溢出漏洞说白了就是对边界没有检验，而导致原先不应该在这里的数据反而阴差阳错的出现在了这里。 我大体的对溢出漏洞分为了两种：  数据溢出和缓冲区溢出 第一种数据溢出应用场景主要是针对外挂和破解 第二种缓冲区溢出应用场景主要是针对渗透测试 下面我会分别讲解这两种溢出的详细细节，那我们测试的程序是我写的测试小程序。 数据溢出 首先我们需要在一台XP系统上运行测试程序，然后我会监听你的8888端口 首先我们用nc去连接8888端口。 连接上之后会显示banner信息，意思是你一共有15块钱，然后你要买苹果...

*本文不涉及任何漏洞，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。 0×00前言 解决问题的手段有很多种，也许存在优劣之分，这次选择了其中一种不那么好玩的方法——frida hook。 人脸识别校验状态存储在服务端，因此即使通过该种方法绕过客户端人脸识别，由于并未获得合法session，所以并无任何实际危害，仅做为IOS Hook学习思路。 0×01准备 越狱IOS(12.4.4) Frida lxhToolHTTPDecrypt app一个 登录时存在人脸识别： ...

想必大家都对参数篡改攻击有所了解，今天作者分享的是对RSA加密参数的篡改从而实现账号劫持的简单测试，漏洞原因在于Web应用在客户端缺乏安全的防护机制。一起来看看。 出于保密，目标Web应用暂且叫它为target.com，在接触该目标时，经测试发现，其上所有的参数操作都是加密传输的，在Burp的抓包配合下，可见其大概的加密形式如下： userName=8cfe39943d6e08e505531ddfd90c66f47c2f55ce140e5770fef58d3bec826f52490a089d1942aaed74a9f6ed0fd8890cef6c36e31220c9859a3...

写在文前 从实习到现在，因为从事打点工作的原因，实战经验积累了很多，就想写一些自己在实战中碰到的问题，以及自己的解决方法，因为保密的原因大多数不提供复现环境和截图，权当对渗透思路的一个拓展吧。可能会多写几篇，也可能因为实战经验不足就此荒废这个系列。总之看心情和时间安排吧。 注入的几个问题 SQL注入所涉及到的东西无非就以下几方面 哪里会经常出现注入 bypass waf 如何快速定位重要数据表 大数据表托数据 注入读写文件 执行命令 哪里经常出现...

因为所在单位的公司属性，有幸作为防守方赶上了2019年的攻防演练。整个过程历时几个月时间，有思考、有规划、有实施，但是因实际情况所限，总有一些想法没有尝试，总有一些规划没有“落地”，也有一些经历过之后的恍然大悟，稍作记录以便未来实践并与即将参加2020年攻防演练的小伙伴们简要分享。 攻防演练对各家公司里安全技术人员来说，真的喜忧参半，难以言表。借用我微信好友的一句话（出处不详）：“它让公司CSO有种崇祯即位的复杂感觉。前者是兴奋，受到高度重视，充满雄心抱负收拾旧山河；后者是失落，内忧外患，虽有万里长城但不知道敌人以什么方式翻墙而入，长城成了一个奢级消费品；朝堂之争如公司管理文化。山河好大总有文治...

PS：练习利用这些网站，就会打破kali学的好，监狱进的早的魔咒了 进攻即是最好的防御，这句话同样适用于信息安全的世界。这里罗列了16个合法的来练习黑客技术的网站，不管你是一名开发人员、安全工程师、代码审计师、渗透 测试人员，通过不断的练习才能让你成为一个优秀安全研究人员。以下网站希望能给各位安全小伙伴带来帮助！（排名不分 先后） 1.bWAPP 免费和开源的web应用程序安全项目。它有助于安全爱好者及研究人员发现和防止web漏洞。 ...

最近在准备比赛，打sqlilabs时看了一下sqlmap的wiki，发现了–csrf-token和–csrf-url的参数，于是写了个php版本的bug试了一试。 同时也了解了一下大家对csrf注入的普遍做法：sqlmap+burp正则匹配，两相比较，还是sqlmap自带的功能比较方便。 写一个bug CSRF的普遍防御方法是增加anti-csrf token，也就是一串不可预测的字符串。于是动手写了一个php版本防csrf的sqli脚本，这里写的并不规范，时间戳是可以被预测的，而且此脚本可以被绕过token检测，有兴趣可以琢磨一下。 <?php sess...

渗透测试指南系列文章内容纲要     第一章 渗透测试简介     第二章 前期交互     第三章 信息收集     第四章 漏洞识别     第五章 社会工程学     第六章 有线/无线网络利用     第七章 基于应用的漏洞利用     第八章 基于本地主机和物理的利用     第九章 后-利用 技术  ...

系列文章内容纲要 第一章 渗透测试简介 第二章 前期交互 第三章 信息收集 第四章 漏洞识别 第五章 社会工程学 第六章 有线/无线网络利用 第七章 基于应用的漏洞利用 第八章 基于本地主机和物理的利用 第九章 后-利用 技术 第十章 渗透测试工具集介绍 第十一章 渗透报告 第三章 信息收集 接到渗透测试任务，首先要做的就是信息收集(Information Gathering)或者...

2020年初，我通过了准备已久的Pentest+认证考试。我还写了一篇 考试指南，有兴趣的读者可以点击查看。 近期我打算花一点时间把Pentest+知识体系整理成一系列文章，巩固一下我对渗透测试的理解以及加深我对渗透测试的看法。 这一系列文章的大体内容纲要如下 第一章 渗透测试简介 第二章 前期交互 第三章 信息收集 第四章 漏洞识别 第五章 社会工程学 第六章 有线/无线网络利用 第七章 基于应用的漏洞利用 第八章 基于本地主机和物理的利用 第九章 后-利用 技术 第十章 渗透测试工具集介绍 第十一章 渗透报告 话不多说，直接进入第一个主...

本文中，作者在测试某Web目标站点APP的过程中，通过其中的用户头像上传功能，可以成功上传并加载HTML文件，进步利用该HTML文件可以形成存储型XSS攻击，读取用户的密码信息。我们一起来看看其利用姿势。 漏洞发现 当我注册登录了目标站点APP之后，经过对用户设置项的检查后发现，其中存在一个用户头像上传功能，如下： 于是，我就用Burp对该上传功能进行抓包分析： 请注意，这里我用到了PATCH请求操作，可见其中的ProfilePicture参数为一串base64编码的图像化字串，另外，之前的ProfilePictureMIME参数为image/p...

上回我们说到，通过ruler可以给已知用户名、口令的用户增加规则，从而在使用Outlook连接Exchange邮箱服务器的主机上做到任意代码执行。那么问题来了，如果不知道该用户的口令，能否控制他们的主机呢？ 数据包分析 首先需要明白ruler的具体实现过程和原理，到底是如何给其他用户增加规则、修改主页、发送form的。但是大致上我们可以猜测是给Exchange服务器对应的接口发送了几个数据包做到的。 这些数据包发送到了哪个接口，需要从接口处获得什么作为返回，以便进行下一次的请求。 因此需要对ruler的源码进行阅读同时结合对它发数据包的分析弄清楚整个的流程。 ...

一、拒绝服务攻击 拒绝服务攻击，英文名称是Denial of Service. 简称DOS，即拒绝服务,造成其攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。 最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽, 最后导致合法的用户请求无法通过。 常规的dos攻击 由黑客控制多台服务器，让这多台服务器同时去请求一个目标机器，导致目标资源耗尽。 二、WAF 也称为：网站应用级入侵...

漏洞描述 Spring Cloud Config，2.2.3之前的2.2.x版本，2.1.9之前的2.1.x版本以及较旧的不受支持的版本允许应用程序通过spring-cloud-config-server模块提供任意配置文件。恶意用户或攻击者可以使用特制URL发送请求，这可能导致目录遍历攻击。 Spring cloud Config已经出现过两次目录穿越漏洞，分别是CVE-2019-3799和CVE-2020-5405,可参考之前的文章:https://xz.aliyun.com/t/7558。 漏洞补丁 这次补丁主要是两个部分,第一个部分是将对路径的检测方法...

网站存在注入点地方 当时测试了布尔盲注，发现有安全狗waf 对其fuzz一波，发现数据库时access数据库 由于access数据不能使用注释，并且没有数据库，幸好是安全狗，绕过方法如下 因为安全狗是对整段url进行检查，发现aa参数和bb参数包裹的是注释所以放过 其他页面也存在注入点 ...

错误详情 WebShell内容： <?php     @eval($_POST['cmd']); ?> 1 2 3 错误详情： 在Hackber或BurpSuite中却没有问题： 原因分析 PHP7版本过高，在PHP7中，动态调用一些函数是被禁止的，比如在array_map中调用assert会提示：Warning: Cannot call func_num_args() dynamically in %s on line %d 如果把一句话Shell中的@符号去掉，会提示：Cannot call assert() with s...

一、前言 命令注入：恶意用户构造恶意请求，对一些执行系统命令的功能点进行构造注入，从而达到执行命令的效果。 二、演示环境搭建 这里采用springboot+swagger搭建一个模拟的web环境：启动成功后访问：http://localhost:8090/swagger-ui.html#/commandi主要有三个接口: 1 /command/exec/string 主要实现Runtime.getRuntime().exec() 入参为String 2 /command/exec/array 主要实现Runtime.getRuntime().exec() 入参为S...

0×00 shellcode简介 在攻击中，shellcode是一段用于利用软件漏洞的有效负载，shellcode是16进制的机器码，以其经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。 可在寄存器eip溢出后，放入一段可让CPU执行的shellcode机器码，让电脑可以执行攻击者的任意指令。 shellcode可以按照攻击者控制是否在目标机器上执行载荷分为本地shellcode和远程shellcode。本地运行的shellcode经常用于在攻击者对计算机的访问权限有限，需要利用软件漏洞提升权限；远程shellcode常用于攻击者以运行在某个网络中的另一台机...

之前在某厂的某次项目开发中，项目组同学设计和实现了一个“引以为傲”，额，有点扩张，不过自认为还说得过去的 feature，结果临上线前被啪啪打脸，因为实现过程中因为一行代码（没有标题党，真的是一行代码）带来的安全漏洞让我们丢失了整个服务器控制权（测试环境）。多亏了上线之前有公司安全团队的人会对代码进行扫描，才让这个漏洞被扼杀在摇篮里。 背景说明 我们的项目是一个面向全球用户的 Web 项目，用 SpringBoot 开发。在项目开发过程中，离不开各种异常信息的处理，比如表单提交参数不符合预期，业务逻辑的处理时离不开各种异常信息（例如网络抖动等）的处理。于是利用 SpringBoot ...

上个月5月9号发了两个HW红方弹药库的，今天再来发一个红队作战人员手册，我大概看了看手册里面的exp零组文档包含了很多， 本文来自 klionsec的github 说明 以下仅针对日常 "红队" 场景, 进行了一次相对全面完整的实战攻击利用技术提炼汇总 针对不同的渗透阶段,所可能会用到的一些技术都做了详尽梳理说明 (后面可能还会整理出对应的完整工具链,虽然那不是最主要的) 由于红队不同于一般的渗透测试, 强调更多的是如何搞进去拿到相应机器权限 或者 实现某特定目的 而不局限于你一定要在什么时间, 用什么技术 或者 必须通过什么途径去搞,相比传统渗透测试,红队则更趋于真实的...

一、背景介绍   在业务安全领域，滑动验证码已经是国内继传统字符型验证码之后的标配。众所周知，打码平台和机器学习这两种绕过验证码的方式，已经是攻击者很主流的思路，不再阐述。本文介绍的是一个冷门的绕过思路和防御方案。这些积累，均来自于实战之中，希望有用。 二、思路介绍 知己知彼，百战不殆。     如果不清楚攻击者的手段，又如何能制定防御方案？     滑动验证码绕过思路 漏洞名字：session参数重复校验漏洞 思路介绍： 此思路来源于一次对黑产路径的溯...

攻防攻防，有攻就有防，我们常说“未知攻焉知防”，所以一般来说，在安服团队里，应急响应是由有经验的渗透测试人员来承担；而在企业里面，应急响应则是由比较有经验的运维人员来承担。 早在17年的时候，我将自己经手处理过的一些应急响应案例，脱敏保留特定场景，整理成了一份应急响应实战笔记分享给团队的小伙伴，后来我把它上传到GitHub，目前star已超过2k+ 。 这阵子，我重新对这份笔记进行编排，并增加了部分章节，使之更完善一点。 这份应急响应笔记，我将它分为技巧篇和实战篇。技巧篇，分享了各种入侵排查、日志分析、权限维持的技巧；实战篇，分享了各种window和Linux病毒木马处理...

雷蛇支付（Razer Pay）在新加坡和马来西亚被广泛使用，在该篇Writeup中，作者通过APP逆向分析，利用Frida调试，发现了雷蛇支付电子钱包（Razer Pay Ewallet）中的用户签名（Signature）生成漏洞，由此可读取雷蛇支付用户的聊天记录、删除用户绑定的银行账户并窃取用户个人敏感信息，漏洞最终获得了雷蛇官方将近$6,000的奖励。以下是作者的漏洞发现思路，仅当姿势学习借鉴： 漏洞背景 雷蛇（Razer Inc，RΛZΞR）是一家在新加坡创立的游戏周边设备公司，又被称为“绿光灯厂”，近年开始进军电子消费业务。雷蛇的两个总部分别设立在新加坡及美国圣地牙哥...

分享自己常用的“信息收集”思路以及漏洞挖掘技巧。信息收集在渗透测试中的地位不言而喻，你拥有的“资产信息”决定你的漏洞产出。 子域名收集 暴力破解 本地工具，Layer的子域名挖掘机等工具。 优点：能够枚举到很多通过证书查询查不到的子域名。 缺点：速度慢，靠字典。 搜索引擎搜索 Google、百度、360、bing、搜狗等主流搜索引擎，通过搜索语法进行搜索。 优点：发现域名时往往会同时发现一些敏感的页面。 缺点：收录有限。 证书查询 常用证书查询的站点...

不让我注入进程撒？加服务启动你拦截我撒？来  我用另类方法”注入”加入自启动? 众所周知,某0卫士对启动这一块做的比较严格。以往来说 大家都喜欢注册表启动，后来注册表被杀的太厉害。结果GG了。然后衍生出来服务启动?不过好景不长,服务启动也被和谐…..有反驳的可以附上你代码? (有点空手套EXP的感觉)  当然  也有服务能启动的，前提是你找到一个靠谱的白名单程序…抠鼻..我找到了…就是…不告诉你 以上是背景….目前来说  比较靠谱的一种做法是进程注入。进程注入多用于隐匿自身 以及做一些其他不可描述的事情。但…..各位程序大佬清楚 大多的 传统的...