前言最近翻阅笔记发现一篇文章提到通过子域的System权限可以突破获取到父域权限，本文将对此技术进行尝试复现研究。利用分析环境信息：子域：187、sub.cs.org父域：197、cs.org首先通过在子域的域控机器上打开mmc.exe->连接ADSI->配置来查看子域的配置命名上下文：从配置中可以看到配置命名上下文的域名实际上是父域cs.org，因此判断子域中看到的信息可能是父域的副本：继续查看配置对象的安全描述符中的ACL，发现子域没有权限去变更：但是可以看到除了域用户、域管用户以外，还有一个特权ACL条目叫SYSTEM，该条目拥有完全控制权限：SYSTEM属于一个特殊用户，不属于域内用户，因此理论上只要能做到是SYSTEM权限就能控制对象条目而不用关注是不是域内管理员。因此尝试使用SYSTEM权限继续打开配置命名上下文：可以看到当子域拥有了SYSTEM权限后就可以修改来自父域副本的配置对象：利用方式既然可以控制父域的配置命名上下文，那如何利用呢？网上提到有几种方式，一种是通过GPO、还有的是提到给父域添加一个自己可控的证书模板(ESC1)，这里以GPO组策略为例。先在子域域控上创建一个GPO:New-GPO jumbo_gpo_test设置计划任务:通过SYSTEM权限把子域的GPO link到父域：PS C:\Windows\system32> Get-ADDomainCo ...继续阅读 (33)

前言实战可以大大提高自己，学习技术的目的就是能够在实战中运用。本次实战与实际息息相关，该软件具有加密某文件的功能。界面还挺好看的，功能很简单，输入文件和PIN(4位）进加解密。这是被加密的文件需要将其进行解密，拿到flag思路因为PIN是4位，因此可以写一个python脚本，对其进行爆破。关键在于得出加密的算法，此时就需要我们进行逆向分析了分析先尝试进行加密根据关键词：encrypted 进行定位发现是我们需要的信息跟踪进去，发现了花指令去花指令发现堆栈不平衡，将所有代码选中，然后C键，重新分析发现了单指令花指令，无非nop掉即可从头选到下一个函数开始的位置按下C键analyze即可还是rust编译的此时就可以分析函数了。处理其他函数也是相同的道理初步分析使用Fincrypto发现了salsa20加密salsa20：32位字符构成的key，二是随机生成的8位nonce。算法使用key和nonce生成一个2^70长度的序列，并与明文进行异或加密sub_140073A70发现main_func就是获取我们的输入的文件内容sub_140039890而函数sub_140039890才是关键的加密函数0x61707865、0x3320646E均为Salsa20算法的固定参数解密由于密码只有0000~9999这10000种可能加密后文件名又是flag.png.enc，所以原文件是个png文件使 ...继续阅读 (25)

前言无论学习什么，首先，我们应该有个目标，那么入门windows游戏安全，脑海中浮现出来的一个游戏 -- 扫雷，一款家喻户晓的游戏，虽然已经被大家分析的不能再透了，但是我觉得自己去分析一下还是极好的，把它作为一个小目标再好不过了。我们编写一个妙妙小工具，工具要求实现以下功能：时间暂停、修改表情、透视、一键扫雷等等。本文所用工具：Cheat Engine、x32dbg(ollydbg)、Visual Studio 2019扫雷游戏分析游戏数据在内存中是地址，那么第一个任务，找内存地址打开CE修改器修改时间->时间暂停计数器的时间是一个精确的值，所以我们通过精确数值扫描出来，游戏开始之前计数器上的数是0，所以我们扫描0。时间在变化，选择介于什么数值之间再次扫描可得 0x100579c --- winmine.exe+579C我们发现这个数据都是直接通过基址 + 固定偏移能直接得到的。然后我们对数据去找 是什么改写了这个地址，得到一个指令和指针：时间：0x100579c修改表情 - 没啥用修改表情这个功能怎么搞我觉得还是很容易想到的，这个按钮的作用是重新开始游戏，开始游戏，游戏胜利，游戏失败。（表情的状态被分成了两个变量（4byte）来控制）所以它是一种状态，所以我们通过0和1进行扫描，游戏进行状态输入1进行扫描，还原游戏之后输入0进行扫描。首先是游戏进行状态，输入1进行扫描再点击表情， ...继续阅读 (34)

前言大型语言模型，尤其是像ChatGPT这样的模型，尽管在自然语言处理领域展现了强大的能力，但也伴随着隐私泄露的潜在风险。在模型的训练过程中，可能会接触到大量的用户数据，其中包括敏感的个人信息，进而带来隐私泄露的可能性。此外，模型在推理时有时会无意中回忆起训练数据中的敏感信息，这一点也引发了广泛的关注。隐私泄露的风险主要来源于两个方面：一是数据在传输过程中的安全性，二是模型本身的记忆风险。在数据传输过程中，如果没有采取充分的安全措施，攻击者可能会截获数据，进而窃取敏感信息，给用户和组织带来安全隐患。此外，在模型的训练和推理阶段，如果使用了个人身份信息或企业数据等敏感数据，这些数据可能会被模型运营方窥探或收集，存在被滥用的风险。过去已经发生了多起与此相关的事件，导致许多大公司禁止员工使用ChatGPT。此前的研究表明，当让大模型反复生成某些特定词汇时，它可能会在随后的输出中暴露出训练数据中的敏感内容。学术研究表明，对模型进行训练数据提取攻击是切实可行的。攻击者可以通过与预训练模型互动，从而恢复出训练数据集中包含的个别示例。例如，GPT-2曾被发现能够记住训练数据中的一些个人信息，如姓名、电子邮件地址、电话号码、传真号码和实际地址。这不仅带来了严重的隐私风险，还对语言模型的泛化能力提出了质疑。本文要探讨的就是可以高效从大模型中提取出用于训练的隐私数据的技巧与方法，主要来自《Bag of ...继续阅读 (33)

背景近期正值多事之秋，hvv中有CVE-2024-38077专项漏洞演习，上级police也需要检查辖区内存在漏洞的资产，自己单位领导也收到了情报，在三方共振下这个大活儿落到了我的头上。Windows Server RDL的这个漏洞原理就不过多介绍，本文重点关注如何满足大批量探测的需求。问题CVE-2024-38077自披露以来流传过几个poc工具，但使用过后留下的只有某某服的exe版本。可能出于保密原因，这个工具不支持的功能太多，本文就不一一列举，采用排除法自行脑补。支持的参数是指定某个IP或者某个IP段进行扫描，然后没了，就像这样：但是这样扫来扫去无法满足需求，遇到的几个典型问题就是：扫的为什么很慢？从外部导入IP怎么办？如何从大批量资产中筛选出有漏洞的？空间测绘探测辖区内或者某一地区的资产当然离不开空间测绘工具，fofa、鹰图、shaodan、zoomeye等著名的自然要尝试一遍，搜索的关键词首先是国内+3389和135端口+windows server操作系统，协议的话可以组合RDP/RDL，这样一来搜出的资产会多达几百万条，百万量级的数据处理起来对于我们这种小散户而言属于天方夜谭。况且这些空间测绘平台中有的甚至不支持非会员大数据量查询，像shaodan这样能够显示出来已经是仁慈的了：结果虽然搜索出来了，但是百万级的数据是拿不到的。一是不支持多端口筛选，二是不支持导出（非会 ...继续阅读 (30)

漏洞简介Apache OFBiz 是一个开源的企业资源规划系统，提供了一整套企业管理解决方案，涵盖了许多领域，包括财务管理、供应链管理、客户关系管理、人力资源管理和电子商务等。Apache OFBiz 基于 Java 开发，采用灵活的架构和模块化设计，使其可以根据企业的需求进行定制和扩展，它具有强大的功能和可扩展性，适用于中小型企业和大型企业，帮助他们提高效率，降低成本，并实现业务流程的自动化和优化。Apache OFBiz 在处理 view 视图渲染的时候存在逻辑缺陷，未经身份验证的攻击者可通过构造特殊 URL 来覆盖最终的渲染视图，从而执行任意代码。影响版本Apache OFBiz <\= 18.12.14漏洞复现https://github.com/apache/ofbiz-framework/releases/tag/release18.12.14下载代码链接 https://codeload.github.com/apache/ofbiz-framework/zip/refs/tags/release18.12.14下载后利用 idea 打开并编译运行构造发送数据包POST/webtools/control/main/ProgramExportHTTP/1.1Host:127.0.0.1:8443Connection:closeUpgrade-Insecure-Reque ...继续阅读 (38)

前言本文介绍Linux内核的栈溢出攻击，和内核一些保护的绕过手法，通过一道内核题及其变体从浅入深一步步走进kernel世界。QWB_2018_core题目分析start.shqemu-system-x86_64 \ -m128M \ -kernel./bzImage \ -initrd ./core.cpio \ -append"root=/dev/ram rw console=ttyS0 oops=panic panic=1 quiet kaslr"\ -s\ -netdevuser,id=t0,-devicee1000,netdev=t0,id=nic0 \ -nographic \开启了kaslr保护。如果自己编译的 qemu 可能会报错network backend ‘user‘ is not compiled into this binary，解决方法就是sudo apt-get install libslirp-dev，然后重新编译 ./configure --enable-slirp。init解压 core.cpio(最简单的方式就是在ubuntu里，右击提取到此处)，分析 init 文件：#!/bin/shmount-tproc proc /procmount-tsysfs sysfs /sysmount-tdevtmpfs none / ...继续阅读 (94)

前言在本系列的第一部分中，我们已经掌握了深度学习中的后门攻击的特点以及基础的攻击方式，现在我们在第二部分中首先来学习深度学习后门攻击在传统网络空间安全中的应用。然后再来分析与实现一些颇具特点的深度学习后门攻击方式。深度学习与网络空间安全的交叉深度学习作为人工智能的一部分，在许多领域中取得了显著的进展。然而，随着其广泛应用，深度学习模型的安全性也引起了广泛关注。后门攻击就是其中一种重要的威胁，尤其在网络空间安全领域中。我们已经知道深度学习后门攻击是一种攻击者通过在训练过程中插入恶意行为，使得模型在特定的触发条件下表现异常的攻击方式。具体来说，攻击者在训练数据集中加入带有后门触发器的样本，使得模型在遇到类似的触发器时，产生攻击者期望的错误输出，而在正常情况下，模型仍能表现出高准确率。这种隐蔽性和针对性使得后门攻击非常难以检测和防御。现在我们举几个例子介绍后门攻击在网络空间安全中的应用场景。恶意软件检测：在网络安全中，恶意软件检测是一个重要应用。攻击者可以通过后门攻击技术，使得恶意软件检测模型在检测特定样本时失效。例如，攻击者可以在训练恶意软件检测模型时插入带有后门的恶意样本，使得模型在检测带有特定触发器的恶意软件时无法正确识别，从而达到隐蔽恶意软件的目的。入侵检测系统：入侵检测系统（Intrusion Detection System, IDS）用于监测网络流量并识别潜在的入侵行为。攻 ...继续阅读 (33)

在计算机安全中，后门攻击是一种恶意软件攻击方式，攻击者通过在系统、应用程序或设备中植入未经授权的访问点，从而绕过正常的身份验证机制，获得对系统的隐蔽访问权限。这种“后门”允许攻击者在不被检测的情况下进入系统，执行各种恶意活动。后门可以分为几种主要类型:a) 软件后门:通过修改现有软件或植入恶意代码创建。b) 硬件后门:在物理设备的制造或供应链过程中植入。c) 加密后门:在加密算法中故意引入弱点。d) 远程访问特洛伊木马(RAT):一种特殊类型的后门,允许远程控制。在人工智能、深度学习领域也有自己的后门攻击。深度学习后门攻击深度学习后门攻击是一种针对机器学习模型，特别是深度神经网络的高级攻击方式。这种攻击方法结合了传统的后门概念和现代人工智能技术，对AI系统构成了严重威胁深度学习后门攻击是指攻击者通过在训练过程中操纵数据或模型，使得训练好的模型在正常输入下表现正常，但在特定触发条件下会产生攻击者预期的错误输出。攻击者通过在训练数据中注入带有特定触发器的样本，或直接修改模型参数，使模型学习到这些隐藏的、恶意的行为模式。这些触发器通常是难以察觉的微小变化。比如下图所示右下角的白色小方块就是触发器，模型一旦被植入后门，在推理阶段，如果图像中出现了触发器，后门就会被激活，会将对应的图像做出错误的分类。那么深度学习后门攻击与传统计算机安全中的后门攻击有什么联系和区别呢？联系：概念相似性：两种攻 ...继续阅读 (35)

写在最前面：这是顺丰“威胁情报作战三部曲”的第一篇，三篇分别是：攻击者画像、情报拓线和威胁狩猎。我们的心愿，就是把顺丰使用威胁情报的经验掰开了、揉碎了、明明白白写出来，希望对屏幕前每一个你都能有所帮助，哪怕只有一点点。 那么，正题，开始！►►►从挨批到挨夸，我只用了一个动作嗨，还是我，顺丰的安全研究员K，今天又在网络安全的海洋里“冲浪”，结果被三条告警的“浪”拍得晕头转向：这三条告警彼此简直毫不相干，可是看着间隔时间，又让我本能地觉得此事并不简单。我对着屏幕一脸懵逼，心想：“这告警，比女朋友的心思还难猜。”就在我已经做好挨老板一顿痛批的心理准备时，突然灵光一闪：“等等，我们不是有 攻击者画像工具吗？” 我赶紧打开它，像抓住了救命稻草。 没想到，这个工具关键时候还真能救命。 我输入告警信息，几秒钟的时间它便把三条告警串联起来，指向了同一个攻击团伙。原来，我离真相只差一个“攻击者画像”的距离！好家伙，今天又有东西可以跟老板吹了：“看，我用攻击者画像，逮到了一个攻击团伙！”►►►攻击者画像介绍攻击者画像，就像是给网络攻击者画的一张“肖像画”，它站在高维度的攻击者视角，通过分析攻击者的行为模式、使用的技术和工具、攻击的目标和频率等信息，每天从数千万的攻击告警中提炼有效信息，最终构建出一份关于攻击者的详细“档案”。具体来说，攻击者画像可能包含以下几个方面的内容： ...继续阅读 (33)

这道题比较有意思，而且因为我对misc并不是很熟悉，发现该题目将flag隐藏在图片的颜色属性，巧妙的跟踪到这些密文位置，拿下题目一血，还是很有参考学习意义的。（题目附件，加V：dctintin）1、图片RGB隐写赛后去查阅了相关资料，发现该题采用了RGB隐写，特此总结一下，帮助读者理解。lsb 隐写题在 ctf 中也经常考到，LSB即为最低有效位，我们知道，图片中的图像像素一般是由 RGB三原色（红绿蓝）组成，每一种颜色占用 8 位，取值范围为 0x00~0xFF，即有256 种颜色，一共包含了 256 的 3 次方的颜色，即 16777216种颜色。而人类的眼睛可以区分约 1000万种不同的颜色，这就意味着人类的眼睛无法区分余下的颜色大约有 6777216种。LSB 隐写就是修改 RGB颜色分量的最低二进制位也就是最低有效位（LSB），而人类的眼睛不会注意到这前后的变化，每个像数可以携带3 比特的信息。上图我们可以看到，十进制的 235表示的是绿色，我们修改了在二进制中的最低位，但是颜色看起来依旧没有变化。我们就可以修改最低位中的信息，实现信息的隐写本题属于修改RGB的最后一个位，一共可以隐藏三个位，RGB（三原色）R：隐藏最高位G：隐藏最高位B：隐藏最高位2、实战2.1 初识题目给了一个ELF文件和一个png图片，猜测会对png进行解密操作很明显要么加密了图片，要么隐藏了数据2 ...继续阅读 (34)

小白的众测高危：记先前某次众测，经过资产梳理，发现所有站点全部都挂了WAF，作为一名不钓鱼的挖洞小白，我估计这次又要空军。小白生于天地之间，岂能郁郁难挖高危？想要在挂了WAF的站点挖出高危，很难，因为这些站点，你但凡鼠标点快点，检测出了不正确动作都要给你禁IP，至于WAF绕过对于小白更是难搞。其实在众测，大部分漏洞都并非那些什么SQL注入RCE等等，而小白想要出高危，可能也只有寄托希望于未授权。未授权接口怎么找：有一种站点，在URL内含有#符号，这种站点的路径接口信息泄露较多，更容易出未授权。但要注意一点，#后面的东西是不会走服务器的，所以这里如果在findsomething找到了很多东西，拼接的时候带不带#号呢？这就要区分路由和接口了，如果看着像是路由，在这种原本就有#符号站点，就带上#符号。如果是接口，接口一般是用来进行数据交互的，所以需要走服务器，那就不能拼接#符号。区分上述后就可以将拿到的东西以POST请求，GET请求都跑一遍，再看是否存在能用的接口，再根据接口返回情况看是否需要添加参数。这里又是涉及一个很麻烦的点，那就是遇到接口能用，找到参数了，但参数的格式不知道，我这次讲的这个高危就遇到了这种情况，差点错过！在将现有js里面的接口跑完后还需要注意找js里面的js里面的接口。这里有两种常见情况：一、js.map泄露大多webpack打包的站点会有js.map文件，那js. ...继续阅读 (35)

该题目贴合实际，在实战中经常遇到此类宏病毒。将Office文档中嵌入以VBA(Visual Basic forApplications)编写的宏代码脚本，当运行Office文档时，便可以执行各种命令。VBA脚本文件重定向能够将脚本默认文件vbaProject.bin进行替换，在打开文本时加载其他文件，增加分析者的分析复杂程度。1、初步分析在 Office 2007 之后的 Office 文档格式采用的是 OOXML 标准格式。那什么是OOXML 标准？这里的 OOXML 的全称是 Office Open XML File Formats或被称为 OpenXML 格式，这是一个基于 zip+xml定义的文档格式。简单的说就是Office文档是一些xml文档压缩文件，因此我们将一个word文档进行zip解压，可以获得一些xml文件打开发现是一堆乱码，此时就需要借助大佬们的工具了。2、oletoolsoletools对该文件进行分析，oletools将宏源码完整的还原了出来。官网：https://github.com/decalage2/oletools/releases这里采用pip安装模式pip install -U oletools运行命令olevba -c protected_secret.docm > code.vbs3、分析vbs代码直接搜索：AutoOpen里面有太多垃圾代 ...继续阅读 (35)

最近在审计java的CMS，跟着文章进行nday审计，找准目标newbee-mall Version1.0.0（新蜂商城系统），并跟着网上文章进行审计：https://blog.csdn.net/m0_46317063/article/details/131538307下载唯一的版本，且源码README中版本也对的上，但没想到nday全部复现失败，但在一番审计后找到了一个新的漏洞点：ssrf，且在前台可以被用户触发。失败的man与nday：失败的sql注入漏洞：（此漏洞原本可以在前台与后台进行sql注入攻击）分析文章中有两sql注入漏洞，是由于引入mybatis依赖导致，但在我下的版本中根据关键字符${找不到任何的注入点，经过与分析文章对比发现所有注入点全部由${改成了#{由此完成修复。失败的权限绕过：（此漏洞原本可以在admin登录后台通过/;/admin/test完成权限绕过）复现文章写到以request.getRequestURI()获取路径获取路径后再进入if判断：但我下载的版本进行了修复：将获取前端传输的路径方法改为了：getServletPath()从而完成修复。两种方法的不同具体分析可以参考如下文章：https://forum.butian.net/share/3730失败的越权漏洞：（此漏洞原本可以根据传入的id参数越权修改他人信息。）定位到具体代码：此处代码与复现 ...继续阅读 (31)

MySQL手工注入的基本步骤以及一些技巧的记录，当出现学习手工注入的时候，网上的文章参差不齐，导致很长一段时间对手工注入的理解一直处于一知半解的状态，特此记录本文，让小白们少走些弯路。本文只针对手工注入小白，大牛绕过轻喷。步骤注释或者闭合语句首先看下一个基本的SQL语句查询源码：$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";下面的步骤默认都是采用这种基本的SQL语句的，其他的注入方法换汤不换药，这里只是想整理下注入的步骤与关键性的语句。引号闭合语句id =1 ' and '1' ='1带入进源码中的SQL语句就是:SELECT * FROM users WHERE id='1 ' and '1' ='1' LIMIT 0,1注释后面语句常用的注释payloador 1=1--+'or 1=1--+"or 1=1--+)or 1=1--+')or 1=1--+") or 1=1--+"))or 1=1--+--+ 可以用#替换，url 提交过程中 Url 编码后的#为%23带入进源码中的SQL语句就是:SELECT * FROM users WHERE id=''or 1=1--+' LIMIT 0,1这样可以看出直接把后面的语句都给注释掉了，一般实战用注释比较多。and 验证当然这里 and 验证和 or 验证都可以，二者区 ...继续阅读 (36)

实战为主，近日2024年羊城杯出了一道Rust编写的题目，这里将会以此题目为例，演示Rust逆向该如何去做。题目名称：sedRust_happyVm题目内容：unhappy rust, happy vm关于Rust逆向，其实就是看汇编，考验选手的基础逆向能力。在汇编代码面前，任何干扰都会成为摆设。1、初步分析64为程序，使用IDA 64打开通过字符串定位分析点现在我们知道 inputflag的长度大于 0x15接下来在汇编层面下一个断点，输入假flag，去观察相关寄存器的值好像并没有什么内容继续单步 步过，直到发现下一个要注意的地方！字符串长度：0x28我们继续单步步过跟踪开辟空间的时候，说明快到真正函数处理过程了。2、分析加密流程2.1 base64分割模块这里简单将 3 字节变成4字节的操作，称之为 base64分割模块这里举个例子输入的："111"->二进制字符串 001100010011000100110001经过base64分割模块->001100 010011 000100 110001发现程序执行完后正好是这样的结果2.2 组合举个例子：假如分割之后的4字节为：0xC、0x13、0x4、0x31那么组合后的字符串rax = 0xCrcx = 0x1300edx = 0xB1130C182.3 VM处理模块发现func3 非常乱并且频繁调用sub_40A800()发现这 ...继续阅读 (36)

漏洞简介Hoverfly 是一个为开发人员和测试人员提供的轻量级服务虚拟化/API模拟/API模拟工具。其 /api/v2/simulation的 POST 处理程序允许用户从用户指定的文件内容中创建新的模拟视图。然而，这一功能可能被攻击者利用来读取 Hoverfly 服务器上的任意文件。尽管代码禁止指定绝对路径，但攻击者可以通过使用 ../段来逃离 hf.Cfg.ResponsesBodyFilesPath基本路径，从而访问任何任意文件。环境搭建我们还是利用 docker 来搭建环境https://hub.docker.com/r/spectolabs/hoverfly/tagsdockerpullspectolabs/hoverfly:v1.10.2dockerrun-d-p8888:8888-p8500:8500spectolabs/hoverfly:v1.10.2 ‍漏洞复现构造数据包POST/api/v2/simulationHTTP/1.1Host:127.0.0.1:8888Accept:application/json,text/plain,*/*User-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/85.0.4183.83Safari/537 ...继续阅读 (36)

前言AI新时代，提高了生产力且能帮助用户快速解答问题，现在用的比较多的是Openai、Claude，为了保证个人隐私数据，所以尝试本地（Mac M3）搭建Llama模型进行沟通。Gpt4all安装比较简单，根据 https://github.com/nomic-ai/gpt4all 下载客户端软件即可，打开是这样的：然后选择并下载模型文件，这里以Llama为例：下载模型文件完，选择模型文件则可以进行对话了：也可以利用基于 nomic-embed-text嵌入模型，把文档转成向量方便语义检索和匹配。选择文档所在的目录：然后对话中选择对应的文档即可：如果文件太大，需要在设置适当添加token大小，太大也不好，处理会慢且机器会卡死：gpt4all使用起来还是比较方便的，但是有几个缺点：有些能在huggingface.co搜到的模型在gpt4all上面搜不到、退出应用后聊天记录会消失。Ollama安装也很方便，下载 https://ollama.com/download/Ollama-darwin.zip ，然后运行如下命令即可启动Llama：ollama run llama3.2为了方便图形化使用，可以借助 https://github.com/open-webui/open-webui 完整图形化的使用，启动也很简单，直接使用官方仓库中的命令即可：docker run -d -p 30 ...继续阅读 (34)

JFinalCms是开源免费的JAVA企业网站开发建设管理系统，极速开发，动态添加字段，自定义标签，动态创建数据库表并crud数据，数据库备份、还原，动态添加站点(多站点功能)，一键生成模板代码。环境布置：IDEA打开项目，等待maven加载好。使用phpstudy集成的mysql5.7数据库即可，导入JFinalCMS.sql数据库。修改pom文件：使用local9.0.90TOMCAT，JDK环境1.8。运行TOMCAT，打开后台:http://localhost:8081/cms_war_exploded/反射xss：搜索/admin/login定位到代码块：由上可见，通过getPara获取账号密码后再通过render渲染到前端页面：再分析前端代码构造xss进行闭合：存储xss：前台存在留言功能，留言会被管理员审核：登录后台，点击扩展管理，留言信息：原理同上。Sql注入漏洞（1）：该CMS存在很多处sql注入漏洞，大多数都是以+直接拼接sql注入语句造成，可以全局搜索+号寻找注入点。找到以上代码块，可以直接看到title参数通过+直接拼接进入sql语句执行，于是我们继续找前端是调用的什么接口，并看看是否在接受参数时进行了过滤。搜索findPage参数：可以看到Contentcontroller层中存在title参数，点进去，定位到具体代码块：可以看到调用了getPara方法获 ...继续阅读 (55)

环境布置：到官网下载源码：https://github.com/yangzongzhuan/RuoYi采用phpstudy集成数据库，5.7版本。JDK1.8。IDEA打开项目，等待自动加载，修改application-druid.yml配置文件：数据库名，账号密码，连接数据库，修改application.yml中的端口，避免与80端口冲突。导入：quartz.sql与ry_20201214.sql文件。运行RuoYiApplication文件。访问后台：http://localhost:25001/loginSql注入漏洞：由于该项目采用了mybatis开发，常见的找sql注入的方法就是全局搜索${定位到可疑参数：根据id值selectRoleList全局搜索，从xml定位到dao层：右键单击，找该接口的使用，在使用处发现selectRoleList方法，全局搜索该方法，定位controller层查看接口与传参：如下，定位到controller层：分析代码：首先以@RequiresPermissions注解表明接口访问权限，再以@PostMapping注解表明接收接口，并且以@ResponseBody注解表明回将返回值写入http响应。此方法会接收一个SysRole类型的role值，并且将接受的role值以selectRoleList方法处理后返回给list，最后返回给http响 ...继续阅读 (38)

SQL注入漏洞复现：登陆后台，点击页面删除按钮，抓包：rid参数存在sql注入，放入sqlmap检测成功：代码分析：Ctrl+Shift+F检索路由：定位具体代码，为删除功能：发现deleteByIds调用了传参rid，跟进：发现进入Dao层，此处依旧调用的deleteByIds，于是找ICommonDao接口实现类：定位到该类，发现以ids参数接受原先用户传入的rid参数，并在new一个sql对象后，直接将ids参数进行拼接，并通过原生jdbc执行返回结果。模板注入内容管理-文件管理-themes-flatweb-about.html，选择编辑，插入payload：<#assignvalue="freemarker.template.utility.Execute"?new()>${value("calc.exe")}访问首页，点击关与我们：执行命令，弹出计算机：代码分析：配置文件存在freemark文件上传漏洞复现：这个CMS感觉上传文件路径不是很好找，所以上传时先找个合适的目录再点击上传文件。文件管理处点击admin进入目录：再点击文件上传：通过上传jsp马，不过需要以jspx或者jspf后缀绕过上传。代码分析：上传时抓包，根据路由全局搜索：定位到具体代码段：用filePath参数接受path参数与file参数拼接，再从filePth参数中取出文件名赋值给fname参数。跟进 ...继续阅读 (40)

前言本文还是用一道例题来讲解几种内核堆利用方法，内核堆利用手段比较多，可能会分三期左右写。进行内核堆利用前，可以先了解一下内核堆的基本概念，当然更好去找一些详细的内核堆的基础知识。概述Linux kernel 将内存分为 页（page）→区（zone）→节点（node） 三级结构，主要有两个内存管理器—— buddy system 与 slub allocator，前者负责以内存页为粒度管理所有可用的物理内存，后者则以slab分配器为基础向前者请求内存页并划分为多个较小的对象（object）以进行细粒度的内存管理。budy systembuddy system 以 page 为粒度管理着所有的物理内存，在每个 zone 结构体中都有一个 free_area 结构体数组，用以存储 buddy system 按照 order 管理的页面:分配：首先会将请求的内存大小向 2 的幂次方张内存页大小对齐，之后从对应的下标取出连续内存页。若对应下标链表为空，则会从下一个 order 中取出内存页，一分为二，装载到当前下标对应链表中，之后再返还给上层调用，若下一个 order 也为空则会继续向更高的 order 进行该请求过程。释放：将对应的连续内存页释放到对应的链表上。检索是否有可以合并的内存页，若有，则进行合成，放入更高 order 的链表中。slub allocatorslub_alloc ...继续阅读 (46)

Python代码转换为C代码的时候，将会大大增加框架代码量。基础教程 | Cython 官方文档中文版(gitbooks.io)1、正向py->c先有正向，再有逆向pip install cython写一个简单的pyx文件.pyx 文件是由 Cython 编程语言 "编写" 而成的 Python 扩展模块源代码文件print("hello")写一个 setup.py文件from distutils.core import setupfrom Cython.Build import cythonizesetup( ext_modules = cythonize("test.pyx"))使用命令开始编译python setup.py build_ext --inplace生成如下文件打开test.c发现有几千行代码单纯的一行python代码，生成为c代码就几千行调用so文件2、逆向分析2.1 字符串类型_Pyx_CreateStringTabAndInitStrings全局字符串赋值一般在_Pyx_CreateStringTabAndInitStrings中，该函数中使用的字符串定义数组形如：typedef struct { PyObject **p; const char *s; const Py_ssize_t n; const char* encodi ...继续阅读 (35)

简述：oasys是一个OA办公自动化系统，使用Maven进行项目管理，基于springboot框架开发的项目，mysql底层数据库，前端采用freemarker模板引擎，Bootstrap作为前端UI框架，集成了jpa、mybatis等框架。下载地址：https://github.com/misstt123/oasys此项目部署极为简单，我使用的是phpstudy的5.7版本mysql，修改application.properties配置，在IDEA导入oasys.sql数据后，就可以直接运行并访问后台地址：http://localhost:8088/logins注意别端口冲突CSRF：登录后台，在用户面板处，修改便签功能存在csrf漏洞。点击修改，抓包，点击生成CSRF的Poc：将生成Poc的URL复制到浏览器，访问：访问后，发现已经按照Poc上内容进行了修改：SQL注入：代码分析：在pom文件发现采用mybatis依赖：全局搜索${找到outtype参数，定位到xml文件：符合sql注入条件，于是开始找对应接口，参数，全局搜索allDirector字段：定位到接口层，于是找接口实现类，发现无，于是全局搜索该接口名称，找哪里引用了此接口：发现AddController层引用该接口，并通过mapper进行数据库操作，在该controller层搜索原接口方法，定位到具体代码块：可以看 ...继续阅读 (32)

前言本文我们通过我们的老朋友heap_bof来讲解Linux kernel中off-by-null的利用手法。在通过讲解另一道相对来说比较困难的kernel off-by-null + docker escape来深入了解这种漏洞的利用手法。（没了解过docker逃逸的朋友也可以看懂，毕竟有了root权限后，docker逃逸就变的相对简单了）。off by null我们还是使用上一篇的例题heap_bof来讲解这种利用手法，现在我们假设这道题没有提供free，并且只有单字节溢出，并且溢出的单字节只能是NULL，那么我们应该怎麼去利用呢？利用思路boot.sh#!/bin/bashqemu-system-x86_64 \ -initrdrootfs.img \ -kernelbzImage \ -m1G \ -append'console=ttyS0 root=/dev/ram oops=panic panic=1 quiet nokaslr'\ -monitor/dev/null \ -s\ -cpukvm64 \ -smpcores=1,threads=2\ --nographicpoll系统调用/** @fds: pollfd类型的一个数组* @nfds: 前面的参数fds中条目的个数* @timeout: 事件发生的毫秒数*/intpoll(structpollf ...继续阅读 (68)

简介：2019年9月12日，AdaptiveMobile Security公布了一种针对SIM卡S@TBrowser的远程攻击方式：Simjacker。攻击者使用普通手机发送特殊构造的短信即可远程定位目标，危害较大。sim卡的使用在手机上的使用非常普遍，所以一旦SIM卡上出现什么问题就会造成非常大的影响。在19年的报告纰漏中，在全球估算共有10亿设备的sim卡容易遭受SIM Jacker攻击，这篇也是比较浅显的对整个攻击进行分析。1.一点点背景在了解整个攻击前需要对整体的一个框架有所了解，现在我们就先来了解一下短信是如何去发送的。GSM的中文就是全球移动通信系统，是由欧洲电信标准组织ETSI 制定的一种数字制式的蜂窝移动通信系统。当初开发 GSM目的是让全球各地可以共同使用一个移动电话网络标准，让用户使用一部手机就能行遍全球，因此GSM 还有一个很接地气的俗称------全球通。GSM与它以前的标准相比较而言最大的不同是它的信令和语音信道都是数字式的，因此GSM 被看作是第二代（2G）移动电话系统。 短信（Short MessageService，SMS）是基于 GSM（全球移动通信系统）网络标准的通信服务之一，SMS允许通过 GSM 网络发送和接收文本消息。现在来看看整个短信的发送流程。这里面中最主要涉及到了三个很重要的主体：发送者，短信中心，接收者。也就是我们的短信必须经过短信 ...继续阅读 (83)

前言本文我们通过我们的老朋友heap_bof来讲解Linux kernel中任意地址申请的其中一种比赛比较常用的利用手法modprobe_path（虽然在高版本内核已经不可用了但ctf比赛还是比较常用的）。再通过两道近期比赛的赛题来讲解。Arbitrary Address Allocation利用思路通过 uaf 修改 object 的 free list 指针实现任意地址分配。与 glibc 不同的是，内核的 slub 堆管理器缺少检查，因此对要分配的目标地址要求不高，不过有一点需要注意：当我们分配到目标地址时会把目标地址前 8 字节的数据会被写入 freelist，而这通常并非一个有效的地址，从而导致 kernel panic，因此在任意地址分配时最好确保目标 object 的 free list 字段为 NULL 。当能够任意地址分配的时候，与 glibc 改 hook 类似，在内核中通常修改的是 modprobe_path 。modprobe_path 是内核中的一个变量，其值为 /sbin/modprobe ，因此对于缺少符号的内核文件可以通过搜索 /sbin/modprobe 字符串的方式定位这个变量。当我们尝试去执行（execve）一个非法的文件（file magic not found），内核会经历如下调用链：entry_SYSCALL_64() sys_exe ...继续阅读 (29)

前言当域内管理员登录过攻击者可控的域内普通机器运维或者排查结束后，退出3389时没有退出账号而是直接关掉了远程桌面，那么会产生哪些风险呢？有些读者第一个想到的肯定就是抓密码，但是如果抓不到明文密码又或者无法pth呢？通过计划任务完成域内提权首先模拟域管登录了攻击者可控的普通域内机器并且关掉了3389远程桌面：然后攻击者可以通过如下方式进行域内提权，已添加域内用户为例，流程为新建计划任务-选择域管用户-执行命令：选择搜索用户位置为域内：选择登录进来的域管用户：设置启动的命令：然后运行计划任务，可以看到成功添加了域内用户：有些读者可能会问了，那是不是选择任意域内用户都行，实际上是不行的，会提示用户未登录：原理分析原理实际上也很简单，就是获取进程的token，然后利用CreateProcessAsUser api完成模拟用户token进行进程创建即可。下面提供完整代码,如下代码核心是利用WTSQueryUserToken获取rdp session id token，然后使用CreateProcessAsUser完成进程的创建：using System;using System.Runtime.InteropServices;using System.ComponentModel;using System.Security.Principal;class Program{ [DllIm ...继续阅读 (58)

一种绕过403的新技术，跟大家分享一下。研究HTTP协议已经有一段时间了。发现HTTP协议的1.0版本可以绕过403。于是开始对lyncdiscover.microsoft.com域做FUZZ，并且发现了几个403Forbidden的文件。（访问fsip.svc为403）在经过尝试后，得出一个结论：当清除所有header头的值时，服务器会对客户端作出响应。结论1：将HTTP协议版本更改为1.0，而且不要在标题中设置任何值。结论2：如果服务器和任何其他安全机制没有以正确的方式配置，不把Host放在header头内时，服务器将会自己把目标地址放在header中，这会导致服务器将我们的请求认做本地请求。（访问fsip.svc为200）用同样的方式尝试了另一个文件，并且再次成功bypass。（403）（200）还要补充一点：你也可以用同样的方式去绕过CDN获取服务器IP。例如：如你所见，在Location中，它在返回中显示了域本身的地址。再次使用相同的方法并发送请求时，显示了服务器的主地址。以上技术已经被添加到burp工具当中：https://portswigger.net/bappstore/444407b96d9c4de0adb7aed89e826122------------------------------以上这种思路虽然已经被添加到了burp插件，但我们依旧需要去学习了解插件运 ...继续阅读 (27)

点击星标，即时接收最新推文--文末赠书--近年来，网络安全成为国家安全和经济社会发展的关键领域，国内涌现出很多网络安全培训机构，但好教材凤毛麟角。2020年1月，《内网安全攻防：渗透测试实战指南》一经出版，就引爆了国内网络安全领域，填补了国内内网安全图书的空白，其内容迅速被各大培训机构借鉴和引用。在此之前，国内几乎没有内网渗透测试与安全防御方面的图书，所以，《内网安全攻防：渗透测试实战指南》也是真正意义上国内第一本内网安全方面的专著。后来，这本书也出版了繁体中文版。随着网络安全技术研究方向的变化，内网渗透测试中的红队攻击模拟已经成为讨论的热点。为什么很多大企业在拥有完善的安全软件开发流程、安全管理流程、应急响应团队及大量昂贵的安全防护平台和保护措施的情况下还是会被入侵？原因在于，以往的常规渗透测试输出的漏洞列表和报告无法解决企业的网络安全防护问题。而红队攻击模拟的是真实的攻击场景，在攻击过程中，红队成员需要使用社会工程学等手段，潜伏几周甚至几个月，每次攻击的流程和方法会随目标的变化而变化，其目标不仅是发现漏洞，还包括评判企业整体安全流程是否有缺陷，从而找出问题并最终提高企业的安全防护能力。红队攻击是如此重要，内网渗透测试正是红队攻击中不可或缺的一环。面对千差万别的内网环境和网络安全防护平台，红队成员需要不断更新自己的知识体系和技能。在《内网安全攻防：红队之路》一书中，笔者根据自己的 ...继续阅读 (116)