免责声明：由于传播、利用本文所发布的而造成的任何直接或者间接的后果及损失，均由使用者本人承担 前言起因是攻击者访问到了部署在外网的蜜罐，被捕获到了百度信息和京东id，从这些信息切入，成功溯源到了红队攻击人员 周期差不多用了两天，感叹天时地利人和缺一不可 根据溯源拿到的信息加了联系方式后，当事人也是比较惊讶：：：以后work要单独用一个浏览器 Start由于特殊期间发布，以及身份，保护你我，必须重度马赛克以及脱敏 发现​ 幻阵告警攻击者访问事件 ​ 首次时间为2025-07-14 22:04:10 ​ 来自xx省xx市 攻击IP 为59.xx.3.xx 的攻击者，对蜜罐部署业务“xxx信息查询”进行了访问 ​ 最后一次访问停止在2025-07-14 22:06:26 ​ 因为这蜜罐就一静态页面无任何交互，攻击者只驻留了两分钟，后面计划加强一下交互能力 溯源攻击行为溯源​ 根据他的IP反查，移动基站直接放弃 ​ 在其他安全设备上查了一下他的行为，看了看流量包中的攻击手法，也没有发现有效线索，放弃 （因为之前有遇到过一些人自己写的工具，会携带一些有辨识度的特定字符，在github中 ...

免责声明：由于传播、利用本文所发布的而造成的任何直接或者间接的后果及损失，均由使用者本人承担 前言最近来北京出差搞攻击队 拿到目标的首个 shell 后准备搞内网，遇上edr拼尽全力无法战胜最终变成深信服大人的形状 “不知道从哪雇的点鼠标的猴子，为了写这篇文章，我甚至从走了一遍流程来截图，依然能顺利getshell “ Start权限获取：从未授权到Getshell​ 也是伴随着不少时间的信息搜集找到了这个站 ​ 突破口是在f12从js下手 ​ ​ 大概简单看了一眼，app.js价值比较大，很多逻辑的实现都写在其中 ​ 然后把它下载了下来，用之前写的js匹配工具匹配出了一些路径 ​ ​ 把路径放到字典里去burp探测了一手，看看有无未授权之类的 工具基于正则去匹配，噪声肯定是很大的，需要考虑到一些前置路由和变量，然后又根据这些东西去搜具体代码实现 所以这些404也没有去追究 最终根据名字，留意到了/ajaxUploadFile 果然有一个Xa变量作为了前置路径 发现了Xa值为/1api 把/1api拼接到/ajaxUploadFile前面去访问 提示需要验证码，没 ...

基于Chrome扩展插件的后门技术实现免责声明：由于传播、利用本文所发布的而造成的任何直接或者间接的后果及损失，均由使用者本人承担 前言​ 起因是最近对钓鱼比较感兴趣，恰好又关注到了将军手下黑客盗ETH这件事，一股邪念涌出但是我压制回去了。想到自己也搞一个钓鱼，留着打攻防的时候看看能不能用上，思来想去夜不能寐想到了一个场景： ​ 通过钓鱼，或者漏洞利用，拿下了一台员工的机器，根据Chrome当前的市场占比以及实际情况，如果有WEB业务需要使用，几乎百分之99的人都会有。比如说OA，VPN，堡垒机，各种安全设备的面板等等等，它百分之99用的是Chrome浏览器。这样我搞一个恶意的插件加载进去，实现键盘记录或者搜集一些信息搞点钓鱼什么的，之后它就诞生了，我给他取名为：fkc(FuckChrome) ​ Github: https://github.com/Seven1an/fkc START​ 原理： ​ 1.通过终端启动chrome并加载恶意插件 ​ 2.插件将用户的请求以及按键情况，发送到监听服务 ​ 3.监听的服务再将发来的内容写入到文件中保存 演示​ 使用cs进行演示 ...

WIZ K8S LAN Party Writeup前言​ Kubernetes CTF靶场，记录一下解题过程 ​ Link: https://www.k8slanparty.com/ ​ “Welcome to the Kubernetes LAN Party! A CTF designed to challenge your Kubernetes hacking skills through a series of critical network vulnerabilities and misconfigurations. Challenge yourself, boost your skills, and stay ahead in the cloud security game.” START1.RECONDescription You have shell access to compromised a Kubernetes pod at the bottom of this page, and your next objective is to compromise o ...

公式化Java代码审计-SpringBoot免责声明：本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关。 注：全文约7900字 前言“Spring Boot在Java开发中的占比非常高，特别是在微服务、云原生和企业级应用中，已经成为主流选择。” 所以，在渗透测试过程中，笔者对SpringBoot框架接触也是非常的多，这主要取决于遇到过大量的Swagger、Actuator的页面，后面我大概花费了一年的时间，去学习java开发（JavaSE -> JavaWeb -> SSM(Spring SpringMVC Mybatis) -> SpringBoot）来使渗透测试以及代码审计过程中更有发现 奈何笔者愚笨，对开发仍然一知半解，但好在可以简单看懂了，也对功能点的测试有了新的思考 经过我一些日子的学习和实践，总结出了我针对SpringBoot框架代码审计的流程 Start为什么要叫公式化？ 当我拿到一个SpringBoot框架的项目，会把审计过程分为三个阶段，文章后续也以这三个阶段为目录拓展 我的代码 ...

CobaltStrike-一种特殊的不出网上线方式免责声明：由于传播、利用本文所发布的而造成的任何直接或者间接的后果及损失，均由使用者本人承担 前言接上文 SpringBoot场景下不出网-内存中的正向代理 https://seven1an.github.io/2024/07/29/Springboot%E5%9C%BA%E6%99%AF%E4%B8%8B%E4%B8%8D%E5%87%BA%E7%BD%91-%E5%86%85%E5%AD%98%E4%B8%AD%E7%9A%84%E6%AD%A3%E5%90%91%E4%BB%A3%E7%90%86/ 这种场景出现在，当我拿下了一台内网机器，这台机器不出网 我之所以可以拿下他，是因为他的web服务通过dmz区的反向代理对外开放，也就是说我通过正向内存马将他Getshell、通过了正向代理搭建了进入内网的隧道 现在，我想让他上线CobaltStrike方便后续的提权和横向 我所拿下的机器也就是这台Windows Web，如果想让他上线CS，普遍操作应该是先打到Linux，让Linux先上线CS，再在CS中通过Linux这台机器的be ...

SpringBoot场景下不出网-内存中的正向代理免责声明：由于传播、利用本文所发布的而造成的任何直接或者间接的后果及损失，均由使用者本人承担 前言在Tomcat场景下，我们遇到不出网的机器通常上传reGeorg，suo5，这类的正向代理工具，连接后本地开启s5即可连接进入目标的网络场景 这里存在一些问题，有落地文件，这必然是存在被查杀的风险，现在诸多内存代理脚本也被杀毒软件加入了识别，并且安全设备也会有新增文件的感知 这里针对Tomcat只是提一下 当我们目标是SpringBoot场景呢？目标无法上传jsp，有落地脚本的正向代理就完全失去了作用 这样就衍生出了一种新技术，将正向代理写入到内存中去，就如同内存马一样 START环境准备 SpringBoot靶场 NGINX JMG Suo5 Proxifier 这里，是我为后面持续更新搭建的一个靶场 拓扑图如下： 依靠这个靶场，后续我会持续更新相关的文章，并且会不断在这个基础上进行优化与改进 实现这里使用Fastjson的反序列化漏洞演示 ​ 因为目标服务器不出网，自然就用不了JdbcRowSetImpl利用链这种 ...

Java安全之Servlet内存马的利用以及排查前言：原理说起来太多了，不懂的可以先去学一下原理，本文主要做一个扫盲级别的利用，以及以蓝队的视角对这类木马排查的大致流程。 Start环境搭建 idea 2023.1.2 tomcat 8.5.100 冰蝎v4.1 tomcat-memshell-scanner 包含文件上传的servlet项目 留意，需要加上此依赖 打成war，并且更改名字为ROOT.war来部署到tomcat中 访问 简单的上传测试成功 内存马利用源码如下 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152<%@ page import="java.io.IOException" %><%@ page import="java.io.PrintWriter" %><%@ page import="java.lang.reflect ...

crontab反弹shell细节问题免责声明：由于传播、利用本文所发布的而造成的任何直接或者间接的后果及损失，均由使用者本人承担。 前言​ 此文是小生针对于springboot框架下，文件上传漏洞RCE姿势研究过程中，衍生出来的一个问题，在[tari]师傅的帮助与自己的苦心研究下，终于得出结果。 ​ 当遇到文件上传漏洞、或者文件覆盖、任意文件写入漏洞，无法上传目标脚本文件，或者说上传了但不解析…..诸多一系列问题，就不再提了，相信大家也都遇到过，利用姿势也不多，大家最容易想到的，应该就是 corntab反弹shell。 ​ 有的时候，收不到shell原因非常之多，可能是防火墙，可能是态感，可能是各种设备，可能是乱七八糟的策略，但也有可能是自己payload存在问题。 ​ 我想这篇博客的标题也可以叫做： Linux系统与Http协议换行不同而导致反弹shell异常问题Start场景还原场景一​ 首先，小生以攻击者视角，用最基础原生反弹shell做演示，方便引入对这个问题的理解 ​ ​ 这个时候，当我们打开这个文件 ​ ​ 会出现这种情况，这是因为，没有为其添加换行导致的 ​ ​ 这 ...

Springboot之Actuator-heapdump漏洞免责声明：由于传播、利用本文所发布的而造成的任何直接或者间接的后果及损失，均由使用者本人承担 Springboot​ Spring Boot为了解决Spring Framework的入门难度大、配置繁琐而诞生，简化了Spring框架的配置，达到了快速开发提高效率 Actuator​ springboot下的一个监控服务，无访问控制的情况下，可以通过HTTP 和 JMX访问，也就意味着存在未授权访问漏洞。在其中，不同的断点对应着不同的目标信息 ​ 在渗透测试过程中，对攻击者来着，特别需要留意的几个端点 Endpoint ID Description exploit /env 主机运行开放的所有服务 根据开发的服务，利用历史披露漏洞 /heapdump 内存转储文件 下载后提取shiroKey、ak/sk、springboot-admin-client账号密码等等 /trace/httptrace 请求追踪信息 cookie/session等会话凭证泄 ...