- 博客(447)
- 收藏
- 关注
RSS订阅原创 基于Docker的Windows容器化AWD平台构建方案
本文系统阐述了基于Docker容器化技术在Windows环境下搭建AWD攻防平台的完整技术方案覆盖环境搭建→漏洞集成→批量部署→平台运维全流程。致谢与资源Cardinal开源项目提供核心平台支持。• 本文代码仓库与工具包已开源 [https://github.com/Junt184/Cardinal-Replace],欢迎社区协作优化。
2025-04-02 14:48:18
670
原创 面试经验分享 | 成都渗透测试工程师二面面经分享
大概就这么多内容吧,其中技术方向的内容只是一方面,更多的是综合能力的展示。多说一点,大厂相对来说对学历看重一些,名牌985院校本身就是加分项;此外最好能拿到几本cnvd证书、SRC月榜上几次、或CTF竞赛有名次。
2025-04-02 09:42:33
746
原创 面试经验分享 | 成都某安全厂商渗透测试工程师
在面试中我对XSS的实现方式和防范措施进行了简要介绍,尤其强调了对用户输入的严格过滤和输出编码的必要性。在我的测试中,挖到过存储型XSS漏洞,典型场景是在用户输入中未进行有效过滤的情况下,随即将输入的数据返回到页面上。我在学校期间积极参加CTF比赛,获得过几次名次,个人在团队中通常负责WEB和杂项的解题,我认为CTF比赛是提升实战能力的好机会。这样的氛围让我感到舒适,也让我对未来的工作充满期待。从整体来看,面试官的问题较为细致,这次面试的难度为一般,问题覆盖了渗透测试的基础知识和实战经验。
2025-04-01 14:48:56
745
原创 记一次Keycloak管理面板接管
Keycloak是一款被广泛使用的开源身份与访问管理(IAM)解决方案,许多组织依赖它来处理身份验证和授权。然而,即使是最强大的安全系统也可能存在漏洞。现在,让我们返回登录页面并执行一个简单的登录操作。(这里是关键点,因为如果你直接访问注册端点,会遇到错误。现在,让我们在修改一些变量的同时创建另一个账户。,在转发请求后,账户成功创建。在这里,我有几个选项,但最简单的方法是。🎉 现在,让我们使用。但不幸的是,这些凭据无效 😞。阶段,无法访问任何内容!在转发请求后,我现在是一个。但不幸的是,注册已被。
2025-04-01 10:33:30
235
原创 挖洞日记 | 记一套统一通杀
本报告仅用于安全研究和授权测试,未经授权的渗透测试行为是违法的,切勿用于其他用途,请确保在合法授权的情况下进行安全测试,出现任何后果与本人无关。
2025-03-31 14:15:17
324
原创 mitmproxy前端加解密测试
为啥要上 上下游代理 ,因为如果说 服务器和客户端 两端传输的数据都是加密的话,一般客户端这边是JS代码解密,而我们直接使用burp/yakit 抓包的话,看到的都是加密数据,无从下手,因此需要上下游代理,实现传输中的加解密,实现burp/yakit上抓到的数据是解密后的结果,而传输到服务器和客户端又正好是加密后的结果,保证正常“走数据包”的同时又能对数据包进行测试分析。启动mitmproxy,打开cmd窗口,输入命令:将mitmproxy设置为yakit的上游代理,8083是我yakit的代理端口。
2025-03-31 09:30:06
713
原创 记一次常规的网络安全渗透测试
上个月根据领导安排,需要到本市一家电视台进行网络安全评估测试。通过对内外网进行渗透测试,网络和安全设备的使用和部署情况,以及网络安全规章流程出具安全评估报告。本文就是记录了这次安全评估测试中渗透测试部分的内容,而且客户这边刚刚做过了一次等保测评,算一下时间这才几周不到,又来进行测试,实在是怕没成绩交不了差啊。攻击链路:OA系统0day漏洞获取webshell—>搭建frp隐蔽隧道进入内网—>主机、域控存在MS17-010漏洞—>struts2命令执行漏洞—>二层内网大量服务存在弱口令、未授权。
2025-03-28 14:25:11
2236
1
原创 HW面试经验分享 | 某服蓝队初级
依稀记得是22年 7、8月份参加的HW,当时是比较炎热的时候,但又夹杂一丝秋意。也是头一次去离家乡比较远的地方,多少有点忐忑……(怕被噶腰子、水土不服、吃穿用住没着落等等),但最终也是平安无事且顺利的度过了那半个月的时间,现在回忆起来有点唏嘘了。最后也是成功面过了,虽然薪资不高,但毕竟是第一次去参加,所以也是抱着长见识,长经验的心态去的,从到客户现场的头几天紧张的冒冷汗到后面10几天的淡然,也算是心理上的成长了。结束后也是在当地玩了一两天,到处瞎逛了下,然后就背上电脑和书包回家了~
2025-03-28 09:37:28
639
原创 记一次框架利用接管学工系统
于是我开始思考平台是如何对用户进行权限划分的,回到响应数据包中,对比admin用户与其他用户的区别,我发现admin用户与其他用户最大的不同在type和teacherId两个参数,所以我推测系统是根据参数type和teacherId来对用户进行权限的划分。经过一番寻找,成功找到另外一个与admin用户鉴权参数值相同的用户,并且此用户的密码是可解密的,登录该用户后,发现先前的猜测完全正确,该用户具备与admin用户完全同等级的权限,成功拿下了该校的学工系统。1.Env接口中找到加密字段的属性名称;
2025-03-27 16:31:23
921
原创 绕过杀软防护实战 | 通过数据库写入WebShell
记录一次比较有思考意义的国外渗透过程,通过外围打点渗透,成功获取到目标数据库的账号和密码,连接数据库后上传 WebShell 实现控制,但在尝试上传后门木马文件时,发现目标系统中运行着杀软,使用 tasklist /SVC 确认杀软进程的存在,导致一旦上传恶意文件,系统会立即触发杀软扫描并进行拦截,上传木马的尝试失败。
2025-03-27 09:48:40
546
原创 javasec | CB链详细分析
按照CC2过程来,假如我们add进两个值,那么这里的k为0,x为queue[0]的值,也就是我们第一个add进的值,同时看这个方法的内部,那么再分别说一下值问题:。在ysoserial中给出了解决方法,我们可以先往里面随便add进值,然后再反射更改为我想利用的,那么测试代码可以改为:。所以这里是先调用的queue[0],同时结合我们前面的说法,只会调用一次,所以我们这里需要,如下设置:。它利用反射操作Bean的属性。
2025-03-26 14:20:36
613
原创 免杀技巧 | 实现Sliver C2 规避 Defender 的 Mimikatz
本文主要演示如何修改 Sliver C2 中的 Mimikatz Beacon Object File(BOF),以规避 Windows Defender。假设我们已经获取了 Beacon,并成功绕过了杀毒软件。现在让我们尝试运行默认的 Mimikatz 命令。这会被 Defender 检测到,并导致我们的 Beacon 被终止。
2025-03-26 09:37:08
571
原创 某AD应用交付设备处理
一、环境问题导包开机加载 menu 配置选择第二项,管理设置设置静态 ip、网关静态ip网关设置完毕后,选择Menu第一个,ip a查看本地设置ipAD控制台密码AD报表中心密码网关升级与恢复系统密码二、CONSOLE进入到 Console 层面简单看下内置 CLI通 ttyssh根据之前 vul 追一下源码位结束,提取源代码即可。
2025-03-25 15:14:53
196
原创 HW面试经验分享 | 某服蓝队初级
依稀记得是22年 7、8月份参加的HW,当时是比较炎热的时候,但又夹杂一丝秋意。也是头一次去离家乡比较远的地方,多少有点忐忑……(怕被噶腰子、水土不服、吃穿用住没着落等等),但最终也是平安无事且顺利的度过了那半个月的时间,现在回忆起来有点唏嘘了。最后也是成功面过了,虽然薪资不高,但毕竟是第一次去参加,所以也是抱着长见识,长经验的心态去的,从到客户现场的头几天紧张的冒冷汗到后面10几天的淡然,也算是心理上的成长了。结束后也是在当地玩了一两天,到处瞎逛了下,然后就背上电脑和书包回家了~
2025-03-25 09:20:17
815
原创 某厂商堡垒机处理
另外就是某厂商的 AF 设备上,那个更抽象了,要业务员扫二维码解锁?meun 进到计算码的东西【这种东西我只在某恒的设备上见过,貌似某恒全线标配?整体没啥问题,有疑虑的可以查看一下部分纰漏的 vul,定位更准确一些。php + java 的 源码在 opt 下,直接打包就可以了。随意找一个账号密码进到 menu 看一下菜单栏配置。验证一个账号密码进入到 conosle。过掉计算码会来到一个超级模式。还是老样子,按部就班即可。不管他,继续配一下环境先。启动 WEB 看一下。
2025-03-24 09:26:37
315
原创 挖洞日记 | Webpack实操
这里我又找到了我一个高中同学,和他聊高中一起同生共死的曾经,翻着我们的照片~想念若隐若现~去年的冬天~我们笑得很甜~ok他开始回忆过往,并且开始很有感触,出其不意,他包不会拒绝的。好的现在找到了我们想打的一些站点,打开之后查看源代码,这里可以看到,我这个站点还有webpack打包导致的api和router路径泄露,这里也往往是重中之重。那好不容易进来,肯定还要继续测sql,xss,文件上传,逻辑越权之类的,找到注入点直接跑sql也是没跑出来,打出来一个存储xss。也是成功登录,到这已经危害拉满了。
2025-03-21 14:45:01
550
转载 记某项目上的一次getshell
思考:通过两次对比不难看出:-工号匹配优先级最高 -忘记密码处为姓名和工号,那么是不是说明账号登陆处的用户名其实就是姓名或者工号呢,或者姓名的简拼 -如果知道姓名和手机号,那么就可以通过工号来爆破,从而进行用户密码重制 3.通过谷歌语法收集一下目标单位的手机号和姓名等相关信息(后续从其余站点获取工号格式为A12345) 4.使用工号和谷歌语法收集的信息对账号密码和忘记密码处进行爆破 5.最后的结果还是让我蛮吃惊的,没有一个成果!1.整理下目前所有信息,拥有用户名,工号,以及手机号还是无法成功?
2025-03-21 09:28:43
373
原创 使用 SSO 登录进行帐户接管
公司机构通常会为用户提供各种登录方法来验证他们的账户,可能在许多网站上遇到过“使用 Google”、“Facebook”或“Apple”等作为选项。使用电子邮件/密码创建帐户,当然也可以使用第三方 SSO(单点登录)选项登录该帐户。有一些属于隐藏的sso接口通用是启用状态,且允许通过这些登录到对应账户。如下:如果访问 Grammarly,您通常会看到 Google、Apple 和 Facebook 作为 SSO 登录选项。但Grammarly也提供了定义SSO选项使用自定义SSO创建用户。
2025-03-20 14:08:16
372
原创 AI安全 | 利用链式思维推理劫持 LRM
本文基于杜克大学计算进化智能中心发布的 Hijacking the Chain-of-Thought 研究成果。
2025-03-20 09:55:11
1253
原创 java agent 学习
Java Agent是一种特殊的 Java 程序,它能够在运行时修改或监视其他 Java 程序的行为。Java Agent 通过使用实现,可以在 Java 应用程序的生命周期中,动态地对字节码进行插桩(Instrumentation)或修改,从而影响或增强应用程序的行为。Java Agent 主要用于字节码增强监控性能分析调试等场景。
2025-03-19 15:46:58
921
原创 关于缓存欺骗的小总结
缓存欺骗是一种相对较新的网络安全攻击向量,通过诱骗网络服务器将私密内容存储在公共缓存中,从而导致敏感信息的泄露。如果该漏洞被利用,攻击者可以绕过身份验证机制,获取个人或机密数据。本文将深入探讨缓存欺骗的概念、工作原理、利用方法以及最重要的防护措施。在深入探讨缓存欺骗之前,有必要了解缓存的概念以及它在 Web 开发和网络中的作用。什么是缓存?缓存是一种临时存储位置,用于保存数据或文件的副本,以便加快访问速度。
2025-03-19 09:31:05
1129
原创 区块链 智能合约安全 | 整型溢出漏洞
(Integer Overflow/Underflow Vulnerability)是计算机程序中因数值运算超出数据类型范围而导致的异常行为。可能导致的危害: 在智能合约中,这种漏洞可能导致资产,是区块链安全领域的高危风险之一。在Solidity中, 当我们定义一个整型数据类型时通常需要声明这个整型的长度,在学习Solidity的过程中, 我们学习到整型有无符号整型uint与整型int类型 ,如果直接使用uint声明。
2025-03-18 14:16:48
1189
原创 使用Azure CDN进行子域名接管
本文的重点描述我发现的一起利用 Microsoft Azure 的 CDN (azureedge.net) 实现的子域名接管案例。我使用自己的域名重现了该问题,并会介绍我发现它的过程以及如何创建一个简单的漏洞利用 PoC(概念验证)接管子域名的第一步是找到一份候选名单。市面上有许多工具可以做到这一点(有些比其他工具更好)。我其实并不喜欢做侦察或枚举工作,因此尽管我想快速找到大量子域名,但我并不在意是否找到了每一个可能的子域名。如果你非常在意全面性,那么你可能需要使用多种工具并结合字典暴力破解。
2025-03-18 09:20:41
831
原创 一次恶意样本简易分析 | Lumma Stealer — 通过点击修复钓鱼进行 DLL 侧加载
Lumma Stealer(也称为 LummaC2 Stealer)是一种用 C 语言编写的信息窃取工具,自 2022 年 8 月以来,已经通过一种名为“恶意软件即服务”(MaaS)的模式出现在俄罗斯语论坛上。它被认为是由威胁演员“Shamel”开发的,他的化名为“Lumma”。Lumma Stealer 主要针对加密货币钱包和双重身份验证(2FA)浏览器扩展,然后最终窃取受害者计算机上的敏感信息。
2025-03-17 14:04:23
599
原创 面试经验分享 | 某安全厂商HW面试经验
也希望大家有什么护网相关的需求和建议都可以留在评论区,大家讨论下,嘿嘿嘿,希望大家伙都可以通过今年的护网面试。反弹shell,就是攻击机监听在某个TCP/UDP端口为服务端,目标机主动发起请求到攻击机监听的端口,然后将shell转移到到攻击机。攻击者利用SQL语句或字符串插入到服务端数据库中,通过一些字符单引号、双引号,括号、and、or进行报错,获取数据库敏感信息。反射型XSS:反射型XSS攻击是一次性的攻击,当受害者点击恶意链接url的时候,恶意代码会直接在受害者的主机上的浏览器执行。
2025-03-17 09:31:56
824
原创 挖洞日记(一天拿下证书的思路)
这可是打了这么多cas以来,第一次开放的,呜呜,,不容易啊。继续收集,但是该目标站点的录取通知书没有学号,这想要收集对应学生的xh还是有点难度啊,想过钓鱼(但是不合规,没做),峰回路转,冷静一下后想到打点打到的那套支付平台,还是比较熟悉的,想到这里面会有学号,果断登录进去查看,嘻嘻嘻嘻嘻嘻嘻嘻嘻嘻,搞到学号了。测绘发现目标站点的挺多系统的,点开查看后发现都经过了302重定向到统一身份认证,必须得经过cas才能访问,也就是cas起了聚合的作用,将内部系统聚合在一起,只要突破该cas就能突破她的心了。
2025-03-14 15:57:07
926
原创 绕过 SAML 认证接管管理面板
SAML(安全断言标记语言)用于实现单点登录(SSO)。它是一种功能,允许用户无需多次登录即可访问多个服务。例如,如果你已经登录了 facebook.com,就无需再次输入凭据即可使用 messenger.com。
2025-03-14 09:36:50
560
原创 从CloudFlare配置错误到登录管理后台
目录: 在一次漏洞挖掘活动中,我们发现了一个新开发的移动应用作为目标。除了专注于测试该移动应用本身之外,我们还在这一阶段收集了与应用程序中识别出的域名/子域名相关的信息。简而言之,我们发现了 dev-env.target.tld。根据我们对该域名的初步调查,我们发现目标存在以下两种情况:首先,该应用程序很可能托管在某个知名的公共托管服务上,因为 dev-env.target.tld 子域使用的 IP 地址注册在该提供商名下。其次,有迹象表明管理员可能正在使用 Cloudflare 服务(通过所使用的名称服务
2025-03-13 14:10:25
823
原创 记一次IDOR 和访问控制缺失漏洞挖掘
我尝试通过更改帖子 ID 来修改请求,试图将其他用户的报告发送到我的邮箱。起初,我并没有计划测试这个导出功能,但出于好奇,我点击了下载 PDF 的按钮。3、我会为每个测试的应用程序创建一个 Obsidian 文件,在其中存储重要信息,比如两个测试账户的 ID,以及应用使用的任何。通过这样做,我可以未经授权访问其他用户的 PDF 报告,暴露了他们的私人帖子信息,我能够看到应用程序中的所有帖子。简而言之,该应用未能实施适当的安全机制来防止未经授权的访问,使这两个漏洞都变得非常危险。(而不是我所有的帖子)。
2025-03-13 09:23:04
504
原创 利用条件竞争绕过 HackerOne 2FA
这篇文章讲述了我是如何发现 HackerOne 的一个,该漏洞允许我。我不清楚这个漏洞存在了多久,直到我注意到并向团队报告它。在了解漏洞之前,首先需要了解 HackerOne的工作方式。✅✅这是一条安全的认证流程,我无法找到绕过这些步骤以跳过身份验证的漏洞。
2025-03-12 14:40:51
993
原创 我与红队:一场网络安全实战的较量与成长
目录:在网络空间安全领域,红队作为模拟攻击方,是攻防演练中至关重要的角色。我们致力于通过实现控制业务、获取数据、系统提权等目标,来发现系统、技术、人员和基础架构中存在的网络安全隐患或薄弱环节。本人作为网络安全公司红队Team leader,与队友共同取得了一些成绩。
2025-03-11 14:20:08
996
1
原创 漏洞挖掘 | 记一次CNVD证书获取过程
本人为练习时长一年半的脚本小子,近来总是听大佬说挖0day交CNVD,0day是什么,CNVD又是个啥,怀着好奇的心情,和度师傅深度学习了两个半小时,然后开始了本人的CNVD之旅(本次通过的漏洞为越权漏洞)本次漏洞难度不高,就是利用条件有些苛刻,不过最终也是通过了,拿到了中危。利用上述方法进行CNVD挖掘,也是成功挖到了几个厂商的0day。注:本篇文章漏洞目前已经修复,关键信息已经打码,为提供渗透思路,仅供参考学习。
2025-03-11 09:43:10
657
原创 5 种利用 HTTP 参数污染 (HPP) 攻击的小技巧
在本文中,我们将探讨五种利用 HPP 漏洞的技术,并了解其对 Web 应用程序的影响。如果后端仅处理参数的第一个或最后一个出现的值,攻击者可以注入多个相同参数来覆盖或绕过这些安全控制。如果某个 API 使用 API Key 进行身份验证:。根据后端处理重复参数的方式,这可能会导致:。考虑一个用于获取用户个人资料的查询:。攻击者可能利用 HPP 绕过该限制:。如果攻击者发送以下payload:。可以做如下尝试:。
2025-03-10 14:09:56
544
原创 某厂商IPS设备到源码
p1中 设置了超级用户 xxx 以及使用了pbkdf2 sha 512 1000 进行加密,如果需要过二级认证 这里可以直接注释掉用户和密码开头行,或 自行生成密码替换到文件中。search中,加载了boot下的bzimage镜像启动,root=/dev/ram 通过内存映射加载。这里翻遍了所有文件都找不到,故放弃 关键点落在镜像文件中。这里按照原文中作者思路已经拿不到源码了,在内存启动的不在磁盘。通过 squashfs 文件系统,解开固件。导环境启动开机,配置一下环境。固件解开后挂载文件系统。
2025-03-10 09:40:08
167
原创 记一次小程序漏洞打包
本文涉及的相关漏洞均已修复、本文中技术和方法仅用于教育目的;文中讨论的所有案例和技术均旨在帮助读者更好地理解相关安全问题,并采取适当的防护措施来保护自身系统免受攻击。xxx学校———存在弱口令、jwt伪造、越权、未授权访问、敏感信息泄露漏洞 前期web端打点,发现web端服务太少,只有一个nacos系统,存在身份权限绕过漏洞,登录进去之后发现了一个jwt密钥和一些内网ip和数据库账密,于是便想着jwt密钥后利用,但是web打点并没有发现对应的系统,无法,转战微信小程序端,看看能否有产出。
2025-03-05 14:50:49
636
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人