t1chm1's 自留地

0x00 前言 IPC$(Internet Process Connection) 是为了让进程之间通信的一种“管道”，通过提供用户名密码建立了一条安全的、加密的、用于数据交换的通道。当然，还是在同一个时间，还是同样的两个IP，他们之间只能建立一个IPC$连接，脚踏多条船无论什么时候都是不可取的。通过这个连接，可以实现在被连接的目标机器上搞文件上传、下载、命令执行…… IPC$默认大概率会禁用空密码的用户进行连接，并且目前的windows系统在安装的时候都会默认禁用Administrator用户，而是创建一个普通用户并把它加到管理组内 0x01 前提条件 139或445端口开启 目标机器没有禁用IPC$连接，没有什么防火防盗拦截IPC$，139 445 端口也开了（能走445走445，不能则走139） SMB协议（445端口）：windows文件打印共享服务 NETBios（139端口）：NetBIOS协议是一种在局域网上的程序可以使用的应用程序编程接口（API） 知道管理员的密码（明文） 0x02 常用命令 建立空连接 1net use \\10.1.10.7 ...

绕过WAF运行命令执行漏洞的方法 0x01 Windows（不区分大小写） 1.1 符号和命令的关系 如果命令执行的时候遇到拦截命令关键词的时候可以利用如下方法绕过： "和^是CMD命令中最常见的转义字符，还有成对的括号并不会影响命令的执行。 这里有几个需要注意的地方： 12345在命令中可以有无数个"，但是不能有两个连续的^在命令中如果"在^之前，则"的个数必须为偶数个在命令中如果"在^之后，并且带有参数，则命令中的"个数必须为偶数在命令的参数中，单个字符前后"的个数只能有一个或者两个如果成对的括号中间有"则"的个数也必须为偶数 1234567891011121314151617181920whoami //正确执行WhOAmi //正确执行Who"amI //正确执行((Who"amI)) //错误((Who""amI)) //正确执行Who""""""" ...

前言 未知攻，焉知防，作为一名合格的网络保安，肯定要学习攻防的知识。 一般在获取服务器权限之后，需要用一些后门来维持权限。如果你不想被管理员发现，请隐藏好它。 windows权限维持 0x01 隐藏文件 利用文件属性 利用ADS隐藏文件内容 驱动级文件隐藏 0x02 隐藏账号 0x03 端口复用 0x04 进程注入 0x05 注册表自启动 0x06 组策略设置脚本启动 0x07 计划任务 0x08 服务自启动 0x09 WMI后门 0x10 dll 劫持 0x11 com劫持 0x12 映像劫持 linux权限维持 0x01 隐藏文件 0x02 隐藏文件时间戳 0x03 隐藏权限 0x04 隐藏历史操作命令 0x05 隐藏远程SSH登陆记录 0x06 端口复用 0x07 进程隐藏 0x08 一句话添加用户和密码 0x09 SUID Shell 0x10 ssh公私钥免密登录 0x11 软连接 0x12 SSH wrapper 0x13 strace后门 0x14 crontab 反弹shell 0x15 openssh 后门 0x16 PAM后门 0x17 rookit后门

0x01 前言 感觉这个工具还可以，在这里学习一下用法 0x01 场景 去除重复项 面对合并后的超大字典，还是不舍得只要频率高的词，路径字典有时候还是多多益善。去重下，照单全收 1python3 pydictor.py -tool uniqifer uniq.txt --output 1.txt 或者直接合并加去重 1python3 pydictor.py -tool uniqbiner /path --output uniq.txt 字典合并 字典都不是凭空捏造或生成的，一般都会参考前辈们公布的字典。所以，先收集百八十个字典，放到一个目录下，把字典合并起来吧。 合并目录/网站路径爆破字典 合并子域名字典 合并用户名字典 合并弱密码字典 其它各式各样的字典 1python3 pydictor.py -tool combiner /my/dict/dirpath -o comb.txt 词频统计 但是有时候我们通常不需要那么大的字典，选合并后字典的出现频率最高的前1000条保存吧。筛选出最常用的网站路径/子域名/用户名/弱密码/… 修改 lib/data/data ...

用法 -u 指定url -w 设置字典 -c 将响应状态码用颜色区分，windows下无法实现该效果。 -t 线程率，默认40 -p 请求延时： 0.1、0.2s -ac 自动校准fuzz结果 -H Header头，格式为 “Name: Value” -X HTTP method to use -d POST data -r 跟随重定向 -recursion num 递归扫描 -x 设置代理 http 或 socks5://127.0.0.1:8080 -s 不打印附加信息，简洁输出 -e 设置脚本语言 -e .asp,.php,.html,.txt等 -o 输出文本 -of 输出格式文件，支持html、json、md、csv、或者all 匹配输出 -mc ：指定状态代码。 -ml：指定响应行数 -mr: 指定正则表达式模式 -ms：指定响应 ...

0x01 前言 看到国外老哥挖洞思路挺骚的，这里记录一下。原文连接 0x02 详情 在某个网站上，发现密码重置功能 通过抓包分析 每当输入电子邮件并单击重置密码时，我们都会收到一封带有密码重置令牌链接更改密码的电子邮件 拦截密码重置请求，小哥也启动了ngrok服务器 原始请求中用ngrok服务器域添加了另一个标头“X-Forwarded-Host” 这次收到了一封更改密码的电子邮件，并且使用ngrok服务器域名。密码重置令牌链接如下所示： https://95saf4ct71g.ngrok.io/action-token?key=wia2lkIiA6ICciOiJIUzI1NiIsInR5cCIgODU2ZeyJhbGiA 可以看到，只需在密码重置请求中添加标题“X-Forwarded-Host”，即可成功更改host 然后小哥注意到，如果在密码重置页面中输入受害者的电子邮件，并拦截该请求，如果我请求包中添加“X-Forwarded-Host”为恶意的域名。然后，受害者将收到一封带有我的恶意域的密码重置令牌链接的电子邮件。当受害者点击该链接时，他将重定向到我的网站，他的所有令 ...

0x00 前言 在 2014 年微软修复了 Kerberos 域用户提权漏洞，即 MS14-068，CVE 编号为 CVE-2014-6324，该漏洞影响了 Windows Server 2012 R2 以下的服务器，该漏洞允许 攻击者 将任意用户权限提升至域管级别。 14-068 产生的原因主要在于用户在向KDC申请TGT时，可以伪造自己的Kerberos票据。如果票据声明自己有域管理员权限，而KDC在处理票据时未验证票据的签名，那么，返给用户的TGT就使普通域用户拥有了域管理员权限。该用户可以将TGT发送到KDC，KDC的TGS在验证TGT后，将ST发送给该用户，而该用户拥有访问该服务的权限，从而使攻击者可以访问域内的资源。 0x01 PyKEK PyKEK 是一个利用 Kerberos 协议进行渗透的工具包，下载地址 使用 PyKEK 可以生成一个高权限的服务票据，并通过 mimikatz 将服务票据导入到内存中。 MS 14-068 的补丁为：KB3011780，通过 wmic 查看补丁情况，未发现其补丁 1wmic qfe get hotfixid | findstr KB3 ...

0x00 前言 在一个平台上看到国外小哥的一篇文章，如何快速挖到sql注入漏洞 0x01 思路 第一步，使用waybackurls工具爬去网页的所有链接，可以添加筛选的条件，uro是一个删除重复网址的工具 1waybackurls https://redacted.org/ | uro | grep “.php” > php-files.txt 第二步，发现PHP文件名看起来很有趣，由get开头，尝试制作参数字典，进行一系列的处理 1cat php-files.txt| grep -i get | sed ‘s/.*.get//’ | sort -u 只需要 grep 包含get字符串的行并删除它之前的所有行并使其唯一以避免重复 但我们应该删除 .php 字符串来创建一个列表，所以我只是将这一行添加到最后一个命令cut -f1 -d”.” 我注意到我所有的字符串都包含两个单词，我不知道它们中的哪个是参数，所以让我们拆分它 如何在一行中找到大写字母，并拆分成行 sed ‘s/[AZ]+/\n&/g’ 认为大多数参数都是小写的，而不是大写的，所以我将其保留为大写 ...

0x00 前言 看到国外老哥利用文件上传绕过，获得2w美元的赏金，深感挫败。重新总结一下文件上传的知识点，顺便记录一下，以便以后的查找。老哥的文章：https://twitter.com/GodfatherOrwa/status/1582760830252511233。 0x01 文件上传校验姿势 客户端javascript校验 一般都是用javascript脚本检验上传文件的后缀。 服务端校验 文件类型校验，其实就是文件头content-type字段校验（image/gif） 文件内容头校验（GIF89a） 主要是检测文件内容开始处的文件幻数 后缀名黑名单校验 后缀名白名单校验 自定义正则校验 WAF设备校验（根据不同的WAF产品而定） 0x02 文件上传绕过校验姿势 客户端绕过 可以利用burp等抓包改包，先上传一个gif类型的木马，然后通过burp将其改为asp/php/jsp后缀名即可。 服务端绕过 文件类型绕过 抓包改Content-type字段 比如通过抓包，将content-type字段改为image/gif 文件内容头绕过 在木马文件 ...

前言 Kerberos协议是一个专注于验证通信双方身份的网络协议，不同于其他网络安全协议的保证整个通信过程的传输安全，kerberos侧重于通信前双方身份的认定工作，帮助客户端和服务端解决“证明我自己是我自己”的问题，从而使得通信两端能够完全信任对方身份，在一个不安全的网络中完成一次安全的身份认证继而进行安全的通信。 什么是Kerberos协议 kerberos是一种计算机网络认证协议，他能够为网络中通信的双方提供严格的身份验证服务，确保通信双方身份的真实性和安全性。不同于其他网络服务，kerberos协议中不是所有的客户端向想要访问的网络服务发起请求，他就能够建立连接然后进行加密通信。而是在发起服务请求后必须先进行一系列的身份认证，包括客户端和服务端两方的双向认证，只有当通信双方都认证通过对方身份之后，才可以互相建立起连接，进行网络通信。即kerberos协议的侧重在于认证通信双方的身份，客户端需要确认即将访问的网络服务就是自己所想要访问的服务而不是一个伪造的服务器，而服务端需要确认这个客户端是一个身份真实，安全可靠的客户端，而不是一个想要进行恶意网络攻击的用户。本文将详细概述ker ...