- 博客(68)
- 收藏
- 关注
RSS订阅原创 CobaltStrike 流量分析与入侵检测
ja3 和 ja3s 分别代表 tls 握手阶段的 client-hello、server-hello 的数据集合计算出的哈希值(md5),相同版本相同系统下指纹相同,该特征与操作系统、cobaltstrike 版本有关,profile 文件无法对其修改。JA3S指纹(Just Another SSL/TLS Signature):它是基于服务器在TLS握手过程中发送的服务器Hello消息中的字段值生成的指纹。JA3指纹和JA3S指纹的生成方法类似,都是通过计算握手消息中的字段值的哈希值来生成唯一的指纹。
2024-10-28 12:02:23
875
1
原创 cobaltstrike反制
好比渗透测试或者是红队打项目的时候,如果目标找不到利用点进去,就可以从旁站看看对吧,所以这种旁路反制亦是这样,我们发现一个c2上运行着cobaltstrike server了,然后上述的其他反制手段都行不通,这时我们就可以看看,这个c2上是不是还有其他的服务,我们对其端口进行扫描,获取相关信息,从其他服务的缺陷来实现反制。第一种是,发现攻击者对我们单位在进行精准钓鱼,那么我们可以通过这个欺骗防御,来混淆攻击者的视听,让攻击者的c2server上线大量机器,但是攻击者却执行不了任何命令。
2024-10-28 11:46:54
966
原创 Cobalt Strike隐藏特征与混淆流量
keytool -keystore 生成的store名 -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias 自定义别名 -dname "CN=Microsoft Windows, OU=MOPR, O=Microsoft Corporation, L=Redmond, ST=Washington, C=US"Cobalt Strike默认证书中含有与cs相关的特征,所以需要替换掉cs原有的证书,重新生成一个无特征的证书文件。
2024-10-28 11:29:39
1207
原创 cobaltstrike使用教程
你可以使用这个可执行文件来作为使用sc命令起的Windows服务的调用程序,或使用Metasploit框架的PsExec模块生成一个自定义的可执行文件。会生成一个对应语言的文件文件,再配合相应的加载器生成exe文件进行上线 为什么这么操作,这要方便做免杀,如果是exe文件就要先逆向在从新写,这个就是直接更改加载器就ok。之后打开.c文件是一个未编译代码,放到上文的编译代码中,注意这里是x64编译,使用.c文件下面就是运行的c文件基本格式,每次使用替换其中的shellcode即可。
2024-10-28 11:25:52
1465
原创 暴力法解决最近对问题和凸包问题-实现可视化
由两个点连起来的直线会将平面分成两部分,其中半个平面的点都满足ax+by>c ,另一半平面中的点都满足ax+by
2024-05-10 19:31:36
610
原创 2024蓝桥杯网络安全部分赛题wp
选择左侧aes 解密,然后复制对应的key,选择input为hex,output为raw 4da72144967f1c25e6273950bf29342aae635e2396ae17c80b1bff68d90f16679bb45c15852e0ce88d4864d93e9e3be2。RC4 是一种对称密钥加密算法,因此加密和解密使用相同的密钥。"gamelab@" 是一个 8 字节长的密钥。#计算了 y1 和 y2 的 SHA-1 哈希,并将它们转换为整数 h1 和 h2。,这是签名过程中使用的临时密钥。
2024-05-08 20:07:11
1597
4
原创 解决WordPress无法强制转换https问题
原因:我在用cs的时候,突然老鸟校园网突然断了,客户端cs连不上了,进程也杀不死,cpu占用100%,只能重启,但是重启后我的blog网站打不开了。然后就关了https强制转换,清理了浏览器缓存,用http,中间还换了和重装好多次ssl,但是还是不行,每次都会显示不安全,就很难受。过了俩天,我再连cs的时候就发现,连不上,应该是防火墙的问题,突然想起来是不是因为防火墙的问题,导致443端口出站被限制,主要是因为我当时出问题了,网上没有提到防火墙的问题,搞半天没有搞好,就写了这个文章,给大家提供一个思路。
2024-05-02 21:24:23
737
1
原创 第一届长城杯半决赛wp和AWD笔记
网站备份文件泄露可能造成的危害:1. 网站存在备份文件:网站存在备份文件,例如数据库备份文件、网站源码备份文件等,攻击者利用该信息可以更容易得到网站权限,导致网站被黑。2. 敏感文件泄露是高危漏洞之一,敏感文件包括数据库配置信息,网站后台路径,物理路径泄露等,此漏洞可以帮助攻击者进一步攻击,敞开系统的大门。3. 由于目标备份文件较大(xxx.G),可能存在更多敏感数据泄露4. 该备份文件被下载后,可以被用来做代码审计,进而造成更大的危害。
2024-04-25 21:58:08
3305
5
原创 数据库安全+漏洞复现
1.端口扫描端口扫描工具nmap.....为什么有数据库,却扫描不到端口?当数据库在内网的时候,我们的在外网是扫描不到的。有可能是防火墙或者其他的安全服务2.组合猜测当面对一个web服务时,我们大概能猜到有没有数据库3.信息来源通过渗透过程的一下信息泄露,或者报错判断1.数据库2.文件传输3.远程控制4.数据通信1.特性漏洞2.未授权访问3.弱口令爆破。
2024-04-05 22:19:02
1586
原创 内网穿透FRP&NPS&SPP&Ngrok
注意:这里所有的但是靶机和kali主动连接服务器跳板机,所以靶机反向连接跳板机,kali正向连接跳板机,跳板机没办法转发给kali数据,只有kali去拿数据,因为在内网环境。开通后,主要是三种协议可以选择,我们选择tcp,更加稳定,隧道名称都行,远程端口选择可用端口,本地端口选择本地kali攻击机ip端口。全面的协议支持,兼容几乎所有常用的协议,如tcp、udp、http(s)、socks5、p2p、http代理...首先是在Ngrok官网创建账号,然后实名认证,再到开通隧道下,开通免费的服务器。
2024-04-05 21:30:05
1819
原创 隧道技术和代理技术(四)SSH&DNS&ICMP&SMB&上线通讯
接下来配置监听器,具体含义是解析的域名是ns1.swq111.online/ns2.swq111.online,解析到cs.swq111.online,然后还原到ip地址。可以看上面的图片,外网服务器和内网靶机之间有一个只允许DNS通讯的防火墙,一般情况下只能外网访问外网,外网不能访问内网,如果在此之间配置两个虚拟网卡,就能完成通讯。因为防火墙只让ssh协议通过,所有使用linux做跳板机,来将windous的web服务,通过ssh协议转发到外网服务器,实现内网探针。
2024-03-25 22:07:18
1330
原创 [江苏工匠杯]easyphp
当函数将字符串与数字进行匹配时,其中是==这种弱等于,会将字符串强制转换为整型进行比较,"DGGJ"转化为整型为0。再看key为n的value必须是一个数组,且value的数量必须为2,且第一个value也必须是一个数组。要求传参经过md5后的从截取密文后6位等于“8b184b”,这里就是一个简单的哈希碰撞,我们写一个。第二次使用foreach循环搜索n中的值是否含有"DGGJ",没有的话才会使key2的值为1。这里就矛盾起来了,既要求n中有"DGGJ",又要求n中没有"DGGJ"要求get 传参a和b。
2024-03-15 10:39:07
1002
原创 隧道技术和代理技术(三)
隧道技术:解决不出网协议上线的问题(利用出网协议进行封装出网)-代理技术:解决网络通讯不通的问题(利用跳板机建立节点后续操作)内环境示意图,方便理解接下来实操。
2024-03-13 22:09:56
4762
2
原创 CRLF漏洞
CRLF 注入漏洞,是因为 Web 应用没有对用户输入做严格验证,导致攻击者可以输入一些恶意字符。攻击者一旦向请求行或首部中的字段注入恶意的 CRLF,就能注入一些首部字段或报文主体,并在响应中输出,所以又称为 HTTP 响应拆分漏洞。大概意思是讲重定向漏洞的危害:网站接受用户输入的链接,跳转到一个攻击者控制的网站,可能导致跳转过去的用户被精心设置的钓鱼页面骗走自己的个人信息和登录口令。如果将url参数换成钓鱼网站,就会造成危害。但是配上其他漏洞就会有有一定危害性。当前面有符号,就说明有crlf漏洞。
2024-03-09 16:57:30
6288
原创 验证码安全
就是一下网站在电话号码验证时可以无限请求,造成一分钟可以发来很多短信,那么那些攻击者就会在网上找很多这样的网站,把请求的电话的电话改成受害者的电话,造成短信轰炸,但是一般安全的网站是有请求限制的,比如一分钟才能请求一次。3、找回密码-客户端回显&Response 状态值&修改重定向。#phpun-res 值修改&验证码回显&爆破 res 修改。#知识点: 1、找回密码逻辑机制-回显&验证码&指向。4、验证码技术-验证码爆破,验证码复用,验证码识别等。#某 APP-res 值修改&验证码接口调用&复用。
2024-03-09 16:45:14
6982
原创 隧道技术和代理技术(二)
注意这里是x64,所以下面msfconsole的payload要配置成x64,我在实操傻了,前后不一样,大家可能不会犯一样的错误,但是还是要说一下,很浪费时间的。添加代理,这里是攻击机(我攻击机kali)的ip地址,端口1122,代理类型是socks5(上面说过版本是5),配置完点击对钩的图案,测试一下,如图就是成功了。先测试win7是否,可以msf上线(攻击机最好是有公网ip的服务器,因为服务器出问题了,我用的是kali,后面是有功能不能实现,但是操作是正确,都有讲到)
2024-03-09 16:09:39
6859
原创 隧道技术和代理技术(一)
隧道技术原理:将TCP协议数据封装成ICMP协议数据,具体操作就是,先将tcp引入靶机本地,然后通过隧道工具换成ICMP数据传到服务器上,注意前提是已经拿到目标靶机的shell,但是因为出规则,而受到网络限制,隧道不是横向移动。注意当在windows上开启web服务时,关闭windows地公网防火墙,开启专用网络防火墙,外部主机是可以访问web服务的,但是当开启公网防火墙时,外部主机是无法访问web服务的。就是通过一个有网的域内机器,去正向连接那个没网的域内机器,去获取到数据,让有网的机器去传出。
2024-03-04 10:33:27
14104
原创 内网信息搜集
点击任图中任意用户,可以查看该用户Name、DisPlayName、最后修改密码时间、最后登陆时间、该用户登陆在那台计算机存在Session,是否启动、属于那些组、拥有那些机器的本地管理员权限、对访问对象对控制权限等,BloodHound可以将这些以图表对形式展示出来,方便Pentester更快对进行横向渗透,提升权限。域是一个有安全边界的计算机集合,与工作组相比,域的安全管理机制更加严格,用户想要访问域内的资源,必须以合法的身份登录域,而用户对域内的资源拥有什么样的权限,取决于用户在域内的身份。
2024-03-01 18:04:48
16648
原创 阿里云服务器被中木马去挖矿解决方法
终端,输入top命令,看看什么占cpu,01tuvwx,网上没有查了,没有相关服务,应该就是这个了,关键他是root用户,说明我的服务器被提权了,因为一般的话我见过的木马都是www-data用户。发现还是没有但是有个文件是最近添加的,不管是不是的,直接删了(这里可能木马就已经没有了)今天大早上阿里云给我打电话说我的服务器有挖矿行为,说我不关了就把我服务器收了。立马打开服务器一看cpu占了99.6%,好好好,中马。查看了最近异常登录,气笑了,直接上的,连忙改密码去了。到这里重启服务器,cpu就降下去了。
2024-02-20 14:40:23
19662
原创 ssti模版注入(看完就会了)
_class__ 类的一个内置属性,表示实例对象的类。__base__ 类型对象的直接基类__bases__ 类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases____mro__ 此属性是由类组成的元组,在方法解析期间会基于它来查找基类。
2024-02-19 16:44:54
21277
原创 [BJDCTF2020]Cookie is so stable
输入user={{7*'7'}}测试一下,确实存在(注意cookie的user前面的连接是;先发现有flag页面和Hint页面,dirsearch扫完也没有获得什么。输入{{7*‘7’}},返回7777777表示是 Jinja2 模块。输入{{7*‘7’}},返回49表示是 Twig 模块。题目提到cookie,抓包看看。同时也判断了ssti注入的类型。同样的方法,在cookie输入。所以是有固定的payload。falg输入什么就返回什么。模板注入是Twig注入。
2024-02-17 20:27:01
19576
原创 Shellcode免杀对抗(Python)
常用参数 含义 -i 或 -icon 生成icon -F 创建一个绑定的可执行文件 -w 使用窗口,无控制台 -C 使用控制台,无窗口 -D 创建一个包含可执行文件的单文件夹包(默认情况下) -n 文件名。先cs生成payload,此时生成c的和Python应该是效果一样的(x64尽量不开,因为我没有尝试成功)注意在生成的payload是被分行的,放到的代码里的时候,要像CS一样并成一行,很麻烦。先base64,可以过掉火绒,过不了defender/360。
2024-02-17 11:28:23
20525
原创 Shellcode免杀对抗(C/C++)
这里便是杀毒软件杀毒的原理,这就是特征,我们只需要将木马程序进行简单的分析,就能得到shell回连的IP地址和端口,如果杀毒软件发现我们的可执行文件是一个木马程序。加载器的作用:由于shellcode是一段可以执行的二进制代码,因此需要开辟出一段可以读写可操作的地址来运行shellcode,而这就是加载器的作用。之后打开.c文件是一个未编译代码,放到上文的编译代码中,注意这里是x64编译,用的方式三,使用.c文件。因为我们的加载器的特征,各平台杀毒软件都有了已经,所有我们就要用新的,特征没有被锁定。
2024-02-17 11:00:30
23907
6
原创 [WUSTCTF2020]朴实无华(特详解)
=弱类型比较中,字符'0e123'和字符'0e456'虽然是字符类型,但是因为==比较不比较数据类型,只比较值,而值就是科学计数法的表示格式,结果都是0,所以相等,返回true ===强类型比较中,字符'0e123'和字符'0e456'在比较数据类型的时候就被当作字符类型,而字符'0e123'和字符'0e456'当然不相等,所以返回false。解释为科学记数法,表示 3 乘以 10 的 3 次方,即 3000,然后再加上 1,所以结果为 3001。他一开始说header有问题,不妨抓包看看,果然有东西。
2024-02-08 17:12:17
21720
原创 [BJDCTF2020]Mark loves cat(特详解)
可变变量:如果一个变量保存的值刚好是另外一个变量的名字,那么可以直接通过访问一个变量得到另外一个变量的值:在变量之前再多加一个 $ 符号。前半段和前面的方法原理相同,让flag覆盖is 后面的flag=flag—>$flag=$flag 目的是为了符合第三个if需求。这里的值表面是 x 但前面我们进行了变量覆盖使得 x=flag 所以在这里我们输出x的值就是flag的值。后面的目的就是让我们传入的变量是 flag 值不是flag 进而能够exit handsome。可以简单理解为$$x就相当于是$($x)
2024-02-01 16:28:52
19778
原创 PHP/原生类/Java/Python反序列化总结
直接访问swagger-ui.html,有三个路由,第三个功能,对应着jar包中Test.class,我们可以通过传dbName来进行sql注入。#反序列化魔术方法调用-__reduce__() __reduce_ex__()__setstate__()// __destruct:当删除一个对象或对象操作终止时被调用。
2024-01-31 18:55:10
20769
原创 信息搜集(外网打点必备)
1、whois信息(微步)2、网站架构3、dns信息(通过查询dns我们可以检测是否存在dns域传送漏洞)4、子域名搜集5、敏感目录及敏感信息、源码泄露(搜索引擎+工具)6、脆弱系统(网络空间)7、旁站查询8、C端查询9、指纹信息10、端口服务11、备案信息12、真实ip13、探测waf14、社工(朋友圈、微博、qq空间、求职、交易等社交平台)15、企业信息(天眼查、企业信用信息公示系统、工业和信息化部ICP/IP地址/域名信息备案管理系统)
2024-01-31 18:40:29
21383
原创 [GWCTF 2019]我有一个数据库(特详解)
记下来就是利用文章里的payload了,这里../回到上一级目录,只要多于5个,能回到根目录就行,etc/passwd是linux存放用户和密码的文件,在根目录。页面一开始乱码,先教大家应该修复的方法,到火狐打开,然后找到小工具里的修复文字编码,就可以了(没有的话可以在定制工具栏里添加)在界面可以查到各服务器的版本,可以去百度各版本服务器的漏洞。他说什么都没有,先dirsearch扫一下。直接看上面那个师傅的文章,十分详细的。查看其他的吧,有个数据库看看去。这里就不一样查了,直接上结论。
2024-01-31 18:28:18
19834
原创 [NCTF2019]Fake XML cookbook(特详解)
攻击者可以通过构造恶意的 XML 文档将其发送到应用程序中,在解析该文档时,XML 解析器会加载外部实体(如文件、URL等),以便在文档中引用它们。PHP 默认使用 libxml 来解析 XML,但是从 libxml 2.9.0 开始,它默认不再解析外部实体,导致 PHP 下的 XXE 漏洞已经逐渐消失,除非你指定 LIBLXML_NOENT 去开启外部实体解析,才会存在 XXE 漏洞。4.在成功回调函数中,根据返回的 XML 数据解析出登录结果的代码和消息,然后根据不同的结果更新页面上的提示信息。
2024-01-30 21:53:52
21322
原创 [GXYCTF2019]禁止套娃(特详解)
loacleconv 函数会固定返回一个 . 然后pos将我们获得的 .返回到我们构造的 payload 使得 scandir能够返回当前目录下的数组(换句话说,就是读出当前目录下的文件) rray_reverse()以相反的顺序输出(目的是以正序输出查询出来的内容)然后 next 提取第二个元素(将.过滤出去),最后用highlight_file()给显示出来。localeconv() 函数返回一个包含本地数字及货币格式信息的数组,该数组的第一个元素就是"."。一个合法的表达式也可以是a(b();
2024-01-29 23:36:17
20392
原创 [BUUCTF 2018]Online Tool(特详解)
即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。这意味着 PHP 脚本的当前工作目录将被更改为用户特定的沙盒目录,后续的文件和命令将在这个目录下执行。
2024-01-28 20:22:07
21121
1
原创 [BJDCTF2020]ZJCTF,不过如此(特详解)
而这段代码里面的第一个子匹配项就是${phpinfo()}。编码设定,这是一个可选项,base64 编码中仅包含 0-9,a-z,A-Z,+,/,=,其中 = 是用来编码补白的。我们先看第二个参数中的\1 ,\1实际上就是 \1,而 \1 在正则表达式中有自己的含义,最后一部分为这个 Data URI 承载的内容,它可以是纯文本编写的内容,也可以是经过 base64编码 的内容。单引号中的变量不会被处理。这里我们发现了.变成了_,这是因为php会将传入的非法的参数名转成下滑线,所以我们的正则匹配才会失效。
2024-01-24 21:31:22
18845
1
原创 [网鼎杯 2020 朱雀组]phpweb
这里我们需要查看页面源代码,进行代码审计 在这里我们可以使用多种函数进行查看 例如:file_get_contents、highlight_file() ,show_source()等。我们要对黑名单进行一个绕过 所以在本关我们可以使用别的方法来达到获取flag的目的 php内的" \ "在做代码执行的时候,会识别特殊字符串,绕过黑名单。但是在尝试system的时候发现hacking,说明被过滤了,试了passthru()同样也是。先抓包看看,发现post参数,可能是前面传的是函数,后面是函数的参数。
2024-01-23 16:20:44
16643
原创 [BSidesCF 2020]Had a bad day
试试能不能查看index.php直接?category=index.php不行,试试伪协议。说明参数要包含woofers、meowers、index。先看url,发现可能有注入。试试读取flag文件。
2024-01-23 16:03:42
16562
原创 [网鼎杯 2018]Fakebook
这是一个使用PHP编写的函数,其目的是通过cURL库执行HTTP GET请求并返回获取到的内容。总体而言,这个函数的作用是发送一个HTTP GET请求,获取目标URL的内容,并在特定情况下处理404响应。存在注入 接下来就是常规注入,唯一需要注意的就是这里的注入点过滤了空格,使用/**/:设置cURL选项,将返回的数据以字符串形式返回而不是直接输出。:创建一个cURL句柄,该句柄用于执行cURL相关的操作。字段存放的就是序列化字符串,在使用的时候应该就会调用进行。:设置cURL选项,指定要请求的URL。
2024-01-20 23:02:43
16990
原创 [CISCN2019 华北赛区 Day2 Web1]Hack World
一看题目就知道sql注入 就是找到注入点后就看能不能使其闭合了,但没办法过滤了太多,使用bp看一下过滤了哪些东西。导入sql fuzz字典。长度为482的都会提示sql注入,即被过滤的字符,得到这些字符被过滤了 测试注入点,发现是盲注,直接查表flag字段的内容 编写脚本
2023-07-27 19:14:40
12088
原创 buuctf-[网鼎杯 2020 青龙组]AreUSerialz
要求我们传入的str的每个字母的ascii值在32和125之间。开始对我们有提示flag.php,那就是到这里拿flag,看read()函数可以拿文件内容,再看到当op=2的时候可以运行函数read(),再通过output()函数显示出来。2.destruct()魔术方法会在传参是2的字符的时候,对传入的参数进行赋值,这里的比较是===强比较,而在process()函数是弱比较。绕过方法:可以使传入的op是数字2,从而使第一个强比较返回false,而使第二个弱比较返回true.1.先看is_valid()
2023-07-26 13:53:24
4009
原创 Ctfshow nodejs
这是一个基于Node.js和Express框架的路由文件,该路由提供一个POST接口用于用户登录。代码逻辑主要如下:1. 引入Express库:var express = require('express');2. 创建路由对象:var router = express.Router();3. 引入用户信息:var users = require('../modules/user').items;4. 定义一个函数findUser用于查找用户,并返回匹配的用户信息或null;
2023-04-30 20:40:21
333
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人