- 博客(49)
- 收藏
- 关注
RSS订阅
原创 vulntarget-b 免杀火绒,多层域控内网靶场
靶场环境:项目地址:涉及知识点:极致cms相关漏洞、禅道cms相关漏洞、隧道代理、免杀、CVE-2021-1732 、CVE-2021-42287/CVE-2021-42278kali攻击机 ip:192.168.127.129。
2023-12-31 22:42:43
1648
1
原创 ctfshow pwn41
摘要: 该分析报告描述了一个32位程序中的栈溢出漏洞利用过程。通过逆向分析发现ctfshow()函数中的read()存在缓冲区溢出漏洞(0x14字节限制但可输入0x32字节)。程序包含hint()和useful()函数,其中"sh"字符串可替代"/bin/sh"。利用ROPgadget找到system函数地址(0x80483d0)和sh字符串地址(0x080487ba),构造包含22字节填充、system地址、占位符和sh地址的payload。最终通过远程连接发送pa
2025-07-23 15:10:34
230
原创 ctfshow pwn40
摘要:本文分析了一个32位程序存在的栈溢出漏洞,通过逆向分析发现read函数存在缓冲区溢出。程序虽包含后门函数,但需要组合利用。通过ROPgadget工具找到关键地址:system函数(0x400520)、"/bin/sh"字符串(0x400808)和pop_rdi指令(0x4007e3)。构造的payload利用栈溢出覆盖返回地址,先跳转到pop_rdi将"/bin/sh"地址存入rdi寄存器,再调用system函数执行shell。最终验证通过发送构造的payloa
2025-07-23 14:58:32
438
原创 ctfshow pwn39
摘要:本文分析了一个32位程序的栈溢出漏洞利用过程。程序在ctfshow()函数中存在read函数缓冲区溢出漏洞,虽然存在后门函数hint()但无法直接获取shell。通过逆向分析,定位到system函数地址(0x80483A0)和"/bin/sh"字符串地址(0x8048750),构造了包含22字节填充、system函数地址、返回占位符和参数地址的payload。最终利用pwntools编写攻击脚本成功获取目标系统权限,验证了漏洞利用的有效性。攻击过程展示了如何通过ROP技术组合现有代
2025-07-22 13:52:06
195
原创 栈溢出漏洞——ret2syscall与ret2libc(二)
摘要:本文深入分析了栈溢出漏洞利用技术,重点介绍了ROP(返回导向编程)攻击方法。文章首先阐述了栈结构原理和函数调用过程,详细讲解了32位与64位系统的区别。在漏洞利用部分,重点解析了ret2syscall和ret2libc两种技术:ret2syscall通过构造系统调用链实现攻击,示例展示了如何利用ROPgadget查找指令片段;ret2libc则通过劫持库函数地址(如system)执行命令,介绍了PLT/GOT表机制和地址计算方法。文章提供了具体攻击案例和完整POC代码,演示了从漏洞发现到权限获取的全过
2025-07-22 13:49:58
1016
原创 ctfshow pwn37
分析发现32位程序存在栈溢出漏洞,read函数可写入0x32字节但buf仅0x14字节。程序中存在后门函数backdoor(0x8048521)。通过构造22字节填充+p32(backdoor地址)的payload成功实现溢出攻击,获取了服务端权限。验证时使用socat挂载程序到10001端口,攻击端运行exp成功提权。
2025-07-21 10:53:49
234
原创 PWN工具相关介绍
IDA是一款功能强大的反汇编工具,提供了丰富的快捷键和功能,帮助用户进行代码分析和调试。主要功能包括导航视图跳转、数据类型转换、函数操作、注释与标记、搜索与交叉引用、调试控制等。Pwntools是一款专为安全研究人员设计的工具,支持快速开发漏洞利用脚本,提供数据交互、地址构造、shellcode生成等功能,并与GDB深度结合,提升调试效率。Pwngdb是GDB的增强插件,专注于堆操作和调试辅助,支持动态调试和内存泄漏分析。此外,文章还介绍了checksec工具,用于检查二进制文件的安全保护机制,如RELRO
2025-05-09 11:40:16
1035
原创 栈溢出——ret2shellcode(二)
ret2shellcode攻击具有主动性,此时程序中通常没有可以利用的后门,而程序中的某些地址具有可执行权限,那么若我们将返回地址改到这些具有可执行权限的地点并且能向该处写入shellcode那么就能执行我们想要的shellcode功能。接下来,就是寻找相关地址了,这里有个注意点,就是shellcode所在的段是否有可执行的权限,若开启了NX防护,相关栈堆无法就行,就没办法执行了。可以看到,这里的保护全关闭,且存在一个RWX的segments,RWX权限就是可读(R),可写(W),可执行(X)。
2025-05-09 11:39:13
984
1
原创 JAVA代码审计之XXE代码审计
XML (Extensible Markup Language) 是一种可扩展的标记语言,用于标记电子文件中的各种元素。它是用来传输和存储数据的一种常用方式,并且可以被很多不同的应用程序所使用。XML 的一个主要优点是它允许不同的应用程序之间进行数据交换,因为它是一种通用的数据格式。它还可以用于存储数据,并且可以使用 XML 文档来描述数据的结构。XML 在许多不同的领域都有广泛的应用,包括电子商务、计算机技术、生物学和其他领域。它是一种流行的数据格式,并且被广泛使用。
2025-05-07 09:14:30
852
原创 函数调入栈剖析——深入浅出
这里我们可以看到,在新RBP的下一个指令空间,也就是0x000000000061FDE8,存放的是一个返回地址,若在调用这个函数的时候,存在一个栈缓冲区溢出漏洞。这里的mov操作,首先是将0Ah(10)的值,赋值给[rbp+a](这里有"[]",也就是对地址里的值进行操作),然后将0Bh(11)的值,赋值给[rbp+b],紧接着,将0赋值给[rbp+c]。这里分别是将[rbp+b]的值赋值给edx,[rbp+a]的值赋值给eax,最后将eax的值赋值给ecx,最后edx的值为B,eax和ecx的值均为A。
2025-05-07 09:10:09
1312
1
原创 栈溢出——ret2text(一)
拿到 system 函数和 /bin/sh 字符串,我们就需要获取 rdi, rsi, rdx, rcx, r8, r9 它们的地址,首先要获取的是。可以看到,此程序为32位系统,没有canary保护,也就是说我们溢出时,不需要注意在栈上的保护,可以随意进行溢出。紧接着我们又在左边的函数图里,看到了一个backdoor函数,这个函数存在bash代码,调用这个函数即可获取相关系统权限。首先声明了一个名为 buf 的大小为14字节的字符数组,它距离ebp的距离为0x12,这里通过read函数。
2025-05-07 09:06:55
1183
原创 指令集以及栈堆介绍
生成机制栈内存由编译器自动管理,通过函数调用分配和释放。函数调用时,栈帧被压入栈,包含局部变量、参数和返回地址。函数返回时,栈帧弹出,内存自动释放。生成机制堆内存需显式申请和释放,生命周期由程序员控制。通过动态内存管理函数手动操作。
2025-05-06 13:39:06
1088
原创 JNDI基础
JNDI(Java Naming and Directory Interface,Java命名和目录接口)是一个Java API,允许 Java 应用程序与命名和目录服务进行交互。这些服务可以是本地的,也可以是分布式的,可以基于各种协议,如LDAP(轻量级目录访问协议)、DNS(域名系统)、NIS(网络信息服务)等。JNDI 的主要目的是为了统一不同命名和目录服务的访问方式,使得Java应用程序能够以一种统一的方式来访问这些服务,而不必关心底层的实现细节。
2024-12-20 15:52:47
1131
原创 RMI介绍
RMI 是 Java 中的一种技术,全称为远程方法调用(Remote Method Invocation)。它的作用是允许你在不同的 Java 虚拟机(JVM)之间进行通信,就像在同一个 JVM 中调用方法一样,调用远程方法。这些虚拟机可以在不同的主机上、也可以在同一个主机上。RMI 是 Java 的一组拥护开发分布式应用程序的 API。RMI 使用 Java 语言接口定义了远程对象,它集合了 Java 序列化和 Java远程方法协议(Java Remote Method Protocol)。
2024-12-20 15:52:08
1255
原创 JAVA代码审计之SSRF漏洞
SSRF漏洞,全称(服务端请求伪造)。是一种 Web 安全漏洞,允许攻击者诱导服务器端应用程序向非预期位置发出请求。SSRF漏洞攻击的目标是从外网无法访问的内网系统。在典型的SSRF漏洞攻击中,攻击者可通过该漏洞攻击目标服务器的内网系统,比如:探测内网服务(通过响应不同判断),扫描开放端口(通过响应不同判断),使用File协议读取本地文件等操作。若存在redis协议,我们可以配合gopher协议进行攻击。1、社交分享功能:获取超链接的标题等内容进行显示。
2024-12-20 15:50:32
1913
原创 JAVA代码审计之任意文件读取/删除漏洞
任意文件读取/删除漏洞,多存在一些文件查看/删除处,由于相关代码未做严格限制,导致跨目录甚至跨盘符情况产生,进而可以查看/删除其他文件,例如数据库配置文件网站源码等信息。例如,某处相关查看/删除图片的url为http://127.0.0.1/?fileName=/images/image.png,我们可以对最后的参数进行FUZZ,例如http://127.0.0.1/?fileName=/../../../../../../etc/passwd,进而测试是否存在任意文件读取/删除漏洞。
2024-12-16 09:59:54
1313
原创 JAVA反序列化链之URLDNS链
跟进URL类中的hashCode()方法,这个hashCode()的值在调用put方法之后,我们将其又重新定义为了"-1"从而确保是反序列化来触发的请求。运行后查看DnsLog平台,发现触发了请求,也就是说,我们直接进行这样构造,不进行反序列化操作,就能触发DnsLog请求。值是私有的,因此无法直接进行更改,因此将其进行反射,将其修改为除"-1"意外的其他值。没错,在第二段中的put函数,和这个一样。,它定义了一个K类型的key变量,然后对反序列化的输入流进行反序列化,并把反序列化出的键赋值给key变量。
2024-12-16 09:54:55
888
原创 JAVA代码审计之文件上传代码审计
任意文件上传漏洞常发生在文件上传功能中,由于后端代码中没有严格限制用户上传的文件,导致攻击者可以上传带有恶意攻击代码的JSP 脚本到目标服务器,进而执行脚本,以达到控制操纵目标服务器等目的。
2024-06-12 16:54:16
1619
4
原创 JAVA代码审计之SQL注入代码审计
SQL注入漏洞是对数据库进行的一种攻击方式。其主要形成方式是在数据交互中,前端数据通过后台在对数据库进行操作时,由于没有做好安全防护,导致攻击者将恶意代码拼接到请求参数中,被当做SQL语句的一部分进行执行,最终导致数据库被攻击。可以说所有可以涉及到数据库增删改查的系统功能点都有可能存在SQL注入漏洞。虽然现在针对SQL注入的防护层出不穷,但大多情况下由于开发人员的疏忽或特定的使用场景,还是会存在SQL注入漏洞的代码。
2024-06-12 16:52:14
1427
原创 redis未授权到getshell
写入webshell虽然简单便捷,但是很多网站都严格限制了写入规则,但是可以通过定时任务,写入公钥等来获取webshell并建立持久性控制。自己使用需要小心,redis未授权是比较常见的漏洞了,常常被用于执行挖矿病毒,甚至是勒索病毒。
2024-06-12 16:50:56
1552
原创 应急溯源专题,电脑被黑客攻击了?看我怎么恢复并找到攻击者
我在我vps部署了一个空口令的redis靶场,因为我靶场是在公网的(别问我为啥部署在公网,公网打着有感觉),没想到打着打着被别人get shell了,打的时候发现服务器特别卡,腾讯云也发短信提示我。于是马上进行应急排查,发现cpu跑到100%了,还有对外攻击行为。好家伙,由此有了以下应急响应的经过。(正好HW将至,这篇文章也许能帮助各位师傅了解相关挖矿木马的排查)
2024-05-06 11:30:08
1470
5
原创 代码审计中应注意的命令执行函数以及命令
在ob_start系统的callback函数中,如果指定的callback函数包含执行代码,那么也可能是执行代码的来源。类似于os.system(),subprocess.call()运行一个命令,等待它完成,然后返回返回码。该函数可以创建一个匿名(匿名)函数,但如果函数的代码是由用户输入构造的,可能会执行不安全的代码。这两个函数可以调用一个用户定义的函数,如果传递的是含有系统命令的字符串,可能被用来执行代码。更复杂的执行外部程序的方法,允许双向通信,读写进程的 STDIN 和 STDOUT。
2024-04-08 16:48:43
1189
2
原创 代码审计sql注入部分函数绕过方法
这里我们可以看到在对代码层面做操作,首先有个函数addslashes,他是一种在PHP中存在的字符串处理函数,它的作用是在指定的字符前添加反斜线。(bf是第一个而5c是第二个),当使用GBK编码遇到两个字节都符合其取值范围时,就会将其解析成为一个汉字,第一个字节取值范围为。这里过滤了太多东西,大小写还有正则,但是我们回到第一张图片,可以看到一个函数:urldecode(),对url解码。在这里,看似可能是安全的,但是还是无法解决问题,因为在第8行的。,有些程序员为了方便,可能也会在这边偷工减料。
2024-04-08 16:45:01
1105
1
原创 Mysql数据库getshell方法
今天摸鱼时候,突然有人问我不同的数据库getshell的方式,一时间我想到了mysql还有redis未授权访问到getshell的方式,但是仅仅第一时间只想到了这两种,我有查了查资料,找到了上面两种数据库getshell的补充,以及其他数据库getshell的方式。因此更新一个专栏,各个数据库getshell的方式。
2024-04-02 14:17:25
2540
2
原创 ctfshow靶场sql注入wp
alter table `ctfshow_user` change `id` `pass` varchar(255)使用16进制原因:$sql = "select pass from ctfshow_user where username = {$username};前面的是admin,后面的是111,就是将所有用户的密码修改为111,之后登陆即可。过滤了很多,这里使用脚本测试。
2024-03-29 17:04:18
880
2
原创 Linux IRC
主要侧重主机的长期的流量分析,目前个人使用tshark、tcpdump实现了基础的流量分析,后期会进行相应的完善。用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之 后的宽限天数:账号失效时间:保留。用户名:密码:用户D:组D:用户说明:家目录:登陆之后shell 注意:无密码只允许本机登陆,远程不允许登陆。这一块查杀技术相对较高,不是本脚本所需要实现的功能,可以使用D盾来检查。1、系统安全检查(进程、开放端口、连接、日志)
2024-03-29 16:51:30
1048
原创 Linux入侵排查
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
2024-03-29 16:47:06
1060
原创 网络攻防中的信息收集
在我们要针对某个公司进行挖掘漏洞或者src时,前期的信息收集尤为重要,在一定程度上来说,搜索目标资产越多,我们的攻击面以及攻击范围也就越广挖掘到漏洞的可能性也就越大。多说无益,这里举个例子,就拿百度来说,如何确定攻击的目标。给了我们一个百度公司的目标,我们该如何进行漏洞挖掘。首先是查看备案域名。我们可以在法大大、爱企查、天眼查来查看,这里以爱企查为例,查询该公司子域名。可以看到有很多域名,这里以"
2024-03-29 16:06:10
1705
原创 Linux部分命令
和window不同,Linux没有盘路径,所有的文件都存放在一个叫“/”的根路径下面。对比windows表示一个准确的文件名:D:\文件夹1\文件夹2\***.txt (\表示层级关系)对比Linux表示一个准确文件名:/文件1/文件2/***.txt(第一个/是根目录,第二个文件表示层级关系)命令有三种格式:命令本身、选项、参数。
2024-03-29 16:04:43
1098
1
原创 内网渗透笔记之入站出站限制、隧道搭建
背景介绍:域控通过组策略设置防火墙规则同步后,域内用户主机被限制 TCP 出网,其。中规则为出站规则,安全研究者通过入站取得 SHELL 权限,需要对其进行上线控制。正向连接(取得一台有网络的权限,把数据传递给出网的机器,通过出网机器控制)正向连接(取得一台有网络的权限,把数据传递给出网的机器,通过出网机器控制)反向连接&隧道技术也可以解决(前提看限制的多不多)-隧道技术:解决不出网协议上线的问题(利用出网协议进行封装出网)主站出站TCP封杀,入站没有,无互联网。主站出站TCP封杀,入站没有,有互联网。
2024-03-28 10:40:54
1149
5
原创 域信息收集
域的概念:它有一个更加严格的安全管理控制机制,如果你想访问域内的资源,就必须拥有一个合法的身份登陆到该域中,而你对该域内的资源拥有什么样的权限,还需要取决于你在该域中的用户身份。某个域用户需要使用 viso 软件进行绘图操作,于是联系网络管理员进行安装,网络管理员采用域管理员身份登录了域成员主机,并帮助其安装了 viso 软件,于是这个有计算机基础的员工,切换身份登录到了本地计算机的管理员,后执行 mimikatz,从内存当中抓取了域管理员的密码,便成功的控制了整个域。
2024-03-28 10:34:35
712
原创 Windows入侵排查
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。Web 入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Windows 服务器入侵排查的思路。
2024-03-27 15:20:09
1782
6
原创 Linux基础命令
在当前HOME目录内创建文件夹,myenv,在文件夹内创建mkxiake通过vim编辑器,在mkxiake文件内输入 echo xiake但是切换到任何目录后仍然无法执行mkxiake命令。
2023-12-31 22:47:32
1612
14
原创 内网渗透vulntarget-a 多层域控靶场
网络拓扑图如下这里我们本次渗透测试,外网Win7IP地址为192.168.127.91靶机信息:靶机用户名密码Windows 7win7adminAdmin@123Admin#123Admin@666靶机下载地址:https://github.com/crow821/vulntarget这个靶场是我第一个搭建在本地上的靶场,虽然中路有很多挫折,比如在前期配置外网网卡时候,发现DHCP一直分配不上ip地址,一直是168.254.X.X,好在后面及时发现问题,发现网卡设置错了。
2023-12-22 15:31:07
2882
27
原创 Apache-RCE、目录遍历漏洞、文件解析
Apache HTTP Server 2.4.49、2.4.50 版本对路径规范化所做的更改中存在一个路径穿越漏洞,攻击者可利用该漏洞读取到 Web 目录外的其他文件,如系统配置文件、网站源码等,甚至在特定情况下,攻击者可构造恶意请求执行命令,控制服务器。Apache HTTPD 是一款 HTTP 服务器。其 2.4.0~2.4.29 版本存在一个解析漏洞,在解析 PHP 时,1.php\x0A 将被按照 PHP 后缀进行解析,导致绕过一些服务器的安全策略。
2023-12-21 17:18:16
1796
1
TscanPlus综合利用工具
2024-03-29
EHole(棱洞)-红队重点攻击系统指纹探测工具魔改版
2024-03-29
OCR图片文本识别工具2.0
2024-03-28
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人