免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。前言关于mimikatz，之前有做过一些免杀尝试，但是效果不好，仅仅只能短暂躲避360的查杀，这几天看了很多mimikatz免杀的文章有了一些新的想法，于是再次尝试mimikatz免杀。整个免杀的过程比较曲折且艰难，先是尝试源码免杀，发现源码免杀比较艰难（mimikatz是一个个非常复杂的项目，想要实现源码免杀，需要不断的定位特征码，然后消除特征，我比较菜，无法通过定位到的特征找到对应的源代码），简易的源码免杀已无法对杀软产生太大的作用，于是做了一些简单的处理后放弃了源码免杀。之前有了解github上有项目可以把exe转换成可执行的shellcode，于是想着尝试利用这个项目把mimikatz转换成shellcode，通过shellcode加载器去执行，这样可能会绕过杀软检测，最后也是实现了不错的免杀效果。免杀过程首先进行源码免杀，虽说免杀效果不好，但是处理过的总比不做处理要好一点。下载mimikatz源码，项目地址https://github.com/gentilkiwi/mimikatz,运行mimikatz.sln，需要对vs进行一些修改，右键mimikatz项目名称，选择平台工具集，我的vs是2019，选择2019即可接着需要安装MFC，在开始界面选择visual

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------本文为白名单授权转发近期，火绒安全团队发现黑客正通过MSSQL暴破进行大规模网络攻击。一旦黑客攻击成功，其不仅可以远控用户电脑进行任意操作，还可以下发

喜欢就点个赞吧免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------0x00

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------本文为白名单授权转发近期，火绒威胁情报系统监测到一种Rootkit病毒正通过“天龙八部”游戏私服进行传播。该病毒被激活后，会将用户重定向到恶意网站，并允许黑客进行信息收集和数据篡改等恶意活动。除此之外，该病毒还采用了多种对抗手段，对用户构成较大的安全威胁。目前，火绒安全产品可对上述病毒进行拦截查杀，请用户及时更新病毒库以进行防御。病毒查杀图该病毒采用字符串加密和删除杀毒软件驱动等多种对抗手段，对抗杀毒软件的查杀，并通过URL劫持、DNS劫持和IP重定向等方式来劫持用户的流量。当用户访问与“天龙八部”相关的网页时，就会被重定向到指定的私服网站。该病毒执行流程，如下图所示：病毒执行流程图火绒工程师分析发现，《Rootkit病毒利用“天龙八部”私服传播，可劫持网页》报告中的Rootkit病毒会禁止此次Rootkit病毒的驱动签名，可见黑客团伙非常活跃，不排除后续持续作恶的可能，请广大用户时刻保持警惕。一样本分析初始化阶段携带病毒的天龙八部私服启动后，会释放并启动该Rootkit病毒，当时应用火绒剑监控到的行为，如下图所示：火绒剑监控到的行为通过查看该Rootkit病毒的驱动签名，在火绒上一篇报告《Rootkit病毒利用“天龙八部”私服传播，可劫持网页》中的Rootkit病毒会禁止驱动签名为：“Fuqing

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------一次有趣的RCEbypass01测试阶段

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------0x01

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------最近没有更新，因为有点忙，加上有些东西需要花费时间去整理、总结，也有部分是因为人的惰性吧。最近跟朋友讨论了很多注入点的一些情况，对注入又有了一个更深层次的了解。简单说一下三个注入，后面还有案例再分享。0x01

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------评论区CSRF1入手点为某资产个人中心修改头像处：下面这个数据包发现头像参数url可控：在url前加上登出payload：xxxxx.xx.com/server/api/user/logout#然后使用A账号访问B账号评论过的文章：可以看到已经加载了登出链接。评论区CSRF2入手点为评论区：登出payload：可以看到已经插入进去了，刷新一下页面：可以看到已经加载了登出链接。不可错过的往期推荐哦从0到1深入浅出学习SQL注入记两次失败的域渗透实战之巧用验证码校验接口记一次细得不行的账户权限提升U盘植马之基于arduino的badusb实现及思考APT是如何杜绝软件包被篡改的利用sqlserver

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------案例一

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------Part1

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------一.前言基本情况这是之前挖到的两个0day，都拿了CNVD的证书，厂商已修复，大概说下整体思路和挖掘过程挖掘过程绕过登陆（无效）-发现接口-JS审计-爆破接口-未授权访问-SQL注入二.打点收集1.失败的绕过登陆在进行信息收集的时候，发现该系统登陆失败与成功返回的状态码，登陆成功为1000、登陆失败为1100在登陆的时候进行抓包，修改返回包的状态码为1000，此时提示登陆成功，页面跳转到后台管理首页，但是页面是空白后边才发现直接吧login.html改成index.html也可以进入空白后台。。所以是失败的绕过登陆刷新网页，F12看请求，查看有无接口存在：尝试访问该接口，得到返回成功的一条信息该接口返回的是后台系统的名称等信息，无其它敏感信息，但是接口的url展示出来的路径与进入后台的路径并不一样未授权的后台路径：http://xxxxx.com/a-b-c/xxxx/xxx/index.html未授权的接口路径：http://xxxxx.com/c-d-e/xxxxx/xxxxxx/xxxxxx先将路径记下来，待会可能会用到，信息收集就是要面面俱到2.JS审计后台查看网站源代码，直接进行JS审计第一个接口暴漏：就是刚刚进入后台刷新界面得到的接口路径，注意上边提到了与未授权的后台初始路径不一样，这就是说源代码中暴漏的所有接口都可以尝试使用接口暴漏的路径进行拼接访问。第二个接口暴漏：接口使用get传递，后边拼接某个参数id值使用刚刚的路径进行拼接访问：拼接的某个参数id值我赋值为0测试但是提示404，说明这个id获取不到任何数据，一种情况是0不存在，对0设置变量进行爆破，第二种情况是0参数后边可能还需要跟参数（后边也验证了这个想法，确实需要跟参数才能正确获取接口数据）第三个接口暴漏：提示接口url后边加当前用户名，继续拼接url测试访问假设当前用户名是admin，那么在暴漏的接口后边加/admin访问，提示请求成功，但是并未返回任何有用的信息，这个时候猜测可能admin不存在，没有返回任何信息而已，直接对当前用户进行爆破成功爆破出test用户并返回部分信息，但是并无特别敏感信息，继续找接口第四个接口暴漏：看接口的名称像是获取系统管理设置的接口直接访问该接口获取到了四五个路径以及一个类似管理员的账号twadmin三.未授权访问x13.柳暗花明刚刚爆破出一个test用户，直接把twadmin替换test获取管理员信息-返回管理员登陆系统的时间这个时候可以针对管理员密码进行爆破，既然有那么多接口，不如继续挖未授权访问，其实是因为CNVD不收web通用型弱口令（吼吼吼吼吼吼吼吼）。。。。。刚刚还有几个html页面没有访问，直接访问看看能不能发现别的接口，访问页面报错，很正常，空壳子，又没登陆，直接查看源代码找接口吧第五个接口暴漏第五个接口的url和第二个接口的url一模一样，只是后边加了一个ssxtbm参数，验证了刚刚后边加参数才能正确获取接口信息的猜想dlyhid后边不加ssxtbm参数提示404Dlyhid后边加ssxtbm参数提示请求成功，只是没有返回任何数据说明dlyhid参数是存在的，而ssxtbm参数是不存在的，所以没有返回任何信息，对ssxtbm参数进行爆破！！！发现该接口是获取后台管理系统菜单信息的接口，获取到的都是菜单信息，也不算特别敏感内容此时获取菜单接口的url是：http://xxxxx/asas/saasas/asas/0/50000把0改成1试一下，同时改变后边的参数http://xxxxx/asas/saasas/asas/1/50000http://xxxxx/asas/saasas/asas/1/30000成功返回资源地址尝试对资源地址进行访问，直接未授权访问，可以进行删除、查询、添加等操作尝试访问别的资源接口这么多……扎布夺得了4.批量验证直接POST请求以及GET请求未授权接口获取信息即可吼吼吼5.end到这里你以为结束了？？？怎么可能！！！未授权到手了，证书有了，但是一个不行啊，太少了，都未授权了，为什么不试试别的？？？不多搞一下对不起熬那么晚的夜啊四.SQL注入x16.出货*2刚刚测试未授权接口的时候，有个查询功能？？query？直接get访问提示get请求不允许，那就post：content-type又不对众多接口得知，需要改content-type为json格式配合接口请求的数据直接用bp发送：请求成功！！！修改null为1’，继续发送，测试是否存在SQL注入意思是让我们字符型加引号就好了SQL注入一枚，证书*2不可错过的往期推荐哦从0到1深入浅出学习SQL注入记一次细得不行的账户权限提升三个bypass案例分享记一次Oracle注入漏洞提权的艰难过程U盘植马之基于arduino的badusb实现及思考APT是如何杜绝软件包被篡改的利用sqlserver

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------0x00

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------首发：土司论坛案例1

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！Part1

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------未授权接口目标站点：https://www.xxx.com/#/auth/401即使有账号也是无法登录的，需要管理员给予授权才行。在反馈功能处没有挖到xss与任意文件上传漏洞，但是可以收集到大量路径、api接口：复制扔到burpsuite枚举即可。第一遍：筛选出

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------0x01

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------本文约1126字，阅读约需3分钟。前言《漏洞挖掘系列》将作为一个期刊持续更新，我们会将项目中所遇到的觉得有意思的漏洞以及，SRC漏洞挖掘的一些奇技淫巧分享出来。挖某SRC的骚操作前段时间因为某SRC

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------这里要满足两个要求：通用和漏洞。按照CNVD的通用型漏洞提交要求，我们必须找到3个及以上的互联网案例。如果是黑盒测试的话，为了审核更容易通过，建议提交10个互联网案例。另一个要求：漏洞。漏洞必须要有危害，至少是个中危，如：弱口令、XSS、SQL注入、文件上传等等。OK，道理都懂了，马上来实战一下吧！先不要紧张，先找个目标，用我多年的fofa使用经验，我啪一下就站起来了，很快啊！在屏幕上打出title="平台"。随便翻一翻，很快啊，就翻到个神似我们目标的站。看名称像是个通用，这时可以找找其他类似的系统，可以利用标题、图标、js特征文件搜索，我这里采用ico图标hash进行搜索。点开几个看了看，发现是个通用的系统，但从哪里找漏洞呢？这就需要具备一定的黑盒测试能力了，首先在登录页面找找可利用的点，如SQL注入、Log4j、Fastjson反序列化等。登录框之殇---找不到漏洞怎么办？这就需要进后台转转了，大多情况下，通用的系统都会有些默认口令，方便管理员第一次登录系统，而很多管理员没有很强的安全意识，就没有更改默认口令，就导致弱口令漏洞的发生。我们运气也很好，找到个弱口令admin/qaz123进入系统，这算是第一个漏洞：弱口令漏洞。后台也有这个系统的厂商信息，方便我们提交漏洞时填写厂商信息。好不容易进后台了，可不能不干事儿啊，找找可以利用的点。就用平常的web渗透测试方法，这测测那测测，陆续发现了三个漏洞：1.登录绕过漏洞登录后台后，抓一个数据包，发现cookie中存在多个字段。经过测试，删除掉ASP.NET_SessionId后仍然可以正常操作。继续测试发现，只需利用HackBar携带cookie：#_xxx_xxxID=admin访问【IP】/xxx/xxx/Default.aspx#即可绕过登录。2.SQL注入漏洞在平台管理>用户管理处，抓包测试发现存在SQL注入漏洞：3.文件上传在上传主题处，刚开始脑子里浮现了各种绕过的方法，想都试试，结果此处没有什么限制，通过抓包将上传的文件名修改成aspx后缀，成功上传并解析。后面找10个站复现一下写个报告提交cnvd平台，等了一个月，审核就通过了，继续等待我的证书中...再说下我的另一个通用漏洞的挖掘吧，水一下文章长度（不是）。这天外面还下着雨，这雨声滴滴答答，三天三夜...挖洞中发现某个运营商的一个应用的登录接口存在较新的fastjson反序列化漏洞，但是不得不说WAF有点强。不过这Fastjson反序列化好歹也可以命令执行呀，这不得高低整个证书，也为了多搞点分，我尝试利用静态文件搜索了下类似的系统，不搜不要紧，一搜一大堆。分分钟手起刀落，一个一个5.58分拿到手，后面也交了通用，还是继续等待我的证书中...总结：在日常挖洞中可以找找类似的系统，刷一波通用漏洞，挖着挖着就拿个通用型漏洞证书岂不美哉。不可错过的往期推荐哦XSS绕过防护盲打某SRC官网后台记一次限制环境下的域渗透实战揭秘虚假红包套路|对微信裂变式广告的一次分析U盘植马之基于arduino的badusb实现及思考如何通过一个工号打入内网大话软件供应链攻击内网隧道技术，你知道几个？APT是如何杜绝软件包被篡改的SRC挖掘葵花宝典点击下方名片，关注我们觉得内容不错，就点下“赞”和“在看”如果不想错过新的内容推送可以设为星标

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------这次是对某个单位的红队评估项目，时间比较紧迫，主打一个快准狠。一、接触

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------起因

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------目标：某大型国企；要求：提供资产表，只可以攻击表中资产，关键系统不得攻击；手段：不允许社工钓鱼；这是这次要分享的案例实施时客户提的要求，那么前期的资产收集工作也就可以适当的减少，只去关注资产表中的系统即可对表中资产进行探测，这里推荐Ehole，会对其中的重点资产进行标注柿子捡软的捏，先搞shiro（虽然不抱啥希望）好吧，有钥无链，这种好事终究是轮不到我头上，随后再对列表中的用友和致远进行尝试，均没有历史漏洞可以进行RCE，同时发现关键系统都有安全设备的拦截。软柿子没得捏，那就老老实实做测试吧，接下来就看到了这些画面但是，一轮过去却没有一个系统猜出账户，所以准备另辟蹊径，看看同IP的旁站，对IP段进行端口扫描，发现一个会议管理系统该系统在登陆界面出现了管理员的姓名及工号，随手一试工号+123456，啪的一下！就突然打开了新世界的大门嘿！报备后修改密码为复杂密码成功登录，但是很可惜，系统只有预约会议的功能，无法进行其他深入利用虽然会议系统无法深入，但是这个账号密码却是可以进行利用。首先，知道了目标单位工号规则为六位数，同时此人作为该系统的管理员，未修改该系统的密码，猜测其他系统极有可能也是弱口令，可利用该工号及密码在其他系统进行撞库通过对其他系统的撞库，在一处管控平台利用该工号+123456成功登录看着这个名字挺熟悉，回到会议系统查看，发现该系统可能为正在开发的测试系统，在会议安排中还有着该系统的开发计划虽然系统可能还在开发阶段，但是里面却是干货满满，通过该系统获取到了集团所有员工对应的工号、姓名及手机号共计数千条再看一眼这个系统的管理员账号，只有这14个账号可以进行登录，真是走了狗屎运了，还就在几千工号里碰上了这个弱口令，不然去跑字典，估计跑到1000我就Ctrl+C了随后，在这个系统经过测试，发现系统上传功能白名单限制，无法绕过，但是有着全员的信息，那么对其它系统下手就容易多了。小兄弟拿着所有人的信息去各个系统进行弱口令爆破，那可真是硕果累累啊接下来便是平平无奇的收网环节，在一处弱口令登录的crm系统中翻来翻去，找到一处编辑器任意文件上传这处任意文件上传的发现也挺坎坷，在系统中发现，它所使用的所有接口都是白名单，包括业务功能中的附件上传、个人的头像上传都是使用统一接口但是通过点点点，发现在个人主页处存在一个论坛功能，使用的编辑器存在任意文件上传上传jsp代码可成功解析随后便是快乐的内网横向环节喽

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------一.

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------梦境介绍

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------引言曾经有这么一段传说，在某次攻防演练时，某攻击队准备了一口袋U盘前往了目标单位的工作园区，在园区围墙外停下了脚步，然后开始不停扔U盘进去，最后发现有大量的“猎奇者”上线。U盘植马是常见的近源渗透方式之一，本文主要讲解一种基于arduino的badusb植入技术，即插即用且不会被杀毒软件检测出来，希望大家在通过U盘传递各类“学习资料”时一定要多留一个心眼。badusb技术简介&相似技术对比◀badusb技术BadUSB是利用伪造HID设备执行攻击载荷的一种攻击方式。HID(Human

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------信息收集在一次授权渗透测试项目中，访问目标站点，找到其后台登录页面,对源码进行分析，确定是某cms对网站进行分析，在数据包中发现_rememberMe等字段，惊喜！惊喜！惊喜！幸运女神我爱你——存在shiro框架。虽然有了shiro但是不能骄傲，再去找找其他的洞，毕竟，洞这东西得靠自己找才行。然后

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------0x01

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------0x00

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------一.

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------一次攻防演练，发现目标存在一个用友的web2019年的，应该有戏，尝试exp一打没想到这么顺利，看来拿到权限也是分分钟的事情，进入webshell顺手执行一个whoami仔细看这个错误，whoami后面带有两个双引号，因为java这个喝着咖啡就能写出bug的语言我也不太懂，猜想应该是模板渲染的时候出现的问题，尝试把模板后面的双引号去掉，执行成功既然已经是administrator权限，连提权都不用，我准备开开心心地上传frp反弹回来搞内网了，如果没有意外的话就应该出意外了，免杀的frp显示上传成功，但是刷新后不存在心想是不是因为免杀的问题，上传一个calc结果还是没有发现上传的这个目录修改时间有所改变，可以判定应该是被AV删除了正常的calc.exe也会被删除，大概也能猜到是什么AV，tasklist

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------无人机mavlink中间人攻击目录○

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------在一次测试项目中碰到一个站点很奇怪，每次请求的时候在url后面都会跟一个长长的加密字符串，而且请求都是一次性的（或者很短的时效性），不能通过burp的Repeater进行重发，效果如下图所示。删除加密参数后重发，出现了瑞数WAF比较常见的特征，即响应码

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------0x00

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------0x01

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------使用场景：当我们在测试中拿到目标数据库sa权限的或者dba权限的时候需要进行权限维持；SQL注入点存在堆叠查询也可同样进行。必要条件：数据库msdb，架构dbo的EXECUTE权限。一、检查是否有权限SELECT

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------NPS-

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------Part1前言在近几年的HW比赛、红队项目中，攻击队在外围打点时，越来越依赖于对Java站点的漏洞挖掘。Java站点的主流框架大致就是两个：Struts2系列（包括Webwork等）及Spring系列（包括Spring

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------1.

工具篇俗话说“工欲善其事,必先利其器”。在开始正式挖洞之前肯定是要把自己的武器库充实起来。1.BURP插件HaE：https://github.com/gh0stkey/HaEHaE是基于

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------薅看不见的羊毛

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------背景

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------Part1

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------“背景某天下午紧急接到一个溯源的活儿：客户收到一封可疑邮件，要求判断是否为钓鱼邮件，如果是钓鱼邮件，则要求尽可能找到人员信息。由于保密要求，所以部分信息必须厚码，请各位师傅见谅。邮件内容如下：“溯源

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------Part1

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------这是在红队行动中遇到的一个网站。网站前端对登录密码进行了加密，由于加密方式不是常见的MD5，无法直接使用Burp的普通爆破模式进行破解。下面是这个网站的渗透过程，与师傅们分享一下。找到目标后台首先用burp进行一下抓包测试，看看有没有什么突破点，登录口令随便输一个123456发现密码在输入后被加密，返回前端页面，发现密码变成了长串用F5刷新一下页面看看，可以看到输入密码后加载了一个MD5的js文件由此我们猜测该密码加密方式为MD5，我们将密码拿去进行MD5解密,发现解密不成功有点奇怪，去看下登录代码，定位找到登录键代码，可以看到CheckLogin函数，搜索一下登陆代码的前两段代码就是对用户的输入内容做一个校验，我们不用去看，重要的信息在第三段，我们需要注意的有两点：第一点是getTime函数的作用，getTime函数作用为检查完password不为空后被调用，生成当前时间戳，然后赋值给randid函数第二点是这段代码的加密方法，先获取Password的值，然后使用

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把听风安全设为星标，否则可能就看不到啦！----------------------------------------------------------------------Part1前言在日常的蓝队溯源工作、感染加密勒索病毒后的应急排查工作中，查找攻击者遗留的webshell是一种常规手段，一旦webshell文件被找到后，可以反推出很多信息，最重要的是能确定攻击者攻击时间，以此攻击时间为轴心开展溯源工作会事半功倍。但攻击者经常会把webshell文件删除，并且清理掉所有的访问日志，这种情况下应该怎么溯源确定上传webshell的攻击时间呢？其实对于jsp型或jspx型webshell来说，还是有办法的，因为java的webshell在编译过程中会生成很多临时文件，一直留存在服务器中。Part2技术研究过程首先本地搭建一个tomcat，模拟攻击者行为，上传一个jsp的webshell接下来模拟攻击者行为，把log111.jsp文件删除掉，那么怎么找到这个shell遗留的蛛丝马迹呢？查看tomcat中间件的\work\Catalina\localhost_\org\apache\jsp