红蓝对抗中的近源渗透 渗透测试

红蓝对抗中的近源渗透

前言 近源渗透是这两年常被安全业内人员谈起的热门话题。不同于其他虚无缥缈的安全概念,近源渗透涉及到的无线安全、物理安全、社会工程学都十分容易落地实践,许多企业内部的攻防对抗演练也都出现了看上去“很过分”的近源渗透攻击手法,给防守方团队上了生动的一课。 19年的时候,笔者和朋友们就推出了漫画《黑客特战队·近源渗透》和出版书《黑客大揭秘:近源渗透测试》。作为近源渗透概念的主力“炒作者”之一,这篇文章和大家聊聊我对近源渗透的理解。 01 什么是红蓝对抗 红蓝对抗原本是一个军事概念,指在部队模拟对抗时,专门成立一个扮演假想敌的部队(蓝军)与我方正面部队(红军)进行对抗...
最新
阅读全文
Redis系列漏洞总结 渗透测试

Redis系列漏洞总结

前言 Redis的未授权漏洞一直都是一个很火的漏洞,最近看许多前辈的文章自己复现后,根据自己的实践再次总结一下,为日后复习方便回顾。 Redis简介 redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string、list、set、zset和hash。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。与memcached一样,为了证效率,数据都是缓存在内存中。区别的是redis会周期性的把更新的数据写入磁盘或...
阅读全文
黑客技术:一次验证码爆破的突发奇想 渗透测试

黑客技术:一次验证码爆破的突发奇想

这次挖漏洞时并没有什么有难度的操作,只是当时的一个突然的想法,在网上搜了之后发现关于这种想法的文章很少(几乎没有),所以打算发出来分享一下。 涉及漏洞,验证码通用、验证码爆破 思路: 在有些网站中,登录处的验证码都做了防护无法爆破,而其他的一些地方验证码可以爆破,却没什么大用;但是有的时候两个页面的验证码是通用的,这时如果在一个网页里爆破出了验证码,另一个页面也可以使用。他的危害就大了,可以进行修改密码,转账,换绑手机号等操作 复现: 某网站的作者页面,注册一个作者账号后 先点击作者信息,然后进行手机号修改 输入目标手机号,...
阅读全文
权限维持之PHP后门隐藏技巧大全 渗透测试

权限维持之PHP后门隐藏技巧大全

1. attrib +s +h 创建系统隐藏文件: attrib +s +a +r +h attrib +s +h 文件名 在 Windows 10下即使开启了显示隐藏的项目,或dir仍然看不见。 2. 利用 ADS 隐藏文件 NTFS交换数据流(Alternate Data Streams,简称 ADS)是 NTFS 磁盘格式的一个特性,在 NTFS文件系统下,每个文件都可以存在多个数据流。通俗的理解,就是其它文件可以“寄宿”在某个文件身上,而在资源管理器中却只能看到宿主文件,找不到寄宿文件。利用ADS 数据流,我们可以...
阅读全文
记一次对某非法站点从SQL注入到整站打包与本地搭建全过程 渗透测试

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

一、前言 如题,由于是在已知有一处sql注入的情况下才接手进行的后续操作,因此前面信息搜集则一笔带过。 二、信息搜集 目标是个本地的传销站点其大致信息为IIS+ASP.NET+安全狗、腾讯云。 三、Bypass Sql 3.1 Fuzz 空格 error 加号 未拦截 等号 error 单引号 error 双引号 未拦截 双括号 未拦截 +select error %0bselect 未拦截 %0bselect%0buser%0bfrom 未拦截 %0bsel...
阅读全文
宝塔面板phpMyAdmin未授权访问漏洞是个低级错误吗? 渗透测试

宝塔面板phpMyAdmin未授权访问漏洞是个低级错误吗?

周日晚,某群里突然发布了一则消息,宝塔面板的phpmyadmin存在未授权访问漏洞的紧急漏洞预警,并给出了一大批存在漏洞的URL: 随便点开其中一个,赫然就是一个大大的phpmyadmin后台管理页面,无需任何认证与登录。当然,随后各种神图神事也都刷爆了社交网络,作为一个冷静安全研究者,我对此当然是一笑置之,但是这个漏洞的原因我还是颇感兴趣的,所以本文我们就来考证一下整件事情的缘由。 我们的问题究竟是什么? 首先,我先给出一个结论:这件事情绝对不是简简单单地有一个pma目录忘记删除了,或者宝塔面板疏忽大意进行了错误地配置,更不是像某些人阴谋论中说到的官方刻意...
阅读全文
宝塔面板phpMyAdmin未授权访问漏洞是个低级错误吗? 渗透测试

宝塔面板phpMyAdmin未授权访问漏洞是个低级错误吗?

周日晚,某群里突然发布了一则消息,宝塔面板的phpmyadmin存在未授权访问漏洞的紧急漏洞预警,并给出了一大批存在漏洞的URL: 随便点开其中一个,赫然就是一个大大的phpmyadmin后台管理页面,无需任何认证与登录。当然,随后各种神图神事也都刷爆了社交网络,作为一个冷静安全研究者,我对此当然是一笑置之,但是这个漏洞的原因我还是颇感兴趣的,所以本文我们就来考证一下整件事情的缘由。 我们的问题究竟是什么? 首先,我先给出一个结论:这件事情绝对不是简简单单地有一个pma目录忘记删除了,或者宝塔面板疏忽大意进行了错误地配置,更不是像某些人阴谋论中说到的官方刻意...
阅读全文
从Webshell的视角谈攻防对抗 渗透测试

从Webshell的视角谈攻防对抗

0x0 背景 由于参加最近特殊多人活动的原因,很多渗透攻击武器也进行了对应的更新。冰蝎出了3.0版本、甚至还有好几个beta版本;还朋友圈还出了一个据说比冰蝎3.0还厉害的神器”哥斯拉”全部类型的shell均过市面所有静态查杀、流量加密过市面全部流量waf、自带的插件是冰蝎、蚁剑不能比拟的;看名字就很厉害的样子,看描述更是功能强大 不禁内心一阵酸爽。 丰富了自己部分武器库之后很多白帽子喜悦之情溢于言表,身边很多小伙伴甚至都开始在本地开始测试了;几家欢喜几家愁,总一些人的快乐终究是建立在一些人的痛苦之上的,生活真的是残酷了;这个节骨点更新大家品大家细品,很多安全公司的小伙伴可能又得彻夜...
阅读全文
Java安全编码之SQL注入 渗透测试

Java安全编码之SQL注入

随着互联网的发展,Java语言在金融服务业、电子商务、大数据技术等方面的应用极其广泛。Java安全编码规范早已成为SDL中不可或缺的一部分。本文以Java项目广泛采用的两个框架Hibernate和MyBatis 为例来介绍,如何在编码过程中避免SQL注入的几种编码方法,包括对预编译的深度解析,以及对预编译理解的几个“误区”进行了解释。备注,本文是Java语言安全编码会是系列文章的第一篇。 0x01框架介绍 目前Hibernate和MyBatis为java项目广泛采用的两个框架。由于Hibernate使用方便,以前的项目采用Hibernate非常的广泛,但是后面由于Hibernate的...
阅读全文
信息收集和漏洞扫描的阶段性总结 渗透测试

信息收集和漏洞扫描的阶段性总结

渗透测试的流程大家都耳熟能详,具体操作工具五花八门,其中的核心就是信息收集和字典,今天写信息收集和漏洞扫描的一些技巧总结,方便新手学习。 声明:渗透测试过程中很多同类工具功能都是互补的,本文中提到的工具没有褒贬之分。 子域名爆破技术 不同的工具使用的子域名爆破技术是不同的,网上会有各种各样的爆破神器让人眼花缭乱,其实根据使用工具时使用的dns服务器不同,攻击者所处的网络环境的不同,爆破结果也是差异万千的,比如你在公司网络和你在家的网络,子域名扫描的结果差异也非常巨大,不同的工具字典的差异对爆破的结果也是影响非常大的,这时候应该综合多个工具、多设置一些dns、多换几个网络环...
阅读全文
一次对电视盒子的漏洞分析 渗透测试

一次对电视盒子的漏洞分析

起因 周末正要使用前不久刚装上的电视盒子看剧,突然想到电视盒子也是需要网络的,于是就对电视盒子开始了测试之路。 上路 首先看一下ip地址,192.168.101.22 首先想到的是命令执行,经过一番操作发现并不存在,看来系统都是升级了的。 扫描端口发现49152端口打开,详细扫描发现是Upnp服务 突然想到了今年6月的UPnP协议漏洞CVE-2020-12695,UPnP 2020-04-17之前版本中存在安全漏洞。攻击者可借助SUBSCRIBE功能利用该漏洞将流量发送到任意位置,导致拒绝服务或数据泄露。UP...
阅读全文
关于Cobalt Strike检测方法与去特征的思考 渗透测试

关于Cobalt Strike检测方法与去特征的思考

人云亦云 关于检测Cobalt Strike的方法有很多,而网上有一些文章会告诉大家如何修改所谓的特征值,但是这些方法实际上存在一定的误导和盲区 一般发现Cobalt Strike服务器的途径有以下几种(简单分类,不准确,勿喷) 样本分析 中马回连 黑客连主控端 扫描发现 这里被使用的比较多的就是扫描发现,同时网上一些文章提到Cobalt Strike默认的SSL/TLS证书是固定的,所以一般都是使用这个证书作为特征值来发现Cobalt Strike服务器 所以,今天我们主要讨论这...
阅读全文
黑客工具Nmap7.80常用命令详解 渗透测试

黑客工具Nmap7.80常用命令详解

使用方法 格式 namp <-参数> <IP> [-p 端口] [--script=脚本名] <>:必填信息 []:选填信息 IP表示方法 nmap -sn 192.168.1.100 nmap -sn 192.168.1.100/24 # 扫描C段 nmap -sn 192.168.1.100/16 # 扫描B段,时间比C段长得多 端口表示方法 nmap -sn 192.168.1.100 -p # 若不指定端口默认扫描1000个常用端口 nmap -sn 192.168.1.100 -p 1,2 ...
阅读全文
对一次韭菜返佣平台的渗透-无限刷钱 渗透测试

对一次韭菜返佣平台的渗透-无限刷钱

写这篇文章的时候很激动。 声明:此平台是韭菜返佣平台目的就是割韭菜,所以不存在正规之说。 以前就看到过有人发那些刷钱刷这个那个今天就来看看这些东西。 首先看一下登录页面: 虽然有注册页面但不可以注册,只能邀请。账号是朋友发来的。 登陆之后: 备案情况: 下面就开始了: 首先看当前余额: 点击任务领取任务“赚钱”,任务完成奖励0.03,时间30s。 burp抓包测试 点击开始任务抓包: 任务包: ...
阅读全文
渗透测试面试问题合集 渗透测试

渗透测试面试问题合集

一、思路流程 1、信息收集 a、服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等) b、网站指纹识别(包括,cms,cdn,证书等),dns记录 c、whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等) e、子域名收集,旁站,C段等 f、google hacking针对化搜索,pdf文件,中间件版本,弱口令扫描等 g、扫描网站目录结构,爆后台,网站banner,测试文件,备份等敏感文件泄漏等 h、传输协议,通用漏洞,exp,github源码等 2、漏洞挖掘 ...
阅读全文
【渗透测试笔记】之【配置KALI】 渗透测试

【渗透测试笔记】之【配置KALI】

网络配置 临时IP地址 自动获取IP地址 dhclient eth0 1 手动配置IP地址 ifconfig eth0 192.168.1.11/24 1 指定默认网关 route add default gw 192.168.1.1 netstat -na  # 查看配置是否生效,Destination和Genmask都为0.0.0.0的一行是默认网关 1 2 添加静态路由 route add  -net 172.16....
阅读全文
【渗透测试笔记】之【熟悉KALI环境】 渗透测试

【渗透测试笔记】之【熟悉KALI环境】

常用BASH命令 ls、cd、pwd、cat、more、tail、cp、rm、top、ps、grep、ifconfig、netstat、awk、sort、route、mount、amesg、find、whereis、echo、vi ls # 显示当前目录下的目录及文件 ls -a # 显示包括隐藏文件 ls -lh # 显示文件目录详细信息(加上h是将文件大小换算为K或者M,否则为字节大小) cd # 进入某一个目录 cd .. # 返回上一级目录 cd ~ # 进入用户主目录 cat 1.txt # 查看文件(适...
阅读全文
【渗透测试笔记】之【渗透测试介绍】 渗透测试

【渗透测试笔记】之【渗透测试介绍】

渗透测试标准 PETS 前期交互阶段 和客户沟通渗透测试范围。 通常是一个应用系统。(比如一个电商网站,包括网络、交换机、WAF、服务器、操作系统、数据库…) 如果太大会切分成若干小的子系统来进行渗透测试。 确定测试人数、时间等前期准备工作。 情报搜集阶段 对目标系统进行各种情报收集。(如邮箱地址、联系人、公司地址、DNS信息、服务器IP域名、公司近期动态…等被动信息收集。还有对目标扫明、主机发现、端口发现、端口服务发现等主动收集。) 威胁建模阶段 通过信息收集后,对目标拥有一个大概的轮廓认识。再通过危险建模,确定效率最高最快捷...
阅读全文
安全研究 | Nginx反向代理钓鱼 渗透测试

安全研究 | Nginx反向代理钓鱼

什么是反向代理 这里我找了一段比较官方的解释。 反向代理(Reverse Proxy)是指以代理服务器来接受 Internet 上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给 Internet 上请求连接的客户端,此时代理服务器对外就表现为一个服务器。我自己的理解 代理服务器就是充当了一个“中间人”。如果理解的不恰当还请师傅们指出来哈。 Nginx反向代理实例 这里拿我的一台vps做演示 ip:39.xxx.xxx.x。因为vps上装了宝塔 而且 又在宝塔里装了Nginx。 首先找到Nginx的目录。在我的vps上...
阅读全文
再也不怕丢三落四了,教你复制门禁卡 渗透测试

再也不怕丢三落四了,教你复制门禁卡

前段时间又又又又因为门禁卡的问题没进去小区门,遂决定多复制几张方便随身携带。对该过程进行整理,希望能帮到同样丢三落四的小朋友们。 1、 简要说明 IC 卡是集成电路卡的简称,是镶嵌集成电路芯片的塑料卡片,芯片一般采用不易挥发性的存储器、保护逻辑电路、 甚至带微处理器CPU。 ID 卡全称为身份识别卡,是一种不可写入的感应卡,含固定的编号,ID卡与磁卡一样,都仅仅使用了“卡的号码”而已,卡内除了卡号外,无任何保密功能,其“卡号”是公开、裸露的。所以说 ID 卡就是“感应式磁卡”。 区别:ID卡一般为低频卡,工作频率是 125KHz。IC卡为高频卡,工作频率13....
阅读全文
内网渗透测试:信息收集与上传下载 渗透测试

内网渗透测试:信息收集与上传下载

可以说内网渗透测试,其本质就是信息收集。信息收集的深度,直接关系到内网渗透测试的成败。当你拿下内网的一台主机后,面对的是一片未知的区域,所以首先要做的就是对当前所处的网络环境进行判断。包括以下几点: 对当前机器角色的判断 对当前机器所处的网络环境进行判断 对当前机器所处的网络区域进行判断 本机信息收集 查看当前用户、权限 whoami whoami /all // 查看当前域并获取域SID 当前域为god,当前域的sid为S-1-5-21-2952760202-1353902439-2381780...
阅读全文
Mysql注入写Shell读文件总结 渗透测试

Mysql注入写Shell读文件总结

一、导出函数写shell 利用Mysql的导出函数直接写一个可访问的webshell 1.1 条件 1.网站可访问路径的绝对路径 报错 输入异常值让脚本主动报错,或googlehacking目标的脚本报错信息 phpinfo 扫目录找phpinfo 推测 目标可能使用集成安装包,如phpstudy C:\phpStudy\WWW\C:\phpStudy\WWW\域名\ 枚举 高频绝对路径 读配置文件 中间件,web的配置文件 2.secure_file_priv 的值非NULL或包...
阅读全文
工控渗透框架:PLC密码检测 渗透测试

工控渗透框架:PLC密码检测

前言 上一篇《信息收集篇》中我们讲了如何使用ISF框架发现工控设备,那么有些小伙伴就会问了,发现工控设备之后能做些什么呢?答案是很多,比如:查看设备有没有密码保护?有密码保护能不能破解?破解后都能做些什么等等问题。为了让大家循序渐进地学会工控相关的安全攻防,我们需要先学习一些工控的相关知识。本篇我们就来讲讲与暴力破解相关的基础知识,为后续暴力破解做好准备。 首先,为了能让工业机器相对“智能”,就需要一个可以控制这些机器的设备来控制它,而这个设备应该具备通用性和可复用性,这就是PLC类设备。一个通用的,可重复改写的逻辑控制设备。人们可以通过编写一些程序下载到PLC中,然后PLC通过读取...
阅读全文
工控渗透框架ISF介绍:信息收集篇 渗透测试

工控渗透框架ISF介绍:信息收集篇

框架介绍 声明:ISF该框架是北京安帝科技基于开源框架自研的一套工控渗透框架,仅用于工控安全教学,公司实验箱产品的安全研究,使用该框架进行非法操作产生的一切后果公司一概不负责。 框架主要使用Python语言开发,通过集成ShadowBroker释放的NSA工具Fuzzbunch攻击框架,开发一款适合工控漏洞利用的框架。由于Fuzzbunch攻击框架仅适用于Python2.6,很多核心的功能都封装成了DLL,通过函数进行调用,不便于后期的移植和使用。但是,Fuzzbunch的命令行使用的确很方便,所以就有了现如今这款适合工控漏洞利用的框架,取名isf。 环境准备 ...
阅读全文