HBohan的博客

前置知识 XML 定义实体XML 实体允许定义在分析 XML 文档时将由内容替换的标记，这里我的理解就是定义变量，然后赋值的意思一致。就比如一些文件上传的 payload 中就会有。XML 文档有自己的一个格式规范，这个格式规范是由一个叫做 DTD（document type definition） 的东西控制的，他就是长得下面这个样子<?xml version="1.0"?>//这一行是 XML 文档定义<!DOCTYPE message [<!ELEMENT messa

在某次攻防演练信息收集的过程中，偶然发现伪装Github信息泄漏进而钓鱼红队人员的后门。下面展开有趣的分析溯源过程。信息收集GIthub信息泄漏根据甲方信息进行常规的Github敏感信息收集偶然发现一个仓库不简单这不是mysql账号密码泄漏了吗，愉快的打开Navicat失败…于是访问源码的8080端口查看一番，发现一个管理后台弱口令针对后台尝试一波弱口令，admin/admin 嗯～进来了进来之后竟然发现账号密码而且客户端解压密码都贴心的放了出来到这里我竟然没有察觉到任何.

声明：本文仅用于技术讨论与研究，对于所有笔记中复现的这些终端或者服务器，都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，本站及作者概不负责。建议阅读上一篇后再来阅读本文！！！六、Mysql攻陷服务器1、mysql INTO OUT文件上传MySQL中你可以使用SELECT…INTO OUTFILE语句来简单的导出数据到文本文件上。1）INTO OUT 写入shell.phpmysql -u.

声明：本文仅用于技术讨论与研究，对于所有笔记中复现的这些终端或者服务器，都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，本站及作者概不负责。一、信息收集信息收集非常重要，有了信息才能知道下一步该如何进行，接下来将用nmap来演示信息收集：1、nmap扫描存活IP由于本项目环境是nat模式需要项目IP地址，扫描挖掘本地的IP地址信息：发现本kali ip为40段！用40段进行全网段扫描：nm.

声明：系统为授权测试，本文所提供的信息学习研究或自查使用，切勿用于非法用途，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本文作者不承担任何责任。前言来了一个测试项目，启动burp开始日常操作后，很快就发现事情不太对劲，应用系统使用数据包签名用于数据防篡改，本文主要介绍寻找签名算法和实现自动化签名的过程。找签名算法观察http请求包后发现发现有sign字段，应该是对请求内容做了签名防篡改，签名破解不了，也就没法开始后面的业务测试。从burp里找到该接口.

一、寻找源码通过询问管理员知道是个开源的系统，但是管理员并不确定具体的信息，就需要我们自己去寻找版权首页信息查看源代码，根据页面关键字去某fa搜索，确定"/templates/web/netschool/corescripts/verify.js"搜出来的相同站点比较多，根据案例里的连接挨个访问，在某个站底部发现版权为某厦商学院学习平台，知道版权就很容易找到源码了。二、快速审计技巧由于我不懂.net 所以审计只能靠一些简单技巧泛泛的寻找，确定路由结构【查看相关资料】1、网络安全学习路线

主机发现arp-scan -l目标ip为192.168.1.12端口扫描nmap -sV -sC -T4 192.168.1.12 -p- -sV:查看端口对应服务-sC：使用默认脚本测试-T4:快速测试-p-:全端口扫描扫描完成，看到3128端口，尝试访问一下在这里卡了很久，根据他的左下角版本信息搜了一下漏洞，还真有一个对应版本的绕过访问限制，不过试了很久都没成功，这里压根没想他的功能，实在过不去了，看了一下他的writeup才知道原来这个端口是http-proxy代理，

Summary实战与靶机环境差别很大，内网的微软ATP组件、Fortinet 与CS(CrowdStrike)的Falcon安全组件过于强大，很多工具都是根本无法使用的，免杀后会有各种问题.尤其是CS，不愧为北美最强EDR。本地免去了隐蔽隧道联通外网搭建的过程，简单了一些，因为微软漏洞一直有专门的TSG打补丁，所以单独靠CVE难比登天。本文就这段时间的行动与思考做一个记录，Rspect!Information collection首先是常规的一些用户权限，域内环境等信息获取。测试账户是User Do

一、前言dll注入技术是让某个进程主动加载指定的dll的技术。恶意软件为了提高隐蔽性，通常会使用dll注入技术将自身的恶意代码以dll的形式注入高可信进程。常规的dll注入技术使用LoadLibraryA()函数来使被注入进程加载指定的dll。常规dll注入的方式一个致命的缺陷是需要恶意的dll以文件的形式存储在受害者主机上。这样使得常规dll注入技术在受害者主机上留下痕迹较大，很容易被edr等安全产品检测到。为了弥补这个缺陷，stephen fewer提出了反射式dll注入技术并在github开源，反

漏洞描述内核模块win32kfull.sys的win32kfull!xxxClientAllocWindowClassExtraBytes函数中存在Type Confusion漏洞，利用此漏洞进行越界读写，最终可实现本地提权官方通报影响的windows版本:Windows 10 Version 1803/1809/1909/2004/20h2Windows Server, version 1909/20H2(Server Core installation)Windows 10 Version f

介绍Sniper是一个中等难度的靶机，知识点涉及本地文件包含利用、远程文件包含利用、凭证制作、恶意chm文件利用等。通关思维导图侦查端口探测首先使用 nmap 进行端口扫描nmap -Pn -p- -sV -sC -A 10.10.10.151 -oA nmap_Sniper80端口访问后发现是一家名为 Sniper Co. 的公司，主要业务是快递点击Our servers会跳转至/blog/index.php，点击User Portal会跳转至/user/login.php登陆界

前言能完成这次渗透纯属是信息收集做到位了。很多其实都是分散的信息，在某一次关键点集合起来就有可能拿到权限。这个漏洞已提交补天并修复完成了。信息收集一、发现敏感信息此次使用的方法：Google HackGithub Hack（没有收获）前端信息泄露ARL 灯塔资产收集（子域名、IP、端口服务、文件泄露）通过使用 filetype:xls site:xxx.edu.cn 身份 去搜索发现了不少带身份证表字段的表，但是是否真的有敏感信息还要一个个去下载审查。发现一个标题为名单，我猜测肯定

前言遇到一个站，后端是Node.js写的，对于这种类型的站点，一般比较难getshell，但也实现了最终的目标，拿到后台权限信息搜集先进行常规的信息搜集，子域名扫描、端口扫描、目录扫描等这个站后端脚本语言是Node.js目录探测发现404界面也极像Node.js的404页面，后面重点关注js文件突破接口点击查看【相关技术学习文档】在进行目录扫描的时候，发现了一个有用的目录：前面说了，重点关注js文件，查看页面源代码，发现一个有趣的js文件，为什么说这个文件有趣呢？因为这个js的文件

Web Service是一个平台独立的、低耦合的、自包含的、基于可编程的Web的应用程序，可使用开放的XML（标准通用标记语言下的一个子集）标准来描述、发布、发现、协调和配置这些应用程序，用于开发分布式的交互操作的应用程序。

朋友给了我一个授权的站点，让我帮忙测试，并记录整体流程。从主站测试无果。通过信息收集，发现服务器还有一个疑似测试使用的旁站。在GitHub上找到旁站源码，通过审计发现一个任意文件读取漏洞。读取数据库配置文件，连接数据库，发现主站的管理员账号密码，最终getshell。

渗透测试是通过模拟黑客或者骇客攻击，以评估计算机系统或者网络环境安全性的技术；主要的目的是进行安全性的评估，而不是摧毁或者破坏目标系统。

java反序列化cb链大家应该都玩过，博主当初是通过看shiro无依赖了解到的，最近在重学基础，就手把手一点一点调试一遍。记得11月份自博主反思之后，认为自己渗透的学习深度广度都太差，对漏洞的学习只是学了一层表面，老是这么搞可不行啊，花一两个月时间重新看了几百集java语言基础。这篇文章严格来说是学习java利用链的部分学习笔记，这也算博主部分学习的一小段总结吧，话不多说，直接开始

该项目有始有终会用到信息收集->暴力破解->远程代码注入->CMS RCE->提权，最终拿到flag.txt的过程，那么在五大模块中用到了一些小技巧都会在文章中演示出来，希望大家能动手也来和我一起学习渗透。

KaliLinux面向专业的渗透测试和安全审计，集成了大量精心挑选的安全检测工具。Kali Linux高级渗透测试在KaliLinux平台上从一个攻击者的角度来审视网络框架，详细介绍了攻击者“杀链”采取的具体步骤。通过阅读本文能快速掌握学习渗透测试的思路方法。

渗透测试中，Web端最常见的问题大多出现在弱口令、文件上传、未授权、任意文件读取、反序列化、模版漏洞等方面。因此，我们着重围绕这些方面进行渗透。

Karma_v2是一款功能强大的被动开源情报（OSINT）自动化侦察框架，可以为广大信息安全研究人员、渗透测试人员和漏洞Hunter提供帮助，以查找深层信息、更多资产、WAF/CDN绕过、内部/外部Infra、公开数据泄漏以及更多有关其目标的信息。

主要是方便统计漏洞的发现者，后续可能大概也许会添加漏洞统计模块，根据提交数据、漏洞类型、时间等进行统计报表，当前用户管理模块仅允许通过Django后台进行修改，前端只负责展示，主要是我太懒了。

关于Domain-ProtectDomain-Protect是一款功能强大的子域名安全保护工具，可以帮助广大研究人员更好地保护自己的网站抵御子域名接管攻击。该工具支持实现以下两个目标：扫描一个AWS组织中的Amazon Route53，并获取存在安全问题的域名记录，然后尝试执行域名接管检测；可以通过Domain Protect for GCP检测Google Cloud DNS中存在安全问题的域名；子域名检测功能扫描Amazon Route53以识别：缺少S3源的CloudFront发行版

环境搭建web服务器：外网IP 192.160.0.100内网IP 10.10.20.12域内机器win7 :内网IP 10.10.20.7内网IP 10.10.10.7域内服务器 Mssql：内网IP 10.10.10.18域控机器：内网IP 10.10.10.8→点击查看技术资料←1.2000多本网络安全系列电子书2.网络安全标准题库资料3.项目源码4.网络安全基础入门、Linux、web安全、攻防方面的视频5.网络安全学习路线图外网渗透端口扫描搭建好环境，对目

一、简单的信息收集尝试路径报错，获取目标版本和配置信息。https://example.com/admin/indeeex/login.html版本为5.0.5，开启debug。直接执行payload，宝塔拦截/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=phpinfo()【网络安全 全套学习资料·攻略】文字末

目标某平台系统(www.target.net)流程本次渗透测试的流程图：【技术资料】测试拿到站点后先做信息收集，扫描目录看看有无敏感信息寥寥无几，没有任何信息，启动burpsuite打开网站走一遍流程。在创建目标处存在图片上传接口，上传shell试试。没有任何过滤，可直接上传，但当前目录不解析，猜测projectKey控制上传路径可跨目录上传，但当前/webapp/test/uploadFile/路径非网站根目录，爆破了常见网站目录但没有一个是正确的解析shell的，先放

前言本次渗透测试为授权渗透测试，提示：不许危害到任何用户，盗取任何人的密码信息，以及不允许危害到服务器权限。点击→【查看学习资料】←草率的信息收集因为只发了一个域名，提供给我们进行学习Python，所以此时笔者首先使用layer进行爬取域名。在这里笔者发现几个敏感的点如下：A域名泄露源码问题可以看到，这种站点模拟了github，笔者在想，会不会这些站点里的源代码搭建到目前收集到的某些域名？结果发现这些都是go语言编写的，这是在劝退笔者。如图：不过这里话同时记录了用户名。**

前言前不久的一次授权测试中，感觉缺少任何一步都无法达到getshell的目的,单个漏洞看得话确实平平无奇，但是如果组合起来的话也许会有意想不到的化学效应。【学习资料】前期测试拿到这个站的时候一眼就看见了会员登录界面,一开始想着注册，但是觉得会员功能应该很少，没验证码啥的，万一后台管理员也是会员呢那岂不是要是爆破出来了可以去后台尝试一波。显示的是手机号登录，但是可以尝试下admin,千万不要被他的前台迷惑了。很巧的是可以进行用户名枚举，而且还存在admin账号,不爆破都对不起他字典呢用的是鸭王

前言本次是针对学校某系统的渗透记录,已获得相应授权。通用漏洞涉及影响单位早前已提交至SRC平台,厂商已发布对应补丁。【查看资料】信息收集目标系统主要是一个支付平台,是近期刚上线的系统,向学校老师取得相应授权后开始测试。软件开发商:`xx软件开发有限公司/xxsoft/xxxx.com.cn`开发语言: `Java`框架: `St2`因为是近期刚上线的系统,单点认证还没有接入。无法通过单点认证登录此系统,在尝试爆破admin密码后无果. 开始转向源码的收集。毕竟白盒才是最直接的手段。源码的收

前言当我们获取到一台主机的权限过后，拿到了自己想要搜集的信息，这时候我们就会留一个后门进行权限维持，权限维持的学问其实很深，今天就主要介绍其中一种比较简单的权限维持的方法 – 进程伪装。我们知道在windows里面有很多系统进程，如winlogon.exe、explorer.exe、services.exe等等，这些exe都是Windows必须具有的exe，当缺失某些exe的时候，windows就不能够正常运行，所以我们如果想到实现进程伪装，最好的选择就是伪装成系统必备的exe，当我们进行进程伪装之后，

前言本文为一篇利用非常规手段突破安全策略的内网渗透记录【查看资料】环境简述&说明web打点getshell，webshell是冰蝎，权限为.net，权限很低，服务器为server 2016，目标不出网！装有杀毒软件（火绒、微软自带的WD），ASMI默认开启，而且对power shell有特殊策略限制。Tcp、icmp、DNS协议不通，无法直接与公网的cs服务端建立连接，（内网的cs服务端也无法与其建立连接）公网也无法访问目标web服务（纯内网web服务）极其严格的出入站策略入

一：信息收集阶段因为目标是学校，一般会去考虑收集学号，教工号。因为有的登陆点需要此类信息，且密码存在规律性（身份证后六位，123456）。目标域名xxx.com【查看资料】开始的时候，我是直接通过github搜索是否存在敏感信息泄露，运气不赖，得到一个webvpn账户。语法：".xxx.com password"效果如下：然后通过企查查，天眼查等平台，查询目标网站备案信息，爆破了一下目标的子域名，尽可能收集的全面一些。在这里，通过在线域名查询的时候，出来很多子域名，但这些子域名点开之后，大多都跳

信息收集&踩点这是一个普通的等保渗透项目，要求在一天内完成，接到项目时已经快中午了，由于时间急促，信息收集一番便开干了。经过前期踩点发现站点使用了webpack打包且存在流量限制，目录扫描超过200会ban ip，扫描器无法正常使用，通过查看js文件发现了多个系统接口，但都存在权限校验，无法进一步利用。重新回到登录页面进行测试，发现此处存在用户名枚举漏洞，利用用户名枚举得到存在账号admin，通过查看js发现登录密码正则匹配为强口令，且存在账号锁定策略，密码错误五次账号锁定15分钟，继续测.

文件上传发现源代码泄露打开自己珍藏已久的辣鸡字典，扫描发现存在bin.zip信息泄露，尝试进行代码审计文件位置：SimpleDataPlatform.SimpleDataPlatform.fileUpload找到ProccessRequest接收请求，可以看到获取了一堆参数后（初始化），后进入了HandleFiles方法，跟进HandleFiles进行处理，如果dateType=ZBJHSB时，就继续处理请求，dateType为GET传参路径为/Uploads/SetData/ZBJHSB.

基于3个操作系统的靶场(提供镜像)，讲解从只有一个IP到最终基于3个操作系统的靶场(提供镜像)，讲解从只有一个IP到最终拿下机器root权限的全流程。不只讲解怎么做，并且讲解为什么这样做，教给你别的地方学不到的思路。通过三天的强化学习，把平时学习的技术串联起来，最终达到提升渗透能力的目的做，教给你别的地方学不到的思路。通过三天的强化学习，把平时学习的技术串联起来，最终达到提升渗透能力的目的。【学习资料】适合以下学员1.学了很多漏洞的原理和工具却苦于找不到练习环境2.从未完整地实践过渗透测试的全流程

前言在之前的文章《域渗透——DCSync》曾系统的整理过DCSync的利用方法，本文将要针对利用DCSync导出域内所有用户hash这一方法进行详细介绍，分析不同环境下的利用思路，给出防御建议。简介本文将要介绍以下内容：◼利用条件◼利用工具◼利用思路◼防御建议利用条件获得以下任一用户的权限：◼Administrators组内的用户◼Domain Admins组内的用户◼Enterprise Admins组内的用户◼域控制器的计算机帐户利用工具1.C实现(mimikatz)实

主要考察知识点 文件包含 内网穿透 命令上传 弱口令 更改权限 HTTP协议Header ElasticSearch-CVE 暴力破解网络拓扑写完之后把靶机的网络拓扑也做了一下写在之前这次用的虚拟机是VM_VirtualBox,第一次用，配置了许久，因为靶机是内网环境，所以有些网络配置需要手动调整网络配置设置成如上，再次扫描IP，根据MAC地址就可以找到我们的靶机IP了。靶机下载地址：BoredHackerBlog: M.

SSTI 简介MVCMVC是一种框架型模式，全名是Model View Controller。即模型(model)－视图(view)－控制器(controller)在MVC的指导下开发中用一种业务逻辑、数据、界面显示分离的方法组织代码，将业务逻辑聚集到一个部件里面，在改进和个性化定制界面及用户交互的同时，得到更好的开发和维护效率。在MVC框架中，用户的输入通过 View 接收，交给 Controller ，然后由 Controller 调用 Model 或者其他的 Controller 进行处理.

学习的开源项目是：https://github.com/cfalta/adsec有些地方是直接Google 翻译过来的。注意：本人域渗透新手，很多问题都不懂，有问题欢迎大哥后台留言啊！！！Lab Setup – 域环境搭建学习的过程中，最难的就是环境搭建了。（因为有些坑，别人不一定遇到，么有地方可以问，然后有些问题就离谱。。）物理机：MacBookPro 2020 Intel i5虚拟机：Vmware Fusion Windows Server 2019 * 3域成员用户密码：P@.

前言本文是由一次真实的授权渗透案例引申而出的技术分析和总结文章。在文章中我们会首先简单介绍这次案例的整体渗透流程并进行部分演绎，但不会进行详细的截图和描述，一是怕“有心人”发现端倪去目标复现漏洞和破坏，二是作为一线攻击人员，大家都明白渗透过程也是一个试错过程，针对某一个点我们可能尝试了无数种方法，最后写入文章的只有成功的一种，而这种方法很有可能也是众所周知的方法。因此我们只会简单介绍渗透流程，然后提取整个渗透过程中比较精华的点，以点及面来进行技术分析和探讨，望不同的人有不同的收获。白嫖的福音网安学习资.