前言 近源渗透是这两年常被安全业内人员谈起的热门话题。不同于其他虚无缥缈的安全概念，近源渗透涉及到的无线安全、物理安全、社会工程学都十分容易落地实践，许多企业内部的攻防对抗演练也都出现了看上去“很过分”的近源渗透攻击手法，给防守方团队上了生动的一课。 19年的时候，笔者和朋友们就推出了漫画《黑客特战队·近源渗透》和出版书《黑客大揭秘：近源渗透测试》。作为近源渗透概念的主力“炒作者”之一，这篇文章和大家聊聊我对近源渗透的理解。 01 什么是红蓝对抗 红蓝对抗原本是一个军事概念，指在部队模拟对抗时，专门成立一个扮演假想敌的部队（蓝军）与我方正面部队（红军）进行对抗...

前言 Redis的未授权漏洞一直都是一个很火的漏洞，最近看许多前辈的文章自己复现后，根据自己的实践再次总结一下，为日后复习方便回顾。 Redis简介 redis是一个key-value存储系统。和Memcached类似，它支持存储的value类型相对更多，包括string、list、set、zset和hash。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作，而且这些操作都是原子性的。在此基础上，redis支持各种不同方式的排序。与memcached一样，为了证效率，数据都是缓存在内存中。区别的是redis会周期性的把更新的数据写入磁盘或...

这次挖漏洞时并没有什么有难度的操作，只是当时的一个突然的想法，在网上搜了之后发现关于这种想法的文章很少（几乎没有），所以打算发出来分享一下。 涉及漏洞，验证码通用、验证码爆破 思路： 在有些网站中，登录处的验证码都做了防护无法爆破，而其他的一些地方验证码可以爆破，却没什么大用；但是有的时候两个页面的验证码是通用的，这时如果在一个网页里爆破出了验证码，另一个页面也可以使用。他的危害就大了，可以进行修改密码，转账，换绑手机号等操作 复现： 某网站的作者页面，注册一个作者账号后 先点击作者信息，然后进行手机号修改 输入目标手机号，...

1. attrib +s +h 创建系统隐藏文件： attrib +s +a +r +h attrib +s +h 文件名 在 Windows 10下即使开启了显示隐藏的项目，或dir仍然看不见。 2. 利用 ADS 隐藏文件 NTFS交换数据流（Alternate　Data　Streams，简称 ADS）是 NTFS 磁盘格式的一个特性，在 NTFS文件系统下，每个文件都可以存在多个数据流。通俗的理解，就是其它文件可以“寄宿”在某个文件身上，而在资源管理器中却只能看到宿主文件，找不到寄宿文件。利用ADS 数据流，我们可以...

一、前言 如题，由于是在已知有一处sql注入的情况下才接手进行的后续操作，因此前面信息搜集则一笔带过。 二、信息搜集 目标是个本地的传销站点其大致信息为IIS+ASP.NET+安全狗、腾讯云。 三、Bypass Sql 3.1 Fuzz 空格 error 加号 未拦截 等号 error 单引号 error 双引号 未拦截 双括号 未拦截 +select error %0bselect 未拦截 %0bselect%0buser%0bfrom 未拦截 %0bsel...

周日晚，某群里突然发布了一则消息，宝塔面板的phpmyadmin存在未授权访问漏洞的紧急漏洞预警，并给出了一大批存在漏洞的URL： 随便点开其中一个，赫然就是一个大大的phpmyadmin后台管理页面，无需任何认证与登录。当然，随后各种神图神事也都刷爆了社交网络，作为一个冷静安全研究者，我对此当然是一笑置之，但是这个漏洞的原因我还是颇感兴趣的，所以本文我们就来考证一下整件事情的缘由。 我们的问题究竟是什么? 首先，我先给出一个结论：这件事情绝对不是简简单单地有一个pma目录忘记删除了，或者宝塔面板疏忽大意进行了错误地配置，更不是像某些人阴谋论中说到的官方刻意...

周日晚，某群里突然发布了一则消息，宝塔面板的phpmyadmin存在未授权访问漏洞的紧急漏洞预警，并给出了一大批存在漏洞的URL： 随便点开其中一个，赫然就是一个大大的phpmyadmin后台管理页面，无需任何认证与登录。当然，随后各种神图神事也都刷爆了社交网络，作为一个冷静安全研究者，我对此当然是一笑置之，但是这个漏洞的原因我还是颇感兴趣的，所以本文我们就来考证一下整件事情的缘由。 我们的问题究竟是什么? 首先，我先给出一个结论：这件事情绝对不是简简单单地有一个pma目录忘记删除了，或者宝塔面板疏忽大意进行了错误地配置，更不是像某些人阴谋论中说到的官方刻意...

0x0 背景 由于参加最近特殊多人活动的原因，很多渗透攻击武器也进行了对应的更新。冰蝎出了3.0版本、甚至还有好几个beta版本；还朋友圈还出了一个据说比冰蝎3.0还厉害的神器”哥斯拉”全部类型的shell均过市面所有静态查杀、流量加密过市面全部流量waf、自带的插件是冰蝎、蚁剑不能比拟的;看名字就很厉害的样子，看描述更是功能强大 不禁内心一阵酸爽。 丰富了自己部分武器库之后很多白帽子喜悦之情溢于言表，身边很多小伙伴甚至都开始在本地开始测试了；几家欢喜几家愁，总一些人的快乐终究是建立在一些人的痛苦之上的，生活真的是残酷了；这个节骨点更新大家品大家细品，很多安全公司的小伙伴可能又得彻夜...

随着互联网的发展，Java语言在金融服务业、电子商务、大数据技术等方面的应用极其广泛。Java安全编码规范早已成为SDL中不可或缺的一部分。本文以Java项目广泛采用的两个框架Hibernate和MyBatis 为例来介绍，如何在编码过程中避免SQL注入的几种编码方法，包括对预编译的深度解析，以及对预编译理解的几个“误区”进行了解释。备注，本文是Java语言安全编码会是系列文章的第一篇。 0x01框架介绍 目前Hibernate和MyBatis为java项目广泛采用的两个框架。由于Hibernate使用方便，以前的项目采用Hibernate非常的广泛，但是后面由于Hibernate的...

渗透测试的流程大家都耳熟能详，具体操作工具五花八门，其中的核心就是信息收集和字典，今天写信息收集和漏洞扫描的一些技巧总结，方便新手学习。 声明：渗透测试过程中很多同类工具功能都是互补的，本文中提到的工具没有褒贬之分。 子域名爆破技术 不同的工具使用的子域名爆破技术是不同的，网上会有各种各样的爆破神器让人眼花缭乱，其实根据使用工具时使用的dns服务器不同，攻击者所处的网络环境的不同，爆破结果也是差异万千的，比如你在公司网络和你在家的网络，子域名扫描的结果差异也非常巨大，不同的工具字典的差异对爆破的结果也是影响非常大的，这时候应该综合多个工具、多设置一些dns、多换几个网络环...

宝塔Linux面板7.4.2版本和Windows面板6.8版本存在phpmyadmin未授权访问漏洞 漏洞未phpmyadmin未鉴权，可通过特定地址直接登录数据库的漏洞。 漏洞URL：http://ip:888/pma      即可直接登录（但要求必须安装了phpmyadmin）

起因 周末正要使用前不久刚装上的电视盒子看剧，突然想到电视盒子也是需要网络的，于是就对电视盒子开始了测试之路。 上路 首先看一下ip地址，192.168.101.22 首先想到的是命令执行，经过一番操作发现并不存在，看来系统都是升级了的。 扫描端口发现49152端口打开，详细扫描发现是Upnp服务 突然想到了今年6月的UPnP协议漏洞CVE-2020-12695，UPnP 2020-04-17之前版本中存在安全漏洞。攻击者可借助SUBSCRIBE功能利用该漏洞将流量发送到任意位置，导致拒绝服务或数据泄露。UP...

人云亦云 关于检测Cobalt Strike的方法有很多，而网上有一些文章会告诉大家如何修改所谓的特征值，但是这些方法实际上存在一定的误导和盲区 一般发现Cobalt Strike服务器的途径有以下几种（简单分类，不准确，勿喷） 样本分析 中马回连 黑客连主控端 扫描发现 这里被使用的比较多的就是扫描发现，同时网上一些文章提到Cobalt Strike默认的SSL/TLS证书是固定的，所以一般都是使用这个证书作为特征值来发现Cobalt Strike服务器 所以，今天我们主要讨论这...

使用方法 格式 namp <-参数> <IP> [-p 端口] [--script=脚本名] <>：必填信息 []：选填信息 IP表示方法 nmap -sn 192.168.1.100 nmap -sn 192.168.1.100/24 # 扫描C段 nmap -sn 192.168.1.100/16 # 扫描B段，时间比C段长得多 端口表示方法 nmap -sn 192.168.1.100 -p # 若不指定端口默认扫描1000个常用端口 nmap -sn 192.168.1.100 -p 1,2 ...

写这篇文章的时候很激动。 声明：此平台是韭菜返佣平台目的就是割韭菜，所以不存在正规之说。 以前就看到过有人发那些刷钱刷这个那个今天就来看看这些东西。 首先看一下登录页面： 虽然有注册页面但不可以注册，只能邀请。账号是朋友发来的。 登陆之后： 备案情况： 下面就开始了： 首先看当前余额： 点击任务领取任务“赚钱”，任务完成奖励0.03，时间30s。 burp抓包测试 点击开始任务抓包： 任务包： ...

一、思路流程 1、信息收集 a、服务器的相关信息（真实ip，系统类型，版本，开放端口，WAF等） b、网站指纹识别（包括，cms，cdn，证书等），dns记录 c、whois信息，姓名，备案，邮箱，电话反查（邮箱丢社工库，社工准备等） e、子域名收集，旁站，C段等 f、google hacking针对化搜索，pdf文件，中间件版本，弱口令扫描等 g、扫描网站目录结构，爆后台，网站banner，测试文件，备份等敏感文件泄漏等 h、传输协议，通用漏洞，exp，github源码等 2、漏洞挖掘 ...

网络配置 临时IP地址 自动获取IP地址 dhclient eth0 1 手动配置IP地址 ifconfig eth0 192.168.1.11/24 1 指定默认网关 route add default gw 192.168.1.1 netstat -na  # 查看配置是否生效，Destination和Genmask都为0.0.0.0的一行是默认网关 1 2 添加静态路由 route add  -net 172.16....

常用BASH命令 ls、cd、pwd、cat、more、tail、cp、rm、top、ps、grep、ifconfig、netstat、awk、sort、route、mount、amesg、find、whereis、echo、vi ls # 显示当前目录下的目录及文件 ls -a # 显示包括隐藏文件 ls -lh # 显示文件目录详细信息（加上h是将文件大小换算为K或者M，否则为字节大小） cd # 进入某一个目录 cd .. # 返回上一级目录 cd ~ # 进入用户主目录 cat 1.txt # 查看文件（适...

渗透测试标准 PETS 前期交互阶段 和客户沟通渗透测试范围。 通常是一个应用系统。（比如一个电商网站，包括网络、交换机、WAF、服务器、操作系统、数据库…） 如果太大会切分成若干小的子系统来进行渗透测试。 确定测试人数、时间等前期准备工作。 情报搜集阶段 对目标系统进行各种情报收集。（如邮箱地址、联系人、公司地址、DNS信息、服务器IP域名、公司近期动态…等被动信息收集。还有对目标扫明、主机发现、端口发现、端口服务发现等主动收集。） 威胁建模阶段 通过信息收集后，对目标拥有一个大概的轮廓认识。再通过危险建模，确定效率最高最快捷...

什么是反向代理 这里我找了一段比较官方的解释。 反向代理（Reverse Proxy）是指以代理服务器来接受 Internet 上的连接请求，然后将请求转发给内部网络上的服务器，并将从服务器上得到的结果返回给 Internet 上请求连接的客户端，此时代理服务器对外就表现为一个服务器。我自己的理解 代理服务器就是充当了一个“中间人”。如果理解的不恰当还请师傅们指出来哈。 Nginx反向代理实例 这里拿我的一台vps做演示 ip:39.xxx.xxx.x。因为vps上装了宝塔 而且 又在宝塔里装了Nginx。 首先找到Nginx的目录。在我的vps上...

前段时间又又又又因为门禁卡的问题没进去小区门，遂决定多复制几张方便随身携带。对该过程进行整理，希望能帮到同样丢三落四的小朋友们。 1、 简要说明 IC 卡是集成电路卡的简称，是镶嵌集成电路芯片的塑料卡片，芯片一般采用不易挥发性的存储器、保护逻辑电路、 甚至带微处理器CPU。 ID 卡全称为身份识别卡，是一种不可写入的感应卡，含固定的编号，ID卡与磁卡一样，都仅仅使用了“卡的号码”而已，卡内除了卡号外，无任何保密功能，其“卡号”是公开、裸露的。所以说 ID 卡就是“感应式磁卡”。 区别：ID卡一般为低频卡，工作频率是 125KHz。IC卡为高频卡，工作频率13....

可以说内网渗透测试，其本质就是信息收集。信息收集的深度，直接关系到内网渗透测试的成败。当你拿下内网的一台主机后，面对的是一片未知的区域，所以首先要做的就是对当前所处的网络环境进行判断。包括以下几点： 对当前机器角色的判断 对当前机器所处的网络环境进行判断 对当前机器所处的网络区域进行判断 本机信息收集 查看当前用户、权限 whoami whoami /all // 查看当前域并获取域SID 当前域为god，当前域的sid为S-1-5-21-2952760202-1353902439-2381780...

一、导出函数写shell 利用Mysql的导出函数直接写一个可访问的webshell 1.1 条件 1.网站可访问路径的绝对路径 报错 输入异常值让脚本主动报错，或googlehacking目标的脚本报错信息 phpinfo 扫目录找phpinfo 推测 目标可能使用集成安装包，如phpstudy C:\phpStudy\WWW\C:\phpStudy\WWW\域名\ 枚举 高频绝对路径 读配置文件 中间件，web的配置文件 2.secure_file_priv 的值非NULL或包...

前言 上一篇《信息收集篇》中我们讲了如何使用ISF框架发现工控设备，那么有些小伙伴就会问了，发现工控设备之后能做些什么呢？答案是很多，比如：查看设备有没有密码保护？有密码保护能不能破解？破解后都能做些什么等等问题。为了让大家循序渐进地学会工控相关的安全攻防，我们需要先学习一些工控的相关知识。本篇我们就来讲讲与暴力破解相关的基础知识，为后续暴力破解做好准备。 首先，为了能让工业机器相对“智能”，就需要一个可以控制这些机器的设备来控制它，而这个设备应该具备通用性和可复用性，这就是PLC类设备。一个通用的，可重复改写的逻辑控制设备。人们可以通过编写一些程序下载到PLC中，然后PLC通过读取...

框架介绍 声明：ISF该框架是北京安帝科技基于开源框架自研的一套工控渗透框架，仅用于工控安全教学，公司实验箱产品的安全研究，使用该框架进行非法操作产生的一切后果公司一概不负责。 框架主要使用Python语言开发，通过集成ShadowBroker释放的NSA工具Fuzzbunch攻击框架，开发一款适合工控漏洞利用的框架。由于Fuzzbunch攻击框架仅适用于Python2.6，很多核心的功能都封装成了DLL，通过函数进行调用，不便于后期的移植和使用。但是，Fuzzbunch的命令行使用的确很方便，所以就有了现如今这款适合工控漏洞利用的框架，取名isf。 环境准备 ...