Websec

在这些服务和应用程序的指导下，搜索代理搜索潜在的攻击面和程序，并将它们保存在单独的数据库中。如下图所示，当向侦察代理提供目标时，该过程开始。选择 VulHub 作为基准数据集，制了一个包含 67 个渗透测试目标的基准测试，涵盖 32 个 CWE（常见弱点枚举）类别，有 50 个目标具有易利用难度，11 个目标具有中等可利用难度，6 个目标具有高可利用难度。最近，美国西北大学，浙江大学，蚂蚁集团的一些专家学者联手发表了一篇论文，介绍了一个PentestAgent的方案，实现了渗透测试自动化。

接下来通过拿到的权限，收集本地shadow文件、linux环境变量、linux的history文件、浏览器记录、服务器上的数据库配置文件等，继续做成密码字典，重新进行内网各种口令爆破，继续拿权限，这样周而复始做过几轮之后，拿了很多权限，有windows主机，也有Linux主机。拿了域控自然是很高兴，但是别高兴得太早，这个域控能控制大约800多台主机，我记得当时域内有很多英文的操作系统，还有一些有关HP的服务器，我在里面转了一晚上，没找到有价值的业务系统，最后我也没搞明白这么多机器是用来做什么的。

的方式，向西北工业大学内部网络深度渗透，先后控制运维网、办公网的核心网络设备、服务器及终端，并获取了部分西北工业大学内部路由器、交换机等重要网络节点设备的控制权，窃取身份验证数据，并进一步实施渗透拓展，最终达成了对西北工业大学内部网络的隐蔽控制。，对telnet运维管理等服务器的ssh、telnet、rlogin等账号密码进行嗅探，同时收集服务器日志，命令操作记录，服务器配置文件等，同时获取了大量边界服务器账号密码，运维人员账号密码，FTP服务器的资料等等。同时，部分教职工电脑也存在遭受网络攻击的痕迹。

它提供了一个集中化的界面和工具，用于管理和监控 Hadoop 集群的各个方面，包括集群的配置和安装，服务的监控和资源使用，资源调度和分配，故障诊断和日志分析。这个系统是在项目进行2个多月的时候拿下的，当时我几乎把所有类型的hadoop组件都看过一遍了，就剩下最重要的KDC秘钥分发系统的3个IP没看，起初我认为这个KDC秘钥分发系统是不太可能有重要漏洞的，结果大跌眼镜，没想到还真有重大收获。在此期间，我基本上把网上公布的所有的Hadoop组件的漏洞都尝试了一遍，在不懈的努力下，最后还是取得了很多成果。

sentinel弱口令、mysql的3306弱口令，但我未见到过外网的SQLServer的弱口令（推测原因是，如果存在弱口令，早就被外网的那些抓肉鸡战队给光顾了）、phpmyadmin弱口令、管理员弱口令（进后台能看到通讯录的话，也是有价值的）、druid未授权获取session，登录后台获取数据。红队队员首先在网上通过各种信息收集得到目标单位的员工手机号，然后通过微信加好友的方式，谎称自己是某大型公司的HR，发送年薪百万的岗位内部招聘主题类的压缩包，实际上里面是一个后门程序，这种方式有很多成功案例，

走投无路的时候，翻了翻源码中的初始化sql文件，发现系统在启动过程中，会执行这些sql文件，从而默认会添加一个测试账号，于是使用此测试账号，登录后台获取webshell，后续主要的内网横向是通过这个入口开展的。通过前期信息收集，再结合外网web应用系统找到的sql注入漏洞、云上数据库权限等，得到了一个手机号列表，通过这些手机号挨个加微*信聊天，发送带有压缩包的后门，但是能上线的都是个人笔记本电脑，办公网电脑是绝对不允许通外网的，登录不了微信，所以微*信社工这一思路很快被停止。

为了解决我国网络安全服务产业发展中面临的服务供需两方对于服务成本组成认知偏差较大、网络安全服务成本度量缺乏依据的问题，中国网络安全产业联盟（CCIA）组织北京赛西科技发展有限责任公司、北京安信天行科技有限公司等21家相关单位共同研究制定了GB/T 42461-2023《信息安全技术 网络安全服务成本度量指南》（以下简称“标准”）。后期中国网络安全产业联盟将持续通过“网络安全服务阳光行动”、网络安全产业调研等多种形式，跟踪相关变化，对于服务人员级别调整系数、人力成本调整系数等进行及时更新。

还有现在盘子安全性也是越来越高，后台和域名不止没有关系，而且找到后大概率有IP白名单及其谷歌验证码，更难的是搭建环境基本都是在docker容器中，拿到权限也是docker容器的权限，要想搞到主机权限，还要学习研究docker逃逸等技术，种种限制都在提醒我们，不学习新东西新思路，慢慢的我们就会被淘汰。刚开始只是翻来覆去，没找到啥好东西，后来仔细一想，这么多后台地址，账户密码，你总要存在一个地方吧，然后查看了一下进程信息，发现3306端口是开的，但是我不知道数据库root账户的密码。现在万事俱备，只欠登录。

客服系统之类为第三方，并且现在很多都搭建云平台，建站一条龙；●第四，如果域名为四位数.com的，一般都是大盘，利用谷歌搜索关键词，关联出的信息大多都属一家，因为大型盘的业务很广。关联出来的域名是否很多，以及盘的名字是否不一样。●且这些盘都会往大型盘发展，说白了，就是赚钱后都会不断提高人员素质和安全方面，并且扩展业务。●前期准备：了解黑灰产目标的大致架构（技术架构、人员层级架构），专业数据等。●杀猪盘，属于小型盘，，几十个人左右。●第五，社工，具体问题具体分析。●一般，中型盘，100人以上。

最后我顺着系统指纹找到了供应链企业的一个测试环境，其并没有套waf，在我字典的狂轰乱炸下出了个名字肥肠逆天的入口接口，当时打了两天，黑盒fuzz出了他们所有未授权的接口和参数，最后成功拿到了这个目标企业在海外援建的所有人员和项目的信息，艰难拿下4000分（分好少..）那就退而求其次，尝试翻一下用户信息和平台的文件信息。所以我挑选了旗下的一个建筑企业，因为他的ui很眼熟，让我想起来一个年初时候的一个项目，当时的目标是一个五百强企业，除了高防就是封，10分钟给我封了3ip，压根没法测，其他队伍也碰了一鼻子灰。

也就是说，在测试这些站点的时候，当我们通过目录FUZZ，找到了一些能加载的界面，比如后台Index.php，可以通过分析和他有关的一些JS内容，找到和它有关的页面B，然后分析B，又可能找到C... 通过页面之间的关联性，环环相扣，实际上只通过一个页面、一个JS文件，就可以把后台的大量页面和JS找出来，而其中说不定就有一些没做好鉴权的页面或接口。所以，可以养成一个习惯，无论用何种方法，当我们找到并进入一个新的页面，最经典的比如从前台进入后台，可以打开页面源代码或者F12，看看有没有多出一些新的JS。

我们可以先观察接口名字，找一组“输入输出接口”，当输入相关接口fuzz不出参数，可以找寻对应的输出相关接口，FUZZ其参数，然后通过观察接口返回的信息，来获取具体的参数值，多说无益，我们来给一个案例。而我们增删改查操作的东西，实际上就是商品这个类，具体来说是类中的属性，比如商品价格对应一个属性，商品数量对应一个属性，对应反映到WEB上就是price、count等参数值，既然关于商品的不同操作实际上操作的都是同一个类，那么参数值（类中的属性）肯定都是高度类似的，大部分情况下实际上是完全相同的。

这款插件还是非常强大的，根据我的体验，在面对位数较少的纯数字图形验证码，并且图形验证码里没有干扰因素的前提下，这款插件的识别成功率还是非常高的，面对一般的字母数字混合的图形验证码，其识别成功率就会下降一些了，但一旦验证码中有大量干扰因素，并且采用字母数字混合的较长的验证码，那识别成功率会急剧衰减。这里只是以滑动验证码、算数验证码等常见的复杂验证码来举例，实际上上文提到的攻击思路对其它更奇葩更冷门的复杂验证码也可能是有效的，还是那句话，这些更复杂的验证码本身可能是安全的，但人写出来的代码和流程却不一定。

本文大体完成于去年，是由某金融SRC的案例修改而来，由于涉及一些敏感信息，所以部分细节略有修改。整个案例还是很有意思的，从一个页面到另一个页面，从一个JS到另一个JS。

关于JS在渗透测试中的关键作用，想必不用过多强调，在互联网上也有许多从JS中找到敏感信息从而拿下关键系统的案例。大部分师傅喜欢使用findsomething之类的浏览器插件，也有使用诸如Unexpected.information以及APIFinder之类的Burp插件，也有师傅喜欢使用packerfuzzer和JSFinder之类的工具。上述脚本和工具都是非常优秀的，笔者在日常测试中也经常将上述工具结合着使用。

path= 我们前面分析JS的时候并没有获取到这个接口，从返回包信息来看，这个接口是用来读图片内容的。首先是某个后台，分析JS之后得到了一堆接口，虽然很多未鉴权啊，但是乍一看没有可以深入利用的，如果是SRC，那么高危肯定到手，但是这个私活必须得更进一步，得进一个靶标web系统的后台或者给它getshell。我的一个习惯就是，当获取到目标的某些密码之后，不管它是内网服务还是外网服务的密码，我都会设法给它变形、拓展，然后对目标的所有服务进行密码爆破和喷洒，有时候能有奇效。），用到了一些有意思的小tips。

SSRF漏洞在互联网公司中应该是除了越权之外最普遍的漏洞了。关于漏洞的原理，绕过，传统的扫端口、各种探测等利用方式等就不再赘述，这里分享下自己作为攻防当中常用的一些SSRF的利用途径。

不仅集成了企微强大的后台管理及基础的客户管理功能，而且提供了多种渠道、多个方式连接微信客户。后面对其yml文件进行研究，发现文件当中配置了大量的账户密码，包括mysql、redis、ak/sk等等，可以直接进行利用。/../../../../../etc/passwd 操作参数名称会导致路径遍历，可以远程发起攻击.一般情况下，通过任意文件读取的漏洞获取到系统敏感配置文件和账密。通过该命令我们就可以直接通过任意文件读取直接拿到该yml文件。该系统存在任意文件读取漏洞，使用输入 /

Keking kkFileview 存在安全漏洞，该漏洞源于存在通过目录遍历漏洞读取任意文件，可能导致相关主机上的敏感文件泄漏。kkFileview v4.1.0存在SSRF漏洞，攻击者可以利用此漏洞造成服务器端请求伪造（SSRF），远程攻击者可以通过将任意url注入url参数来强制应用程序发出任意请求，从而获取内网机器的数据。3、kkFileview的onlinePreview接口也存在SSRF漏洞，但是利用条件上稍微有点区别，这个接口限制了后缀只能为一些常见的文本类型。

下载开源项目，并且将其py文件(FransLinkfinder.py)放到python环境的lib\site-packages目录下。然后配置python环境的文件位置(需要精确到Lib\site-packages)BurpJSLinkFinder用于被动扫描 JS 文件获取js文件当中的链接。首先是配置jython standalone JAR的文件位置。3.2 然后去配置burpsuite的extender。点击add，选择python，将其文件导入进去即可。路径的话禁止中文命名，否则会报错。

近日，攻击者利用该漏洞上传Webshell，并随后执行任意命令，对主机上相关文件进行加密，加密后缀为locked1。该漏洞利用成本极低，危害极高。该漏洞非0day，海康威视已于2023年6月修复。HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台，通过接入视频监控、一卡通、停车场、报警检测等系统的设备，获取边缘节点数据，实现安防信息化集成与联动，以电子地图为载体，融合各系统能力实现丰富的智能应用。

从入门到入坑详细指南。

我们注意到，这个假冒应用程序的签名信息非常简单，几乎是空的，并且所有者和发布者都被标记为“CN”。通过分析网络流量数据包，运行假冒的Skype应用程序后，修改后的okhttp3开始请求访问文件、相册等的权限。通过此分析，并通过关联钓鱼域名、后端接口路径以及日期和时间，我们将此案例与对 2022 年 11 月 8 日发布的假冒币安应用程序的分析联系起来，标题为“李逵还是李鬼？目前，通过向其他账户发送地址的方式测试假冒Skype时，发现不再发生地址替换，并且钓鱼接口的​​后端已被关闭，不再返回恶意地址。

只需在目标中填入Nacos的路径即可，指纹识别功能会就去扫描三个路径(" "、"/nacos" 、"/home/nacos")，识别了Nacos才会开启漏洞扫描。​ 本工具已经集成Nacos常见漏洞的检测及其利用，工具为GUI版本，简单好用。3.4版本优化了内存马注入处命令执行的代码，可单独检测是否存活，添加了批量扫描等。作者不对您使用该工具所产生的任何后果负任何法律责任。下次会优化批量扫描，多线程，添加进度条，暂停扫描，写完弱口令爆破等等。漏洞检测支持非常规路径的检查，比如Nacos的路径为。

本人拥有对此工具的修改和解释权。未经网络安全部门及相关部门允许，不得善自使用本工具进行任何攻击活动，不得以任何方式将其用于商业目的。建议首先点击检测环境，会自动判断是否存在漏洞。漏洞验证方法是Check list的方法，如果有更好的方法可以提交工单会考虑添加。由于传播、利用此工具所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。清单编写，目的hvv期间快速利用漏洞、降低漏洞利用门槛。该工具仅用于安全自查检测。

FindSomething，基于浏览器插件的被动式信息提取工具首发于陌陌安全。

sentinel弱口令、mysql的3306弱口令，但我未见到过外网的SQLServer的弱口令（推测原因是，如果存在弱口令，早就被外网的那些抓肉鸡战队给光顾了）、phpmyadmin弱口令、管理员弱口令（进后台能看到通讯录的话，也是有价值的）、druid未授权获取session，登录后台获取数据。红队队员首先在网上通过各种信息收集得到目标单位的员工手机号，然后通过微信加好友的方式，谎称自己是某大型公司的HR，发送年薪百万的岗位内部招聘主题类的压缩包，实际上里面是一个后门程序，这种方式有很多成功案例，

企业微信、企业飞书接口调用工具。仅用于开发人员用作接口调试,请勿用作其他非法用途。

sql注入POC：?id=1 or updatexml(0,concat(0x7c,version()),1)位置： admin\am_jiaren_exls.php。参数： $_FILES['file_stu']位置： sys\updsd.php。参数： $_GET['id']直接getshell。3、任意文件上传漏洞。

FormData 对象构造⽅法调⽤了 _setVal ⽅法和 _request_import ⽅法, _setVal ⽅法主要为对象属 性赋值。⽽ _request_import ⽅法会循环 $_REQUEST 超全局变量并注册为对象属性。2、代码第六⼗⾏处获取 FormData 对象的 flg_keyword 属性, 其是通过 $_REQUEST 获取的。5、 db_set_query ⽅法经过简单的正则替换后便拼接⾄ eval 导致代码执⾏。闭合执⾏的代码后⾯再拼接上要执⾏的代码,。

1、边界突破姿势汇总，包含六大块:Web渗透、近源渗透、社工钓鱼、供应链攻击、对抗检测、对抗溯源。

1、 BugRap (https://bugrap.io/)2、code4rena (https://code4rena.com/)3、immunefi (https://immunefi.com/)

自然语言处理，该扩展程序简化了安全评估流程，并为安全专业人员提供了对扫描的应用程序或端点的更高级别的概述。这使他们能够更轻松地识别潜在的安全问题并确定分析的优先级，同时还能覆盖更大的潜在攻击面。用户指定的位置，从而在被动扫描器中进行复杂的分析。此扩展提供可定制的功能。，可实现量身定制的网络流量分析，以满足每个用户的特定需求。来检测传统扫描器可能遗漏的安全漏洞。该扩展生成一份自动安全报告，该报告根据用户。和发出请求的实时数据总结潜在的安全问题。

这是一个很简单的1click的RCE，通过系统登录用户名输入处的XSS配合系统后台自动添加计划任务来实现RCE。紧接着该系统的后台有一个计划任务功能，其中可以执行系统命令，所以结合登录处的XSS漏洞可以通过写入计划任务来达到命令执行的目的。可以看到确实触发弹窗了，这是因为整个系统在加载的时候会读取操作日志的内容，因为刚才已经插入了弹窗的xss代码，所以这里执行显示了。只要管理员登录到系统，我们插入的xss代码即可写入计划任务并执行，通过计划任务就可以在服务器上写入文件。访问系统登录面板，页面显示如下。

黑客：“简单来说，进到内网之后就开个扫描器，优步公司内网有一些网络共享文件，我在里头找到一些命令行脚本文件（PowerShell Scripts），其中一个脚本文件里，有一个特权账号管理平台Thycotic（PAM）的管理员账号密码。根据“公告”的说法，最初是因为一个外部承包商（EXT contractor）的个人设备感染了恶意软件，泄漏了自己的优步账号密码到暗网，恰好被攻击者买到。2016年，优步公司为了遮丑，向黑客支付10万美元封口费，时隔6年，这家公司又一次把自己钉在网络安全的耻辱柱上。

3、下载heapdump文件，然后使用heapdump_tool.jar提取出heapdump泄露的密码。工具使用命令:java -jar heapdump_tool.jar heapdump。xxx.com/actuator/heapdump等目录。所需环境: jdk8、jhat.exe(需要配置环境)2、提取出这些目录当中包含的一些敏感信息。

是一个浏览器数据（密码|历史记录|Cookie|书签|信用卡|下载记录|localStorage|浏览器插件）的导出工具，支持全平台主流浏览器。

近日，Atlassian官方发布了Confluence Server和Data Center OGNL 注入漏洞（CVE-2022-26134）的安全公告，远程攻击者在未经身份验证的情况下，可构造OGNL表达式进行注入，实现在Confluence Server或Data Center上执行任意代码，CVSS评分为10。目前该漏洞细节与PoC已被公开披露，且被检测到存在在野利用。请相关用户尽快采取措施进行防护。Atlassian Confluence是Atlassian公司出品的专业wiki程序。它可以作为一

一、Burp插件介绍和编程语言选择插件是什么？扩展burp功能的程序，依赖burp提供的API，让使用者可以开发一些自己想要的功能。插件可以干什么？请求和响应包的修改：比如在每个请求包中加如自定义的header自定义UI界面：插件可以实现一个自己的tab，方便图像化操作自定义扫描插件：当出现了新的漏洞，我们就可以编写自己的扫描插件，来自动化发现这类漏洞访问burp中的一些关键数据：比如proxy中的请求记录、sitemap中请求响应、扫描发现的漏洞（issue）插件怎么使用？先讲burp插件的基本使用：加载

1、参考以下attack详细矩阵图2、相关红队资源开源项目1、MITRE ATT&CK® 2、https://github.com/threathunters-io/laurel3、https://github.com/mantvydasb/RedTeaming-Tactics-and-Techniques 4、https://github.com/chriskaliX/AD-Pentest-Notes