不足，但是用了单引号，就可以显示出来数据，证明是单引号闭合的SQL注入

某天，小组长给了我任务，交代收集目标暴露面资产，并顺带给了几个站来玩玩，于是有了接下来的操作。目标站点首页：一看这网站，就想先信息收集，于是使用了linkfind工具命令：于是，我输入相应的信息，抓包并抓取返回包，(提示说Old password is invalid)说明密码错误。心中突然涌出了一个想法———————->于是进行了尝试，先是将result修改成1。发现还是返回密码错误，是又重新抓包。仔细观察了一番，发现请求头为400，感觉不太对劲。就将请求头修改为200，并

在对目标进行侦察和端口扫描时，我们发现了一个使用端口 8443 的子域名：http://admin.target.com:8443。虽然响应返回了一个 404 状态码，但大多数猎人可能会忽略任何返回 404 的子域名，而我不会！通过对 http://admin.target.com:8443/FUZZ 进行模糊测试（Fuzzing），我发现了一个路径 /admin/，它会重定向到登录页面 http://admin.target.com:8443/admin/faces/jsf/login.xhtml。在

目录：WEB蜜罐jsonp蜜罐jsonp跨域蜜罐分析XSS蜜罐WebRTC获取IP其他识别与规避MYSQL蜜罐蜜罐行为蜜罐规避总结随着攻防的不断发展，厂商和蓝队的防御手段越来越精进，也有了很多方法溯源攻击方，蜜罐就是其中的一种，前段时间受学长的指点，特地来研究一下蜜罐的原理和规避蜜罐（honeypot），带蜜的罐子，进去吃了蜜，就出不来了，本质上就是一个陷阱，在网安领域上看，蜜罐就是针对渗透测试人员（比如红队）的一个陷阱蜜罐的类型也很多，下面简单谈谈常见的几种蜜罐。

Swagger UI 被广泛用于可视化和交互式操作 API，但开发人员经常错误配置它，或无意间暴露了敏感的端点。通过掌握 Swagger UI 目录枚举，发现许多高影响力的漏洞，而这些漏洞常常被他人忽视。本文将分享一些方法、发现以及一些技巧。对于不熟悉的人来说，Swagger UI 是一个开源的 API 文档工具，帮助开发人员设计、构建并记录 REST API。它通常会暴露一些端点以便测试和调试使用。虽然对开发人员来说十分便利，但错误配置的 Swagger UI 可能泄露敏感信息。

在智能合约上去玩这些至少目前是不可能的,首先区块链上无法生成真随机数,伪随机数是完全可以被预测的,而就算不去推演这个伪随机数,也可以通过回滚攻击的方式去耍赖.另外提一下,如果目标合约不返回true,false这些,也可以根据检查本合约的以太币是否增加来判断是否回滚交易.

SSRF简介服务器端请求伪造（SSRF）是一种Web安全漏洞，它允许攻击者使服务器端应用程序向非预期的位置发送请求。这可能导致攻击者迫使服务器连接到组织内部基础设施中仅限内部访问的服务。在其他情况下，他们可能强迫服务器连接到任意的外部系统。这可能泄露敏感数据，例如授权凭据。BlindSSRF简介BlindSSRF漏洞的出现是由于应用程序被诱导向提供的URL发出后端HTTP请求，但后端请求的响应不会在应用程序的前端响应中返回。

目录：前言案例一、若依系统配置不当案例二、基于若依的延申漏洞挖掘有时候换几个思路，事半功倍下面讲解一些很简单，但是实用的思路。

之前发布的文章，例如SRC中的一些信息收集姿势-Track知识社区-掌控安全在线教育-Poweredby掌控者里面就有提到若依系统，默认账号密码非常简单＋我zkanzz是admin/admin123但是，往往我们去挖掘的时候很容易出现这说明了若依系统的门槛太低了，我们需要上点花样（无偿分享资料我们接着聊）

我将深入探讨我是如何通过详细分析和利用暴露的端点、硬编码的凭据以及配置错误的访问控制，成功获取目标组织关键IT基础设施和云服务访问权限的全过程。发现了这个端点：https://sub.domain.com**/crx/packmgr/service.jsp**交互，访问 https://sub.cloudapp.domain.com/于是，我编写了一个简单的脚本来下载所有包。我请我的朋友协助执行操作。参数列出所有包之外，无法执行任何其他操作。，并发现了一些有用的端点。， 但在深入研究这些包后，

与我们在macOS部分的解释类似，Windows上也有特定的目录，通常用于安装应用程序，这些目录包含运行应用程序所需的文件和资源。总之，该脚本尝试定位Windows上的驱动器字母，然后继续搜索通常可以找到应用程序的常见路径（如 Program Files、AppData，以及一些用户目录，如 Desktop、Downloads 和 Documents）。作为说明，应用程序名称（App Name）的确定仍然依赖于目录名称，如果用户使用与应用程序名称不同的目录名称，可能会导致不准确的输出。

目录：提取和分析 .asar 文件4.1. .asar 文件提取工具4.1.1. 为什么选择 NPX？4.2. 提取过程4.3. 提取 .asar 文件的重要性4.3.1 关键词4.3.2 执行关键词搜索4.3.2.1 使用命令行工具“grep”进行关键词搜索4.3.2.2. 使用GUI工具进行关键词搜索 —例如 “Visual Studio Code”

在几乎每一次攻防、红队和bug赏金中，凭据都能改变游戏规则。我们在信息收集和漏洞研究上投入了大量的精力和时间，通过找到一些有效的凭据可能会节省我们大量的时间，并推动整个操作向前发展。我在这里提到的大多数方法都很简单，并且不会消耗很多时间。

目录：环境搭建 　jadx 反编译 　本题环境搭建 题目分析 番外环境搭建，给的附件中就一个 Main.java 和四个 jar 包，借由这道题简单讲讲一般 CTFJAVA 题目的环境搭建之前前面看的几道题由于都是 spring 环境，自己写的类也少，所以都是直接打开的 jar 包复制过去的， idea 会自动反编译 class 文件（当然只是不能保存为 java 文件而已，如果想要实现反编译并保存可以试试其插件）直接用 jadx 打开整个文件夹，然后 ctrl+E 直接保存编译后的源代码，然后再用 ide

当一个功能在前端不可用时，并不一定意味着该功能不可用。在这个案例中，我们在公司的子域中找到了注册功能，尽管它并不显眼。开发人员或公司很可能在不同产品之间保持一致的开发风格。在这个案例中，很明显开发人员为两个不同的应用功能使用了相同的端点。即使应用程序似乎使用了难以猜测的哈希值或UUID，仍然要记住，从应用程序的某个公开可访问的页面中获取这些信息的可能性是存在的。

在漏洞挖掘时，我们再次遇到一个仅提供登录表单的目标系统，我们尝试通过寻找可能存在的凭据信息，以便用于登录目标系统。长话短说，我们找到了一组有效的账户信息，从而能够更好地了解该应用程序中的情况。当我们首次登录时，我们立刻认为这只是一个普通用户账户（因为菜单非常简洁）。如果遇到这种情况，我们应该记住一个基本原则：“只要一个应用中有普通用户，通常就会有一个负责管理所有用户的高权限用户”。然而，问题在于我们对这个高权限用户及其菜单（包括端点）的信息一无所知，因为我们手上只有一个普通账户。

简要总结一下：安全问题并非仅仅存在于一个方面。实际上，我们可以使用来自其他资产的数据应用到目标的主要资产上。尝试找出目标的原始服务器 IP。因为在安全边界的实现过程中，可能会存在配置错误（就像在这个案例中）。在我简单的观点中侦察工作并不总是指资产发现活动。在这个案例中，它还意味着我们尝试了解应用程序是如何工作的，了解目标的开发文化等等。获得用户名意味着你离登录目标系统又近了一步。获得用户名后，你需要做的一件事就是尝试将搜索范围扩展到 Github、Trello 等协v。