HBohan的博客

在某次攻防演练信息收集的过程中，偶然发现伪装Github信息泄漏进而钓鱼红队人员的后门。下面展开有趣的分析溯源过程。信息收集GIthub信息泄漏根据甲方信息进行常规的Github敏感信息收集偶然发现一个仓库不简单这不是mysql账号密码泄漏了吗，愉快的打开Navicat失败…于是访问源码的8080端口查看一番，发现一个管理后台弱口令针对后台尝试一波弱口令，admin/admin 嗯～进来了进来之后竟然发现账号密码而且客户端解压密码都贴心的放了出来到这里我竟然没有察觉到任何.

漏洞描述在2.13.1版本之前的APache APISIX中，攻击者可以通过向受 jwt-auth 插件保护的路由发送不正确的 JSON Web 令牌来通过错误消息响应获取插件配置的机密。依赖库 lua-resty-jwt 中的错误逻辑允许将 RS256 令牌发送到需要 HS256 令牌的端点，错误响应中包含原始密钥值。漏洞版本Apache Apisix < 2.13.1插件开启在这里给大家演示的是Dashboard页面开启jwt插件。1、当我们环境搭建完毕后、通过访问http://127

前置知识 XML 定义实体XML 实体允许定义在分析 XML 文档时将由内容替换的标记，这里我的理解就是定义变量，然后赋值的意思一致。就比如一些文件上传的 payload 中就会有。XML 文档有自己的一个格式规范，这个格式规范是由一个叫做 DTD（document type definition） 的东西控制的，他就是长得下面这个样子<?xml version="1.0"?>//这一行是 XML 文档定义<!DOCTYPE message [<!ELEMENT messa

前言这个CMS非常适合入门代码审计的人去学习，因为代码简单且漏洞成因经典，对一些新手有学习价值，前台注入从入口开始:/semcms/Templete/default/Include/index.php[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xhTdHBVn-1651041211358)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/490ca1b2038f48148c14ac62455278ef~tplv-k

一、网络安全管理中面临的挑战目前很多组织都已经拥有了防火墙、入侵检测、防病毒系统、网管软件，但是网络管理者在安全追根溯源及安全管理面临如下挑战：1 .安全设备和网络应用产生的安全事件数量巨大，误报严重。一台IDS系统一天产生的安全事件数量近成千上万。通常99%的安全事件都是误报。真正有威胁的安全事件淹没于海量信息中难于识别。安全事件之间存在的横向和纵向方面（如不同空间来源、时间序列等）的关系未能得到综合分析，因此漏报严重，不能实现实时预测。一个攻击活动之后常常接着另一个攻击活动，前一个攻击活动为后

声明：本次实践是在合法授权情况下进行，数据已经全部加密，主要是提供思路交流学习，请勿用于任何非法活动，否则后果自负。本地代码走查本次白盒代码测试的cms是DuomiCms，这次使用Seay工具进行代码审查，下载DuomiCms源码，然后工具加载。先全局搜索危险函数，依次排查；extract();//把数组编程变量parser_str();//把字符串变成变量$$； //可变变量，将变量的值读出来然后再赋值为变量在函数定位后，在文件中依次寻找有通用性的文件后缀内容，如下所示；//此类后.

声明：本文仅用于技术讨论与研究，对于所有笔记中复现的这些终端或者服务器，都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，本站及作者概不负责。建议阅读上一篇后再来阅读本文！！！六、Mysql攻陷服务器1、mysql INTO OUT文件上传MySQL中你可以使用SELECT…INTO OUTFILE语句来简单的导出数据到文本文件上。1）INTO OUT 写入shell.phpmysql -u.

声明：本文仅用于技术讨论与研究，对于所有笔记中复现的这些终端或者服务器，都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，本站及作者概不负责。一、信息收集信息收集非常重要，有了信息才能知道下一步该如何进行，接下来将用nmap来演示信息收集：1、nmap扫描存活IP由于本项目环境是nat模式需要项目IP地址，扫描挖掘本地的IP地址信息：发现本kali ip为40段！用40段进行全网段扫描：nm.

什么是SSRFSSRF(服务端请求伪造漏洞) 由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制，导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。一般情况下，SSRF针对的都是一些外网无法访问的内网，所以需要SSRF使目标后端去访问内网，进而达到我们攻击内网的目的。通过SSRF，我们可以访问目标内网的redis服务，mysql服务，smpt服务，fastcgi服务等造成漏洞的一些函数file_get_contents()：将整

一. 漏洞利用条件jdk9+Spring 及其衍生框架使用tomcat部署spring项目使用了POJO参数绑定Spring Framework 5.3.X < 5.3.18 、2.X < 5.2.20 或者其他版本二. 漏洞分析一开始复现这个漏洞的时候，听其他师傅说是一个老漏洞CVE-2010-1266的绕过，之前也没调试过这个漏洞，看了些分析文章后，大概明白是对Spring中的bean的漏洞利用，通过API Introspector. getBeanInfo 可以获取到PO

声明：本文仅限于技术讨论与分享，严禁用于非法途径。前言Windows系统密码和cookie获取比较容易，用工具即可，但Mac下浏览器密码获取较难。当我们通过钓鱼等方式拿到单位员工的个人PC机时，通常需要对主机进行信息收集。而浏览器是一个重要的信息收集点。我们可以收集历史记录、书签寻找靶机。窃取密码登录SSO、内部OA等等关键系统。但是在MAC下，因为系统的安全性，想要获取密码存在比较大的困难。在 macOS 上，Google Chrome 的加密密钥存储在 Keychain 中，需要使用用户的明.

声明：系统为授权测试，本文所提供的信息学习研究或自查使用，切勿用于非法用途，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本文作者不承担任何责任。前言来了一个测试项目，启动burp开始日常操作后，很快就发现事情不太对劲，应用系统使用数据包签名用于数据防篡改，本文主要介绍寻找签名算法和实现自动化签名的过程。找签名算法观察http请求包后发现发现有sign字段，应该是对请求内容做了签名防篡改，签名破解不了，也就没法开始后面的业务测试。从burp里找到该接口.

一、寻找源码通过询问管理员知道是个开源的系统，但是管理员并不确定具体的信息，就需要我们自己去寻找版权首页信息查看源代码，根据页面关键字去某fa搜索，确定"/templates/web/netschool/corescripts/verify.js"搜出来的相同站点比较多，根据案例里的连接挨个访问，在某个站底部发现版权为某厦商学院学习平台，知道版权就很容易找到源码了。二、快速审计技巧由于我不懂.net 所以审计只能靠一些简单技巧泛泛的寻找，确定路由结构【查看相关资料】1、网络安全学习路线

主机发现arp-scan -l目标ip为192.168.1.12端口扫描nmap -sV -sC -T4 192.168.1.12 -p- -sV:查看端口对应服务-sC：使用默认脚本测试-T4:快速测试-p-:全端口扫描扫描完成，看到3128端口，尝试访问一下在这里卡了很久，根据他的左下角版本信息搜了一下漏洞，还真有一个对应版本的绕过访问限制，不过试了很久都没成功，这里压根没想他的功能，实在过不去了，看了一下他的writeup才知道原来这个端口是http-proxy代理，

本文主要为大家介绍了Web网络安全漏洞分析SQL注入的原理详解，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪一、SQL注入的基础1.1 介绍SQL注入SQL注入就是指Web应用程序对用户输入数据的合法性没有判断，前端传入后端的参数是攻击者可控的，并且参数带入数据库查询，攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。下面以PHP语句为例。$query = "SELECT * FROM users WHERE id = $_GET['id']";由于.

前言注：本文不涉及对MySQL协议报文研究，仅讲解原理，并且做部分演示。搭建MySQL恶意服务器读取文件这件事，虽然直接利用门槛较高，但是由于在网上看到了一种比较新颖的利用方式（利用社会工程学引诱用户连接MySQL进而读取用户文件），个人觉得比较有意思，总结了一下攻击原理以及攻击方式，因此就有了这篇文章。原理在阐述具体原理之前，先介绍几个SQL语句，以便后文理解首先在tmp目录下新建一个tmp.txt内容如下：然后执行下方SQL语句，即可将tmp.txt文件导入其中：mysql>

DolphinPHPDolphinPHP（海豚PHP）是一个基于ThinkPHP5.1.41LTS开发的一套开源PHP快速开发框架，DolphinPHP秉承极简、极速、极致的开发理念，为开发集成了基于数据-角色的权限管理机制，集成多种灵活快速构建工具，可方便快速扩展的模块、插件、钩子、数据包。统一了模块、插件、钩子、数据包之间的版本和依赖关系，进一步降低了代码和数据的冗余，以方便开发者快速构建自己的应用。漏洞分析看到application\common.php#action_log函数观察到有

一、概述2022年3月底，在网络安全监测中发现某网络攻击组织利用SSH爆破投放挖矿程序的活动比较活跃，主要涉及的是一个haiduc的工具。二、检测定位阶段工作说明2.1、异常现象确认服务器被植入木马病毒，并对内网进行暴力破解。本次发起暴力破解的主机为10.101.2.210。2.2、溯源分析过程通过态势感知查看暴力破解检测日志，发现最早从2月16日凌晨3点半左右出现暴力破解告警情况，攻击源为10.101.2.210服务器。三、抑制阶段工作说明临时配置防火墙禁止101.2.210访问其他区域服

Summary实战与靶机环境差别很大，内网的微软ATP组件、Fortinet 与CS(CrowdStrike)的Falcon安全组件过于强大，很多工具都是根本无法使用的，免杀后会有各种问题.尤其是CS，不愧为北美最强EDR。本地免去了隐蔽隧道联通外网搭建的过程，简单了一些，因为微软漏洞一直有专门的TSG打补丁，所以单独靠CVE难比登天。本文就这段时间的行动与思考做一个记录，Rspect!Information collection首先是常规的一些用户权限，域内环境等信息获取。测试账户是User Do

漏洞报告Smarty 是 PHP 的模板引擎，有助于将表示 (HTML/CSS) 与应用程序逻辑分离。在 3.1.42 和 4.0.2 版本之前，模板作者可以通过制作恶意数学字符串来运行任意 PHP 代码。如果数学字符串作为用户提供的数据传递给数学函数，则外部用户可以通过制作恶意数学字符串来运行任意 PHP 代码。用户应升级到版本 3.1.42 或 4.0.2 以接收补丁。源码分析对比官方修复的代码，在/plugins/function.math.php添加了如下一段// Remove whites

前言现代软件经常将混淆技术作为其反篡改策略的一部分，以防止黑客逆向分析软件的关键组件。他们经常使用多种混淆技术来抵御黑客的攻击，这有点像滚雪球：随着雪层的增多，软件规模也随之变大，使其逆向分析难度随之提高。在这篇文章中，我们将仔细研究两种常见的混淆技术，以了解它们是如何工作的，并弄清楚如何去混淆。概述这里，我们将研究以下混淆技术：基于IAT导入表的混淆技术基于控制流的混淆技术基于IAT导入表的混淆技术在深入介绍基于IAT导入表的混淆方法之前，先让我解释一下导入表到底是什么。什么是导入函数？

一.前言1.漏洞信息该漏洞是在win32k中的bGetRealizedBrush产生的，是一个内核空指针解引用的漏洞，利用该漏洞可以完成提权操作。由于有公开的POC，所以对这个漏洞的分析和利用就变得简单，POC代码如下：/** * Author: bee13oy of CloverSec Labs * BSoD on Windows 7 SP1 x86 / Windows 10 x86 * EoP to SYSTEM on Windows 7 SP1 x86**/ #include &lt

漏洞利用原理：通过pipe生成一个管道，然后使用write调用pip_write将管道填满flag为PIPE_BUF_FLAG_CAN_MERGE，然后用read将缓冲区全部释放，但是根据splice进行零拷贝时copy_page_to_iter_pipe没有将flag初始化，导致缓冲区仍然留存PIPE_BUF_FLAG_CAN_MERGE。进而在write上检测flag存在PIPE_BUF_FLAG_CAN_MERGE来达成越权写入操作。什么是零拷贝？零拷贝是作用于两个文件间移动，正常文件拷贝流程一

关于BruteSharkBruteShark是一款功能强大的网络安全取证分析工具（NFAT），在该工具的帮助下，广大研究人员可以轻松地对网络流量（主要是PCAP文件，但也可以从网络接口直接实时捕捉流量）进行深度处理和审查。该工具的功能主要包括密码提取、网络映射构建、TCP回话重建和提取加密密码的哈希等，该工具设置还可以将提取出的加密密码哈希转换为Hashcat格式来执行暴力破解测试。该工具的主要目标是为负责网络流量分析的安全研究人员和网络管理员提供安全解决方案，同时也可以识别出潜在的网络安全薄弱点。.

一、前言dll注入技术是让某个进程主动加载指定的dll的技术。恶意软件为了提高隐蔽性，通常会使用dll注入技术将自身的恶意代码以dll的形式注入高可信进程。常规的dll注入技术使用LoadLibraryA()函数来使被注入进程加载指定的dll。常规dll注入的方式一个致命的缺陷是需要恶意的dll以文件的形式存储在受害者主机上。这样使得常规dll注入技术在受害者主机上留下痕迹较大，很容易被edr等安全产品检测到。为了弥补这个缺陷，stephen fewer提出了反射式dll注入技术并在github开源，反

漏洞描述内核模块win32kfull.sys的win32kfull!xxxClientAllocWindowClassExtraBytes函数中存在Type Confusion漏洞，利用此漏洞进行越界读写，最终可实现本地提权官方通报影响的windows版本:Windows 10 Version 1803/1809/1909/2004/20h2Windows Server, version 1909/20H2(Server Core installation)Windows 10 Version f

介绍Sniper是一个中等难度的靶机，知识点涉及本地文件包含利用、远程文件包含利用、凭证制作、恶意chm文件利用等。通关思维导图侦查端口探测首先使用 nmap 进行端口扫描nmap -Pn -p- -sV -sC -A 10.10.10.151 -oA nmap_Sniper80端口访问后发现是一家名为 Sniper Co. 的公司，主要业务是快递点击Our servers会跳转至/blog/index.php，点击User Portal会跳转至/user/login.php登陆界

前言今天主要介绍的是通过内核通讯的方式获取设备网卡mac指纹，主要通过netlink的方式和内核通讯去获取mac网卡地址 。这种方式可以直接绕过android的权限。在不给app授权的时候也可以直接获取到网卡信息。因为很难进行mock，所以很多大厂app也都是采用这种办法去获取。netlink简介：Netlink是linux提供的用于内核和用户态进程之间的通信方式。但是注意虽然Netlink主要用于用户空间和内核空间的通信，但是也能用于用户空间的两个进程通信。只是进程间通信有其他很多方式，一

一.前言1.漏洞描述该漏洞发生的位置是在驱动文件Win32k.sys中的xxxHandleMenuMessage函数，产生的原因是没有对该函数中调用的xxxMNFindWindowFromPoint函数的返回值进行合法性验证，直接将其作为参数传递给后面的xxxSendMessage函数调用，从而造成了提权漏洞。2.实验环境操作系统： Win7 x86 sp1 专业版编译器： Visual Studio 2017调试器： IDA Pro，WinDbg二.漏洞分析1.静态分析通过IDA直接

前言能完成这次渗透纯属是信息收集做到位了。很多其实都是分散的信息，在某一次关键点集合起来就有可能拿到权限。这个漏洞已提交补天并修复完成了。信息收集一、发现敏感信息此次使用的方法：Google HackGithub Hack（没有收获）前端信息泄露ARL 灯塔资产收集（子域名、IP、端口服务、文件泄露）通过使用 filetype:xls site:xxx.edu.cn 身份 去搜索发现了不少带身份证表字段的表，但是是否真的有敏感信息还要一个个去下载审查。发现一个标题为名单，我猜测肯定

Spring Data是一个用于简化数据库访问，并支持云服务的开源框架，Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中，存在一处SpEL表达式注入漏洞，攻击者可注入恶意SpEL表达式以执行任意命令，漏洞编号为CVE-2018-1273。

一、概述微服务是目前较为热门的技术，Spring boot 是 Spring 的一套快速配置脚手架，可以基于Spring boot 快速开发单个微服务，微服务的特点决定了功能模块分布式部署，在不同的机器上相互通过服务调用进行交互，业务流会经过多个微服务的处理和传递。​ 多个微服务下，微服务的监控显得尤为重要。Actuator组件为Spring Boot提供对应用系统的监控和管理的集成功能，可以查看应用配置的详细信息，例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信

Eureka 是 Spring Cloud Netflix 模块的子模块，它是 Spring Cloud 对 Netflix Eureka 的二次封装，主要负责 Spring Cloud 的服务注册与发现功能，开发人员只需引入相关依赖和注解轻松将 Spring Boot 与 Eureka 进行整合。

前言遇到过很多次数据加密的情况。之前都是看到别人如何前端调试，然后逆向获取密钥解密流量，这一次，给大家实战一下。一、逆向式我们的目标是某信小程序。首先还是来看看这个小程序的请求流量。当正常人一眼望去，丝毫理不清传递的是什么，我们基本就可以断定，其对流量进行了加密处理。然后我们再看看返回请求——依然一头雾水：经过上面两张图，可以判断这个小程序存在流量加密的情况。至于是全局的流量加密，还是部分流量加密，这个需要经过分析之后才能判断。如果只是部分流量加密，那么还可以测一测有没有漏网之鱼，如果是全

一、Htop界面展示“Htop是一个用于Linux/Unix系统的交互式实时进程监控应用程序，也是top命令的替代品，它是所有Linux操作系统上预装的默认进程监控工具。Htop还有许多其他用户友好的功能，这些功能在top命令下不可用在Htop中，可以垂直滚动查看完整进程列表，水平滚动查看完整命令行。与Top因为它不会在启动期间等待获取数据。在Htop中，你可以一次杀死多个进程而无需插入其PID。在Htop中，你不再需要输入进程号或优先级值来重新优化进程。按“e”打印进程的环境变量集。使

相关声明：本文仅用作网络安全学习研究情报收集教育目的，请勿用于非法用途。前言很多网友都表示最近骗子们有些猖獗，那么为了减少上当受骗的情况发生，可以自己搭建一个举报骗子并收集骗子一些资料的平台吗？下面就给大家演示一下如何搭建。效果演示您可以在前台搜索到疑似诈骗用户的资料，支持QQ/微信/手机号，包含诈骗经过和截图资料如果您是自主部署的，在后台登录/admin/index/index.html登陆后可以看到收录的情况和一些基本配置然后在后台可以手动添加骗子的资料部署教程前期准备工.

手机上发来服务器被入侵的消息，这令人感到一脸懵，这个服务器也不是啥重要东西，上面啥也没有怎么还会被搞？被人搞了那也不能示弱了，

一、前言简单了解了一下，审计入门，熊海比较适合，因为是简单的cms，适合入门。二、审计环境使用小皮面板，新建网站三、审计过程先了解文件目录admin --管理后台文件夹css --存放css的文件夹files --存放页面的文件夹images --存放图片的文件夹inc --存放网站配置文件的文件夹install --网站进行安装的文件夹seacmseditor --编辑器文件夹

蜜罐是对攻击者的欺骗技术，用以监视、检测、分析和溯源攻击行为，其没有业务上的用途，所有流入/流出蜜罐的流量都预示着扫描或者攻击行为，因此可以比较好的聚焦于攻击流量。

此次代码审计使用了通用代码审计思路的两种，第一种：根据功能点定向审计、第二种：敏感函数回溯参数过程，没有用到的是通读全文代码。活用 phpstorm 可以让代码审计的效率大大增加。