- 博客(47)
- 收藏
- 关注
RSS订阅原创 【学习笔记】《逆向工程核心原理》03.abex‘crackme-2、函数的调用约定、视频讲座-Tut.ReverseMe1
也就是说,进程运行时确定栈内存的大小(与malloc/new动态分配内存不同)。
2025-03-12 20:30:39
1705
原创 【学习笔记】《逆向工程核心原理》02.小段标记法、IA-32寄存器、栈、abex‘crackme、栈帧
寄存器(Register)是CPU内部用来存放数据的一些小型存储区域,它与我们常说的RAM(RandomAccessMemory,随机存储器、内存)略有不同。CPU访问(Access)RAM中的数据时要经过较长的物理路径,所以花费的时间要长一些;而寄存器集成在CPU内部,拥有非常高的读写速度。
2025-03-11 23:41:46
1427
原创 【学习笔记】《逆向工程核心原理》01-逆向分析Hello World程序
即使程序运行时只占用100内存,它被加载到内存时仍然会分到1000左右的内存,这些内存一部分被程序占用,其余部分为空余区域,全部被填充为NULL。在内存的某个区域新建一个长字符串,并把新字符串的首地址传递给MessageBoxWO函数,可以认为传递的是完全不同的字符串地址。认真观察一个程序的功能后,我们能够大致推测出它在运行时调用的Win32API,若能进一步查找到调用的Win32API,所以,如果你的运气足够好,使用更长的字符串覆盖原字符串时,即使原字符串后面的部分空间被侵占,程序仍然能正常运行。
2025-03-11 01:07:32
1639
原创 春秋云境MagicRelay WP
26-工具使用/土豆家族使用#3. SweetPotato|SweetPotato]] 进行提权 [[…/26-工具使用/Fscan使用|Fscan]] 进行内网扫描 [[…这是一个 Active Directory 域权限提升漏洞,通过滥用 Active Directory 证书服务 (AD CS) 来请求具有任意攻击者控制的 DNS 主机名的计算机证书,这可以使域中的任何计算机帐户模拟域控制器,从而实现完全的域接管。/26-工具使用/BloodHound使用|bloodhound]] 上面去分析。
2025-02-27 15:45:04
1245
原创 【hackmyvm】hacked靶机wp
可以看到确实安装了[[…/26-工具使用/Diamorphine使用|Diamorphine]]/26-工具使用/Diamorphine使用|海洛因]]有一个特征。之前有在网页试过这个参数。应该是302了导致没有显示出来。使用linpeas进行检测。也没有发现什么利用点。从收集的这些信息当中猜测Webshell的参数。试了几个参数都不对。猜测可能是需要爆破才行。可以尝试从其他版本相近的靶机编译后传过来。这靶机上gcc编译不了。我们发送信号64即可获取到root。去看一下wp才发现原来这里存在。
2024-12-27 18:39:38
595
1
原创 【hackmyvm】deba靶机wp
由于Cookie是我们可以控制的,所以我们可以使用恶意cookie来利用这个反序列化漏洞。但是由于是linux运行window的后门, 好像执行不了命令,反正我没有成功。但是我们可以进行文件操作,这里可以直接读取root.txt。如果有,则会将其解码为 Base64 字符串,并使用。然后对这个构造出来的payload进行base64编码。下面我们尝试利用这个反序列化漏洞 进行反弹shell。我们使用提权脚本进行检测发现可以利用的点。这里有一个现成的反弹shell利用脚本。并不存在,我们自己写一个即可。
2024-12-27 18:38:26
1114
原创 【hackmyvm】soul靶机wp
文件请求转发给 PHP-FPM,所以默认服务器块无法解析 PHP 文件,只会返回 404 错误。/26-工具使用/StegSeek使用|stegseek]]工具解密。这篇文章里面有很多种[[…/渗透姿势库/rbash绕过|rbash绕过]]方式。匹配到了一个专门的配置块,该配置块包含了处理 PHP 请求的规则。既然给我们的东西很少,且只有一张图。那么这张图多半是有东西的。ssh上来后发现我们在是一个限制模式的bash。发现很奇怪的一点,网址目录的权限是777。在用户目录里面没有看到可以利用的东西。
2024-12-26 23:00:11
1199
原创 【hackmyvm】Adroit靶机wp
我觉得这个靶场不算难。难点只是在分析java代码那里,不过我看不懂java。这里我用jdk8运行不了 ,切换到jdk11可以运行。解密的代码可以在jar包反编译中发现。msf生成jar包 反弹shell。提示输入账户密码 挨个测试即可。但是注意这里需要将0换成O。尝试运行一下jar包。
2024-12-26 22:58:44
412
原创 【hackmymv】emma靶机wp
找到一个rce的漏洞 [[…/20-网安/28-CVE复现/CVE-2019-11043|CVE-2019-11043]]实际上是一个脚本可以压缩一个可执行文件。而且这个被压缩后的文件名字不会被改变而且也可以被执行,这个emma的密码不是解密后的明文 就是这个Md5值。数据库密码就是robots.txt 里面的那个。一次是root执行,一次是普通用户执行。要求A必须能被root权限执行。我们可以用Root权限调用。里面看出里面两次执行了。但是要提权肯定是需要一个。可以发现我们是可以执行。
2024-12-25 23:08:13
813
原创 【hackmyvm】DC04靶机wp
黄金票证是一种权限维持手段,攻击者获得了对Active Directory密钥分发服务帐户KRBTGT的控制权,并使用该帐户伪造有效的Kerberos票证授予票证TGT。这使攻击者能够访问Active Directory域上的任何资源,如果有。这个机子很垃圾,爆破了几下就出问题了。后面怎么都爆破都是403了。,您可以伪造自己的TGT,其中包括想要的任何组成员身份的PAC数据。密码是对的 只是过期了。而且也可以发现一些用户的目录。目录下可以获取到一个文件。访问后可以发现是一个登录框。在报告的最后可以获取到。
2024-12-25 23:06:16
1337
3
原创 【hackmyvm】orasi靶机wp
这里我们应该没有过滤我们直接用工具[[…/26-工具使用/SSTIMAP使用|SSTIMAP]]进行利用。这里用的是python执行。那我们就应该按照python调用系统命令的方式传递参数。但是我们还可以用启动python。查看Server可以发现是一个flask框架,那很可能就是一个模版注入了。我想到了之前网站首页给我们的一个提示。很明显我们应该是要输入一个16进制的值。但是要注入那我们肯定是需要一个参数的。我们输入16进制对应字符串是。下一步吧shell弹过来即可。最后,这是python的代码。
2024-12-24 14:01:59
816
原创 【hackmyvm】BlackWidow靶机wp
在Gpt的帮助下,认为这个这个程序应该就是一个Perl,可以允许Perl脚本。我这里上传了Linpeas进行检测 ,但是没有发现可以直接利用的地方。然后在日志里面可以找到一个viper用户的密码。查看源代码 没有发现隐藏的信息。提示告诉我们有一个php文件,可以使用。测试一下是否是这个php文件存在文件包含。尝试进行最简单的文件包含 发现没有回显。我们先查看是否可以访问apache的日志。再访问日志可以发现已经注入木马了。而且我们可以可以进行查查看。可以发现,正常情况下。查看源代码,发现提示。
2024-12-24 13:59:52
1095
原创 【hackmyvm】Zday靶机wp
参考利用 https://book.hacktricks.xyz/zh/linux-hardening/privilege-escalation/nfs-no_root_squash-misconfiguration-pe。到 https://ftp.gnu.org/gnu/bash/ 下载一个时间差不多的版本。这里靶机是21年的我就下一个21年的bash。参考文章完成利用 https://muzec0318.github.io/posts/articles/fog.html。也是一个属于 [[…
2024-12-23 23:14:51
883
原创 【hackmyvm】moosage靶机wp
我们找一下这个cowsay有很多种动物可以选择。但是我每次登录都是牛牛在说话。那么我们只需要找到牛牛的配置文件即可。登录进来后,我们可以进行留言,但没有上传文件 只能上传图片。直接用页面源代码去github上搜索看能不能找到源码。从这个牛牛说话就能联想到ssh登录时使用了。用户的账号密码发现可以直接切换账户。可以获取到mysql的账号密码。使用默认管理员账号密码登录后台。发现里面没有什么可以利用的。然后ssh登录 实现提权。文件的本质是Perl脚本。里面可以获取到默认密码。尝试上传一个图片马试试。
2024-12-23 23:13:07
908
原创 【hackmyvm】eigthy 靶机wp
是 TOTP 的密钥种子(Secret Key),通常是一个 Base32 编码的字符串。这里验证码选择下面任意一个即可。配置文件,通常用于双因素身份验证(2FA)的种子和相关参数。二进制文件的选项,例如 OpenBSD 的。这应该就是提示我们依次敲门打开80端口了。在susan的目录下可以获取到一个文件。可以获取到一个nginx的配置文件。我们可以利用目录穿越读取度这个文件。这时候发现80端口就开放了。对这两个路径都进行目录爆破。这里还可以获取到两个路径。这里告诉了我们一个路径。可以发现允许我们使用。
2024-12-22 15:10:50
405
原创 【hackmyvm】choc靶机wp
scapy可以用来发各种协议的数据包,但是他实际上是一个python,所以可以利用像python一样开启一个shell。这里我解压出来还有一个pspy64的原因是 我把pspy64下到了。hacktircks 这里是错误的,正确的版本应该是 <1.8.28。广播消息,所以我们需要用另外一个终端来接受私钥。这里可以通过shellshock漏洞绕过。获取到了私钥,但是不知道对应的用户名。这个目录,他这个脚本应该就是打包。我们利用私钥生成对应的公钥即可。ssh连接后会立马中断连接。ssh连接那flag。
2024-12-22 14:54:07
685
原创 【hackmyvm】Diophante 靶场
rcpt to: sabine 后面的接受者是固定的 不能任意,必须是目标靶机上的用户。这里需要选择一个接受邮件的用户,用户可以在/etc/passwd里面获取。所以我们可以写一个恶意的so文件,替换里面被调用函数的功能,然后让其。命令时,就会调用很多动态链接库文件(.so文件)里面的函数,而。这里我想到了我们端口扫描时 开放的25端口 SMTP邮件服务。因为他的作用是获取参数。这个环境变量允许我们指定优先调用的动态链接库文件。这里后面的发送者可以任意,但一定要用。然后可以找到这个CVE的利用。
2024-12-21 23:13:30
741
原创 【hackmyvm】p4l4nc4靶场
这里简单说一下 root用存储在/etc/passwd里面是。把所有大写字母开头的大写字母换成小写添加一份追加到字典。我们利用这个hash替换掉x即可,然后修改一下用户名。查看发现 /etc/passwd有写入权限。替换i->1 a->4 e->3 l->1。我估计这作者就是喜欢用这种变体作为名字。这里面有一些逗号 我们把逗号也给去掉。(葡萄牙语中的“羚羊”)的网络变体。尝试使用data为协议包含失败了。直接写一个root级别的用户即可。是表示此用户的密码存储在。从参数名估计就是一个LFI。
2024-12-21 23:10:25
688
原创 2024数证杯电子取证比赛题目(初赛)
对exe程序检材进行分析,解密出的字节码数据中携带着PE格式的数据,并且_IMAGE_NT_HEADERS头部的PE签名已经被修改,请给出修改后的签名值(答案格式:0x11 0x22) (2分)对exe程序检材进行分析,解密出的字节码数据中携带着PE格式的数据,并且节区数据被加密,请分析给出解密第一个节区时使用的秘钥(答案格式:0x1B 0x22 0x33 0x4A) (4分)对计算机,手机,U盘镜像检材综合分析,找出计算机中VC加密容器使用的登录密钥文件,其中逻辑大小较小的文件占用多少个字节?
2024-11-15 18:38:36
3596
6
原创 Magnet AXIOM 8.4 Windows x64 数字取证分析软件(带补丁)
链接:https://pan.baidu.com/s/1H8-CLbVEPn4Thx0RKb24zQ?通过百度网盘分享的文件:AXIOMv840.41469.zip。--来自百度网盘超级会员V5的分享。
2024-11-12 09:43:04
1736
1
原创 2024美亚杯个人赛题目
单选题] 参考David_Laptop_64GB.e01,在David计算机的D盘内有一张图片,根据图片上的信息,找出David另一个虚拟货币钱包的恢复短语(2)(Recovery Seed),下列哪一个单词是在此恢复短语(2)(Recovery Seed)内?[多选题] (你查看了Emma手机中的一些照片数字信息,以获取更多与失踪案件的信息)Emma的iPhone XR中"IMG_0008.HEIC"的图像与相片名字为的"5005.JPG" 看似为同一张相片,在数码法理鉴证分析下,以下哪样描述是正确?
2024-11-10 22:40:33
2275
原创 【横向移动】委派安全-RBCD
基于资源的约束委派(简称RBCD)是在Windows Server 2012即之后新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性。RBCD 把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置 msDS-AllowedToActOnBehalfOfOtherIdentity 属性来设置 RBCD。获取到可以修改这个值的用户或者权限。
2024-08-02 00:07:29
910
原创 火狐浏览器firefox垂直标签页
浏览器帮助->更多排障信息->打开配置文件夹。文件夹,新建文件,取名为。打开后如果文件夹里面没有。点一下右边的按钮修改为。文件夹就自己创建一个。
2024-07-29 16:29:21
1731
原创 【内网安全】横向移动-Kerberos-SPN-WinRM-RDP
看之前的文章RDP远程桌面服务 支持明文及HASH连接条件:对方开启RDP服务 远程桌面当前我们已经取到31主机的权限,目前要利用RDP连接到32,且32是不出网的。这时我们肯定是需要用31做为跳板机去实现。以下是利用RDP进行连接的三种方式。
2024-07-20 11:18:18
1275
原创 【内网安全】横向移动-PTH哈希-PTT票据-PTK密钥
pass the hash(哈希传递攻击,简称pth)pass the ticket(票据传递攻击,简称ptt)pass the key(密钥传递攻击,简称ptk)PTH(pass the hash) 利用的lm或ntlm的值进行的渗透测试(NTLM认证攻击)PTK(pass the key) 利用的ekeys aes256进行的渗透测试(NTLM认证攻击)PTT(pass the ticket) 利用的票据凭证TGT进行渗透测试(Kerberos认证攻击)
2024-07-19 09:04:36
1212
1
原创 【vulhub】FRISTILEAKS:1.3
弱口令登录失败,尝试从源码里面获取有用的信息。反弹shell到kali上,方便后续操作。这里扫出来了很多可能可以利用的漏洞。发现了一串base64加密字符串。fscan扫一下 获取80端口。登录后跳转页面 显示有文件上传。上传一个马儿,加个后缀.png。根据图1判断不是正确的url。用赛博厨子直接解码后保存文件。这个可能是账号,也可能是密码。命令执行发现自己并不是管理员。在源码里面查看更多的提示。下载项目里面的提权脚本。打开靶机就可以看到Ip。上传一个提权检测脚本到。三个地址都是这个图片。
2024-07-17 09:00:46
512
原创 【内网安全】组策略同步-不出网隧道上线-TCP转ICMP
域控通过组策略设置防火墙规则同步后,域内用户主机被限制TCP出网,其中规则为出站规则,安全研究者通过入站取得SHELL权限,需要对其进行上线控制。
2024-06-28 21:36:29
2185
1
原创 【免杀】C2远控-APC注入-进程镂空
我们需要去烧水,首先我们先去需 要给水壶添水,然后将水壶连接上电之后,然后加热,等水烧开了然后取水,在烧水的等待的时间中,我们不去做任何事情。就是我们在烧水的等待的过程中去干一些其他的事情,比如玩手机,打扫卫生等等。是一种防御规避的进程注入技术,以红队隐匿技能为主的辅助免杀手法。是指函数在特定线程中被异步执行,在操作系统中是并发机制。APC注入 配合进程注入实现父进程欺骗。3.获取挂起进程上下文与环境信息。1.创建一个挂起合法进程。4.卸载挂起进程内存。1、获取父进程PID。2、获取当前进程权限。
2024-06-11 23:41:25
1503
原创 【免杀】C2远控-shellcode分离-python
因此可以在cs的shellcode调用sleep休眠将可执行内存区域加密,在休眠结束时再将内存解密来规避杀软内存扫描达到免杀的目的。除了用base64方式加密外,也可以尝试用文件读取的方式进行加密,二者代码差不多,只不过是把加载器的加密代码放到文件里面罢了。常用的打包有三种3打包器。除了以上的方式,还有很多种加密,可以自己发挥想象进行加密,如也可以通过远程文件读取加载器代码进行加密。既然会检测加载器代码,那我们将加载器代码加密不就可以防止其检测了吗。你加密混淆分离,最后还是会回归原来的代码并被执行。
2024-06-07 19:37:20
1292
原创 【免杀】C2远控-初识shellcode与Loader
ShellCode的本质其实就是一段可以自主运行的代码它没有任何文件结构,它不依赖任何编译环境,无法像exe一样双击运行,因此需要通过控制程序流程跳转到shellcode地址加载上去执行shellcode。目的:杀毒和感知平台如何定性分析:OD&xdb&ida提取:010Editor加载:各种Loader方法执行顾名思义,Loader就是加载器的意思,写好的shellcode是需要用加载器(Loader)来运行的。且同一个shellcode可以用不同的Loader来运行。
2024-06-05 23:35:38
1330
2
原创 【免杀】-哥斯拉魔改(入门)
我们都知道哥斯拉默认生成的shell是很容易被安全软件检测出来的。所以我们需要修改shell生成逻辑,以达到免杀。除了修改指纹外,我们还需要修改数据包的加密方式,以及魔改生成的shell以实现免杀的效果。我们知道,哥斯拉强大之处就在于它的插件功能。插件我们也可以尝试自己开放插件。分析多个流量包可以发现哥斯拉有3个强特征。尝试搜索关键词搜索不到,发现是。
2024-06-04 23:27:03
3491
9
原创 【免杀】-魔改冰蝎(入门)
Ps:本人一名网安小菜鸡,初学免杀技术。如果有什么不对的地方,希望各位大佬们能友好指正,也欢迎进行友好交流。不可能每次都取idea里面打开冰蝎,所以我们需要将构建后的jar保存出来方便后续使用。当我们修改好自己想改的后,便可以打包成jar包了。新建-填入-保存-分享-导入项目-构建编译。如果可以利用冰蝎的传输协议解密,那就实锤。冰蝎4的Accept有两个强特征,固定为。是原版冰蝎的根目录。:绕过识别(魔改打乱指纹信息)为此,我们需要解决这两个问题。:绕过查杀(新增加密算法)是魔改冰蝎项目的根目录,
2024-06-04 00:40:21
3073
9
原创 CVE-2022-26923复现-Win-AD域控提权
这里面就有administrator用户的hash。获得了一个新的证书与它的私钥。获取CA结构名和计算机名。成功取得一个cmd权限。
2024-06-02 01:03:24
558
原创 vulhub靶场Hacker_Kids-Capability能力提权
因为/etc/passwd里面没有admin用户,所以这个并不是系统用户的账号密码,可能是网站后台或者数据库密码的。这个利用与windows提权中的进程注入提权类似。允许跟着任何进程,我们就可以。当注入到有root权限的进程后会开放5600端口,kali连接5600。我们在kali里面测试一下。用一个不是root权限的用户进行测试。遍历爆破/page_no=* 找到正确的/page_no=21。就可以享受宿主进程的权限(root权限)查看saket用户的.bashrc文件。中发现可以利用给的就是。
2024-06-01 10:32:04
841
3
原创 vulhub靶场jarbas-计划任务提权
Web或用户权限进行查看,计划任务文件可修改。这里泄露了用户名密码(密码是md5加密)修改计划任务,kali监听5544端口。,我这里是linux靶机,选择第二个。查看权限发现可以修改计划任务。登录网站是 8080端口。
2024-05-31 10:24:52
465
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人