去年公司买了个华硕路由器，型号为AC86U，我闲来无事尝试挖掘了下，一个月内，从路由器漏洞挖掘零基础到混了三个CVE。在此分享我一些漏洞挖掘思路。 前期准备 首先了解我们的路由器，做一些基础工作。  登录路由器后台了解基本的一些功能，比如能不能开启ssh连接等等。访问官网看看能不能下到固件等，如果不能下载到固件，则需要考虑硬件dump或者网络截取的方法来获取固件。  华硕的路由器是可以直接开启ssh登录的，这里打开系统管理有一个服务选项，其中有一个启用SSH的功能。 登录之后就可以做一些基础准备了。 确定挖掘...

前言 某日接到一个项目,只给了一个二维码。 1、数据管理系统 扫描二维码后在页面下方得到该公司的名字,百度搜索该公司的名字,找到一个数据中心。 访问该页面后发现存在用户名遍历,使用Burp爆破"常见用户名Top500"得到三个账号,并成功爆出其中一个账号的密码。 登陆后发现大都是一些信息管理的功能，没有发现可利用的点。 可能是没有管理员账号,所以功能较少,这种后台感觉拿到管理员账号也有点悬,先看其他的。 2、旁站 2.1 登陆后台 ...

作为内网渗透所需要的服务器。我们需要搭建一个父域，一个子域，还有一个用户。 这里我们选择windows server 2016进行克隆（对于内存不够的小伙伴，可以省下很多空间） windows7作为用户进行克隆 我们克隆两个（记得保存快照），一个作为父域一个作为子域。 搭建主域控服务器 配置ip，主域控也作为dns服务器。 10.10.3.5 255.255.255.0 10.10.3.1 10.10.3.5 点击进...

记录一下tp5.0.24,感觉此站应该是阉割版，按理来说tp5.0.24应该没有rce的。 网站是非法站点，不用担心未授权。 还是先报错一手，发现是5.0.24的，当时想应该没有希望了，但是还是抱着试一试的心态，用exp打一打 _method=__construct&method=get&filter[]=call_user_func&get[]=phpinfo 然后发现打动了，哈哈哈哈。disable_function倒是挺多的 心里有一些小激动，然后想的是直接用exp拿下 s=file_put_contents('axgg.php','<...

前记 最近在做ctf的时候碰到了两道跟python模板注入有关的题，在看了网上各位大佬们的解析之后把flag解了出来，但是对原理还是不太清晰，于是心血来潮看了看。 题解 第一题是：Web_python_template_injection 题目如下： 由于题目有提示模板注入，于是尝试构造payload，如下： 220.249.52.133:46596/{{1+1}} 发现在URL后出现了1+1的返回值，说明传入的表达式被成功执行，存在模板注入。 但是此时我对模板注入并不了解，仅仅只是知道{{ }}内传入的表达...

0x01 Shiro反序列化命令执行？ 日常挖洞，burpsuite插件shiro告警 用ShiroExploit的dnslog方式和静态文件回显方式都没检测出来。tomcat的回显也是不行。 0x02 任意文件上传？ 这个站打开是个登录框 抓包，发现验证码无效，爆破一顿以后没爆出来。注意到 这个框架叫某admin框架，谷歌查了一下这个框架有什么洞，发现一篇帖子。 说存在此文件plugins/uploadify/uploadFile.jsp 且此文件存在任意文件上传 ...

使用方法 格式 namp <-参数> <IP> [-p 端口] [--script=脚本名] <>：必填信息 []：选填信息 IP表示方法 nmap -sn 192.168.1.100 nmap -sn 192.168.1.100/24 # 扫描C段 nmap -sn 192.168.1.100/16 # 扫描B段，时间比C段长得多 端口表示方法 nmap -sn 192.168.1.100 -p # 若不指定端口默认扫描1000个常用端口 nmap -sn 192.168.1.100 -p 1,2 ...

网络配置 临时IP地址 自动获取IP地址 dhclient eth0 1 手动配置IP地址 ifconfig eth0 192.168.1.11/24 1 指定默认网关 route add default gw 192.168.1.1 netstat -na  # 查看配置是否生效，Destination和Genmask都为0.0.0.0的一行是默认网关 1 2 添加静态路由 route add  -net 172.16....

工具特性 1.O.G. Auto-Recon是一款功能强大的基于Nmap结果的目标枚举工具，它的目的是自动化收集最初始的信息阶段，然后尽可能多地基于Nmap扫描的数据进行目标枚举。 2.O.G. Auto-Recon是一款为CTF比赛专门设计的功能强大的目标枚举工具。 3.O.G. Auto-Recon项目中的所有工具均符合OSCP考试规则。 4.命令语法在Config中可以轻松修改，$变量名应保持不变。 5.如果检测到虚拟主机路由，O.G Auto-Recon则会将主机名自动添加到/ etc / hosts文件中，并继续枚举新发现的主机名。 ...

0x01 序章 上次讲解过手动利用fastjson，但讲的过于太简单了。根据大家的反应，收集如下几个问题。 1、如何盲打fastjson 2、判断fastjson的指纹 3、各版本payload以及使用ldap模式监听。 下面我就一一解答，我只是把我在网上查到的资料消化 后分享给大家，如果有大佬觉得哪里不对，还望不吝赐教。这次还带来了一键利用及检测工具，链接在文末。 注：本文仅用于技术讨论与研究，严禁用于任何违法用途，违者后果自负 0x02 环境搭建 这个不用多说了吧，使用vulhub搭建。 启动fa...

Impost3r是一款针对Linux平台的密码管理工具，该工具采用C语言开发，可以帮助广大研究人员在渗透测试的过程中，从目标Linux主机中获取各类密码（ssh、su、sudo）。 此工具仅限于安全研究和教学，请不要将其用于恶意目的。 功能特性 1、 自动擦除密码窃取行为痕迹； 2、 通过DNS协议传输结果； 3、 无需用户交互，用户无法察觉； 依赖组件 工具下载 广大研究人员可以使用下列命令将该项目源码克隆至本地： git clone ...

Oracle注入学习 最近学习过程中碰到了有使用oracle数据库的站，但是最后没有拿下来 太菜了ORZ 所以学习了一下oracle注入，oracle其他的洞还在学习中ing... Oracle数据库 Oracle安装 先来了解一下oracle数据库： Oracle Database，又名Oracle RDBMS，或简称Oracle。是甲骨文公司的一款关系数据库管理系统，系统可移植性好、使用方便、功能强，适用于各类大、中、小、微机环境。它是一种高效率、可靠性好的、适应高吞吐量的数据库方案。 oracle数据库 把...

网上针对sqlmap进行dns注入的相关文章太少，只是简单介绍了下--dns-domain参数，相关的实战文章要么就写的模糊或者一笔带过，搞的云里雾里（主要是菜，关键还没大佬带）。然后自己参考网上的方法自己重新搞了一遍。 需要准备的东西，sqlmap、windows盲注一个、两个域名、一台外网服务器。 某次搞事情的时候碰到一个时间盲注，碰巧是台windows的，想起dns注入的方法。 在开始前我准备先用sqlmap的--sql-shell 命令进行dns注入payload的测试 先到burpsuite中的collabo...

大家好，我是海盗，欢迎来到海盗茶馆。今天跟大家聊一下车机的渗透思路以及实例。 基础知识：什么是车机 车机，通俗理解就是车内的那块大屏。在看各种paper、文档的时候你会发现有各种叫法。IVI、AVN、HMI、HU等等，不要疑惑，指的都是同一个东西。 IVI:In-Vehicle Infotainment，车载信息娱乐系统。 AVN:指的是audio、video、navigation。最初的几个车内的功能。后来代指车机。 HMI: 人机接口。这个前面也讲过了。 ...

写在文前 从实习到现在，因为从事打点工作的原因，实战经验积累了很多，就想写一些自己在实战中碰到的问题，以及自己的解决方法，因为保密的原因大多数不提供复现环境和截图，权当对渗透思路的一个拓展吧。可能会多写几篇，也可能因为实战经验不足就此荒废这个系列。总之看心情和时间安排吧。 注入的几个问题 SQL注入所涉及到的东西无非就以下几方面 哪里会经常出现注入 bypass waf 如何快速定位重要数据表 大数据表托数据 注入读写文件 执行命令 哪里经常出现...

渗透测试指南系列文章内容纲要     第一章 渗透测试简介     第二章 前期交互     第三章 信息收集     第四章 漏洞识别     第五章 社会工程学     第六章 有线/无线网络利用     第七章 基于应用的漏洞利用     第八章 基于本地主机和物理的利用     第九章 后-利用 技术  ...

Django 很适合用来写安全小工具，因为很多安全工具都是 Python 编写的，所以 Django 集成的话就可以少走很多弯路，又因为 Django 的官方文档比较全，目前 Django 最新的版本都已经到 Django3 了，很适合新手上手使用。本文的项目暂时还没有开源，这个只是国光初次尝试写的第一个版本，代码很多地方都需要重构，功能上也有很多待完善，目前写这篇文章只是想理一下思路，证明自己可以写扫描器，因为之前立过写扫描器的 Flag ，国光建议大家也可以尝试用 Django 之类的 Web 框架整合自己的小工具。 相关技术 Python 3.8.0 Python ...

0X00 背景 最近在做渗透测试相关的工作，因工作需要准备用Cobalt Strike，老早都知道这款神器，早几年也看过官方的视频教程，但英文水平太渣当时很多都没听懂，出于各种原因后来也没怎么深入了解，所以一直都是处在大概了解的层面上。直到现在有需求了才开始研究，过程中体会也是蛮深，技术这东西真的不能只停留在知道和了解这个层面，就像学一门语言一样需要多动手去实践才能熟练运用的。 当然在深入研究某一门技术的过程中难免遇到各种各样的问题，一步一步解决这些问题才是真正学习的过程。对Cobalt strike的学习和研究中我也同样遇到很多的问题，幸得一些素不相识的师傅无私帮助，才解决掉所有的...

今天给大家介绍的这款工具名叫DnsFookup，这是一款功能强大的DNS重绑定工具，广大研究人员可以使用该工具来对目标DNS服务器进行安全测试。 本质上来说，DnsFookup是一款DNS重绑定框架，该框架包含下列组件： 1、一个DNS服务器； 2、Web API，用于创建新的子域名，控制DNS服务器和查看日志等； 3、整合了React App，让工具使用更加方便； 工具机制 该工具可以帮助我们创建DNS绑定，其功能类似一个Burp Collaborator，但是DnsFookup能提供的功能更加丰富和强大： ...

主站打开是这样的只有扫码登陆 尝试扫码提示未注册 查看js，网站用了webpack打包 所有请求都在 这个js里面 尝试寻找敏感接口无果 百度site:domain.com 注意到wx1子域，打开这个链接跳转到在微信打开 那就到微信打开，查看功能点发现一处上传，先上传正常图片 改最下面的filename，后缀不变 改上面的filename参数，发现应该是任意文件上传 因为在js中发...

1、原理     DNS在解析的时候会留下日志，利用这个属性，可以读取多级域名的解析日志，来获取信息。 将带有查询的语句 发起dns查询请求，通过dns请求查询到值，组合成三级域名，在ns服务器dns的日志中显示出来。 无回显注入 ，一般使用布尔型盲注入和延时注入 查询数据，但是这两种查询都是很慢，dnslog查询 因为是直接显示数据，所以这种注入 效率上面说的这种都要好太多。   最长的字符好似67个   2、平台 http://cey...

子域名枚举是信息收集中关键的一步，细节很大程度决定战果。本文参考The Art of Subdomain Enumeration，加上实践运用进行总结。 被动枚举 一、证书透明度 证书 当通过HTTPS访问web时，网站向浏览器提供数字证书，此证书用于识别网站的主机名，由证书颁发机构(CA,Certificate Authority)颁发。 证书透明度 证书透明度(Certificate Transparency)简称CT，主要用于将证书记录到公开的CT log中，日志可以被任何人浏览。 通过CT...

背景 由于近期网站遭受恶意攻击, 通过对于登录接口的审计与分析, 现已确定了一批可疑账号。既然之前写过一个登录接口的审计脚本, 那么完全可以通过扩展这个脚本来实现对于可疑账号的比对。主要思路: 通过将可疑账存进Redis中, 再利用Lua脚本调用Redis接口进行账号的比对。 先说一下Suricata默认是存在黑名单机制的, 如下: # IP Reputation #reputation-categories-file: /etc/suricata/iprep/categories.txt #default-reputation-path: /etc/suricata/ipre...

简介 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架，底层采用ThinkPHP3.2.3构建。ThinkCMF提出灵活的应用机制，框架自身提供基础的管理功能，而开发者可以根据自身的需求以应用的形式进行扩展。每个应用都能独立的完成自己的任务，也可通过系统调用其他应用进行协同工作。在这种运行机制下，开发商场应用的用户无需关心开发SNS应用时如何工作的，但他们之间又可通过系统本身进行协调，大大的降低了开发成本和沟通成本。 影响版本 ThinkCMF X1.6.0 ThinkCMF X2.1.0 ThinkCMF X...

0×00 前言  之前我们简单介绍了一下扫描器中爬虫的部分，接下来将继续介绍一下扫描器中一些我们认为比较有趣的技巧。 0×01 编码/解码/协议 在很久以前有人提问 AMF 格式的请求怎么进行检测，或者有什么工具可以检测。既然我们要讲解的是 Web 漏洞扫描器，那么就先假设是 AMF over HTTP (这里并不需要你了解 AMF，你只需要知道 AMF 是一种数据格式类型就行) 假设我们需要测试一个 AMF 格式数据的 SQL 注入问题，那么按照通常的思路就是在 SQL 注入模块中 1.先解析 HTTP 中 AMF 格...