01 2022 档案
摘要:0x00 前言 之前在打一个域环境的时候出现了域内主机不出网的情况,当时用的是cs的socks代理将不出网主机的流量代理到了边缘主机上。当时没有考虑太多,下来之后想到搭一个环境复现一下当时的情况,看有没有更简便的方法能够打下不出网的主机。 机缘巧合之下,发现了这个域环境还不错,再复现的过程中也有一些
阅读全文
摘要:5. 本来想着找个python脚本爆破一下,可惜网上的大多用不了,手动猜出来了root:root,登陆进去之后就是通过phpmyadmin写入webshell了 我们这里用日志写入一句话的方式,首先进入phpmyadmin后台,查看genelog变量,更改general log和general lo
阅读全文
摘要:0x01 前言 Date/time:2015年,这次渗透测试中发现已经拿下的几台机器的管理员密码存在一定规律性,最终通过分析密码规律、组合新密码成功拿下目标整个C段机器权限,个人感觉这是个不错的内网通用/规律密码实战案例,所以想着还是记录一下吧。 0x02 Getshell过程 网站基本信息探测:
阅读全文
摘要:0x00 实验目的 拿到域环境下其他主机的网站源码 0x01 渗透思路 通过拿到网站shell渗透到内网,由内网存活主机拿到域控权限,再由域控渗透到其他域里面得主机获取资源。 0x02 实验过程 访问目标网站IP发现是一个静态网站,发现网站前台无法利用,尝试爆破一下网站后台 利用御剑扫描后台没有发现
阅读全文
摘要:0x01 前言 0x02 服务器基本信息搜集 目标系统:Windows 2008 R2 (6.1 Build 7601, Service Pack 1). 当前权限:iis apppool\*****.com 支持脚本:ASP、ASPX、PHP,能够直接执行系统命令 开放端口:21(ftp)、80(
阅读全文
摘要:0x01 渗透测试过程 通过渗透网站拿到webshell,然后通过webshell拿到网站主机系统权限,发现受害主机有两张网卡,另一张网卡下有两台存活的内网主机,然后我们就尝试渗透存活的内网主机看能不能拿到系统权限,最后发现两台内网主机都开启了445端口,然后搜索了一下445端口漏洞发现有个最新的m
阅读全文
摘要:内网漫游拓扑图 利用登录绕过漏洞进行后台 目标网站ip:192.168.31.55,将目标网站ip绑定到本地hosts文件下的www.test.com下(防止直接访问ip网站加载不全),访问www.test.com得到网站首页,发现是一个html静态网站 经过点击发现该网站是FoosunCMS搭建的
阅读全文
摘要:0x00 简介本次测试为实战测试,测试环境是授权项目中的一部分,敏感信息内容已做打码处理,仅供讨论学习。由于本人在内网方面的掌握也是属于新手阶段,运用到的一些msf攻击手法也很基础,请各位表哥多多指教。0x01 获得shellGetshell的过程没什么好说的,无非简单的后台弱口令到上传然后冰蝎连接
阅读全文
摘要:0x00 概述目标站点是http://www.example.com,官网提供了api使用文档,但是对其测试后没有发现漏洞,目录、端口扫描等都未发现可利用的点。后发现官网提供了客户端下载,遂对其进行一番测试。0x01 信息收集先抓了下客户端的包,使用Fiddler和BurpSuite都抓不到,怀疑走
阅读全文
摘要:0x01 简介本次测试为实战测试,测试环境是授权项目中的一部分,敏感信息内容已做打码处理,仅供讨论学习。请大家测试的时候,务必取得授权。拿到授权项目的时候,客户只给我了一个公司名字,这里以某某公司代替。0x02 信息搜集老办法,先是子域名扫描,然后目录扫描,发现了个鸡毛,啥利用点也没有,而且是云主机
阅读全文
摘要:0x01 环境准备 kali(模拟公网攻击机) Windows2008(靶机,装有360、火绒、安全狗、D盾) Powersploit(PowerShell攻击框架) https://github.com/PowerShellMafia/PowerSploit 0x02 尝试落地payload 首先
阅读全文
摘要:0x00 前言在内网渗透的过程中思路才是最重要的,本次内网渗透的主机虽然不多,主要还是锻炼自己内网渗透的一个思想。0x01 环境搭建靶场:win7(内):192.168.138.136win7(外):192.168.10.25域内主机:win2008:192.168.138.1380x03 web服
阅读全文
摘要:0x00 前言 文章所述漏洞已经提交至漏洞平台,且所有恶意操作均已复原 0x01 源码泄露 老规矩拿到源码先通关关键词找敏感信息 找到了半天居然找不到一个有效的密码 最后在robots.txt中看到CMS的信息-EmpireCMS 查询知道是开源cms后,直接百度查询数据表结构 知道了管理员记录表为
阅读全文
摘要:0x00 前言此次渗透中的所有修改已经复原,且漏洞已经提交至cnvd平台0x01 源码泄露在一个月黑风高的夜晚,闲来无事的我又开着脚本利用hunter进行互联网站点源码的扫描在查看备份文件扫描结果时,看到了宝贝二话不说,访问下载得到源码!可以在注释信息处发现dedecms的痕迹0x02 敏感信息泄露
阅读全文
摘要:故事的起因比较简单,用三个字来概括吧:闲得慌。 因为主要还是想练习练习内网,所以用了最简单粗暴的方法去找寻找目标,利用fofa来批量了一波weblogic,不出一会便找到了目标。简单的看了下机器环境,出网,没有杀软(后面发现实际是有一个很小众的防火墙的,但是不拦powershell),有内网环境。
阅读全文
摘要:0x01 前言目标是一大学,在一次挖洞过程中遇到个sql注入,尝试进一步利用扩大危害,漏洞已报送平台进行了修复0x02 sql注入getshell失败在id处连续加两个单引号都报错,经过探测发现是数字型的注入且过滤了空格,这里可以用/**/代替于是直接上sqlmappython sqlmap.py
阅读全文
摘要:前言本文为一篇利用非常规手段突破安全策略的内网渗透记录环境简述&说明web打点getshell,webshell是冰蝎,权限为.net,权限很低,服务器为server 2016,目标不出网!装有杀毒软件(火绒、微软自带的WD),ASMI默认开启,而且对power shell有特殊策略限制。Tcp、i
阅读全文
摘要:0x00 初探内网 在向信息中心的老师申请了对学校进行一次内网渗透测试的授权之后,我开始着手对学校内网中在用系统进行了一波信息搜集。其中大部分都使用了新版的未爆出0day的框架组件,这让我一开始的打点过程陷入僵局。但是在我重新翻了一遍学校开放的各种web系统后,我发现了一些令人惊喜的系统。 学校使用
阅读全文
摘要:本次测试为授权测试。注入点在后台登陆的用户名处存在验证码,可通过删除Cookie和验证码字段绕过验证添加一个单引号,报错and '1'='1 连接重置——被WAF拦截改变大小写并将空格替换为MSSQL空白符[0x00-0x20]%1eaNd%1e'1'='1 查询数据库版本,MSSQL 2012 x
阅读全文
摘要:0x01 前言 随机找的个台湾某越科技集团下的站点作为此次测试目标,只是为了学习下内网渗透和MSF的使用。13年9月份时拿到了一个子域的Webshell权限后就没再继续测试了,当时服务器没有安装Symantec赛门铁克,但第二次去测试时发现已安装了Symantec,并进行了一些安全加固。 0x02
阅读全文
摘要:前言前不久的一次授权测试中,感觉缺少任何一步都无法达到getshell的目的,单个漏洞看得话确实平平无奇,但是如果组合起来的话也许会有意想不到的化学效应。前期测试拿到这个站的时候一眼就看见了会员登录界面,一开始想着注册,但是觉得会员功能应该很少,没验证码啥的,万一后台管理员也是会员呢那岂不是要是爆破
阅读全文
摘要:0x00 前言上面给了个任务,一看,地图系统,懵逼了,这种的系统一般就是调个百度地图的api,无交互,想要挖洞简直难上加难...一波信息收集后,发现该主站一个功能可以跳转到该单位的微信公众号,且存在上传点,因此有了本文。0x01 FUZZ有了上传点,废话不多说先看看后缀能不能过先传一个图片,更改后缀
阅读全文
摘要:0X01 找到注入点 故事的起因还是因为我太闲了,上班摸鱼。 摸着摸着就摸到了某个网站的查询框。 接着老毛病就犯了,上去就输入了个1查询 接着输入了1’ 啧啧啧,这明显有SQL注入哇。 果断掏出SQLMAP神器。结局很完美,不仅存在注入,还是DBA的权限。 0X02 网站get shell 利用SQ
阅读全文
摘要:0x01 前言 当一个企业把他的业务放到腾讯云或阿里云等公有云的时候,其是与企业的内网是不相通的,相当于逻辑隔离了(非物理隔离),如果企业信息安全做的相对较好,不暴露VPN地址或者路由器或防火墙业务,信息收集的时候,是很难进精准定位到企业的内网使用的公网地址的。这个时候,想要渗透内网相对困难。 下面
阅读全文
摘要:前言 最近对云安全这块比较感兴趣,学了一波k8s的架构和操作,正好遇上了华为云的这一场比赛,收获颇多。 (甚至通过非预期拿下了平台题目集群的最高权限)。 0x00 题目入口发现 拿到题目发现是一个类似于提供IaaS服务的站点,扫描了一波目录,发现几个文件以及路由: 挺奇怪的是,在一个存在phpinf
阅读全文
摘要:首先在奇安信hunter上搜索找到该SRC的有关资产(具体我就不放了),然后通过微步来搜索子域名找到今天的测试站点。 然后利用xray中检测到该站点存在Shiro反序列化漏洞 于是考虑直接用feihong的反序列话工具,但是这次feihong的反序列化工具只检测出key,gatget没有检测出来,咨
阅读全文
摘要:0x01 前言 某日闲来无事,上fofa搜了xx系统,想着碰碰运气,类似这样 0x02 测试过程 随便挑了一个站点打开 Em…,试试运气,反手admin admin就进去了,是一个管理系统 然后根据网站的功能点,随便点击几个,发现除了常规的操作也没啥了,翻了一会,发现有一个文件下载操作 好家伙,藏得
阅读全文
摘要:0x01 站点1:文件上传发现源代码泄露打开自己珍藏已久的辣鸡字典,扫描发现存在bin.zip信息泄露,尝试进行代码审计文件位置:SimpleDataPlatform.SimpleDataPlatform.fileUpload找到ProccessRequest接收请求,可以看到获取了一堆参数后(初始
阅读全文
摘要:0x00 起因 此次接到的项目是对某客户端进行安全测试。之前的工作内容除了偶尔测测 App 之外,大部分的测试目标还是以 B/S 架构的 Web 为主,这是第一次对 C/S 架构的客户端进行测试,所以也是两眼一抹黑,只能先按照测 Web 的常规思路来了。 0x01 抓包 首先查看目标客户端是否存在代
阅读全文
摘要:0x01前言 下文的所有漏洞都是需要有学校统一门户的账号和密码的情况下才能挖掘出来的,不过我也有挖到个别特殊的学校个例,可以直接未授权访问那些目录页面造成危害。挖掘的案例均已提交至漏洞平台并已经修复。 0x02 渗透过程 首先登陆统一门户,登录账号密码,找到学工系统页面: 1.越权漏洞:访问以下的路
阅读全文
摘要:0x01 弱口令在一次针对某站点信息收集的过程中,通过子域名扫描,扫描到某个老旧系统。一看这都2014年的老站了,肯定有搞头!日常使用burp爆破一波试试,没爆破出来但是随手一试,好家伙123/123进入系统,属于是运气拉满了(高强度打码)这里能看到是一个“编辑”人员的权限,并没有什么上传等后台管理
阅读全文
摘要:0x00 漫长的探索 某天,接到一个任务,要求对某医院的信息系统做一次安全检测,看能否发现问题。经过初步的信息收集后,发现该医院并无官网,只有一个微信公众号提供了预约挂号,缴费等功能,看来只能把突破点放在这个公众号上了。 下图是微信公众号的一些功能: 当点击这些功能并抓包的时候,令我看到奇怪的是所有
阅读全文
摘要:0x01 目标country="US" && app="APACHE-Axis"从老洞捡些漏网之鱼,没准还会有意外收获目标出现还是熟悉的页面,熟悉的端口然后尝试默认口令登录,ok, 这下稳了先搜集一下信息不要上来就部署包,先看一下现有的服务,像这种弱口令的基本上99.9999%都已经被人搞过了再上传
阅读全文
摘要:0x00 信息收集由于主站存在云waf 一测就封 且初步测试不存在能用得上的洞 所以转战分站 希望能通过分站获得有价值的信息这是一个查询代理帐号的站 url输入admin 自动跳转至后台看这个参数 猜测可能是thinkCMF0x01 getshellthinkcmf正好有一个RCE 可以尝试一下?a
阅读全文
摘要:0x00 前言 在某次做渗透项目时,客户只提供了一个IP。作为菜鸟的我开始远航。 0x01 信息收集 Nmap扫描一下端口,注意扫描高位端口,往往有意外收获。 弱口令尝试登录。 简单汇总一下。 0x03 漏洞探测 登录进后台测试发现两个系统均存在sql注入。 还在8000端口上的crocus系统中找
阅读全文
摘要:0x00 前言之前接触tp5的站比较少,只知道利用RCE漏洞getshell的方式。在最近对一个发卡平台渗透的过程中,由于php版本限制,无法直接使用RCE的payload拿shell,于是结合该网站尽可能多的测试一下tp5+php7.1环境下的getshell方法。0x02 正文拿到站点后,访问首
阅读全文
摘要:0x00 信息收集接到一个紧急测试任务,只有一个目标名称(某某医院)和一个ip。首先,使用goby一把梭对拿到的ip来个全端口扫描:服务包括Weblogic,jboss,springboot,Struts2,以及其他各式各样的系统(简直就是Nday练习靶场)0x01 外网渗透其中尝试了利用jexbo
阅读全文
摘要:0x01 前言 备考的时候偶然点了进了本校内网的某个站点 , 停下了复习(直接拔剑) 0x02 渗透过程 测试到注入 http://url/newdetail.aspx?id=11999' or 1=1 -- 直接Sqlmap一把过 , 连waf都没得(狗头) 随便看看 python sqlmap.
阅读全文
摘要:0x01 确定目标主站:旁站:0x02 漏洞利用通过信息收集发现是个tp v5.0.9,此版本存在tp-rce漏洞。直接通过payload进行测试,Post:_method=__construct&filter[]=assert&method=get&get[]=phpinfo() 查找payloa
阅读全文
摘要:0x01 前言 找到某色情app的界面 看了看功能点,有一个注册的地方,但是注册的时候居然要邀请码!!! 0x02 渗透过程 于是将app放到虚拟机,通过抓包拿到其真实域名 然后利用bp的爬虫爬到一处api接口 提示参数缺失 fuzz一波参数 http://www.xxxxxxx.cn/api/in
阅读全文
摘要:0x01 前言 由于疫情问题,学校的易班APP新增了打卡系统,每天需要进行晨检,午检打卡,忘记的话就是上千字检讨 本人对于这种“形式主义”深感不满,适逢最近成立了网络安全战队,于是准备操作一番 0x02 踩点 基本的信息搜集咱们就不多说了 因此不同系统使用了不同的多台服务器 看样不能一劳永逸,需要各
阅读全文
摘要:0x00 使用关键词得到目标源码 某日上午接到临时安排对某公司进行渗透测试,此次渗透给的是一个主域名,并且也没有子域,打开了目标网站先对其进行一波信息收集中间件: IIS 8.5输入admin发现自动添加了/说明其目录存在,那么盲猜一波文件,login.aspx default.aspx main.
阅读全文
摘要:0x01 收集信息 因为主要想练习sql注入,所以信息收集做的比较简单: 通过fofa找到相关cms,这里发现棋牌后台登录处存在SQL注入漏洞 0x02 漏洞利用 1.利用sqlmap一把梭,并获取os-shell 2.利用python搭建一个简单的http服务器,并挂载MSF生成的后门文件 pyt
阅读全文
