梦~醒🍇

[TOC] WEB预约挂号 Hint：仁和医院上线了内部员工门户系统，支持在线预约挂号。近期安全团队发现系统可能存在安全隐患，请你对系统进行安全评估，获取系统中的敏感文件。 查看注释发现测试环境账号: doctor1/doctor123, nurse1/nurse123 使用随便一个登录，发现有set-session 接口测试，发现有403的 先试试进行session伪造 但是无法找到secret key，所以这条路放弃 发现有 /api/reset-password 接口， 而/static/js/token_worker.js文件里有token生成规则 token 的本质是：token = 混淆后的当前时间戳 + “:” + 用户名派生 key 的混淆编码 不是随机 token，也不是服务端独占 secret。只要知道用户名和大致服务器时间，就能离线生成。 1234567891011121314151617181920212223242526272829303132333435363738394 ...

[TOC] 漏洞概述压缩包炸弹（又称解压炸弹）是利用压缩算法的重复数据高效压缩特性，以极小体积在解压时产生海量数据，从而耗尽系统 CPU、内存、磁盘等资源，达成拒绝服务（DoS）或绕过安全扫描的恶意文件。 核心原理1. 超高压缩比构造：利用 DEFLATE、BZIP2 等算法对高度重复数据（如全零、相同字符）的极致压缩能力，生成 “扁平型” 炸弹。例如 1GB 全零文件可压缩至数 KB，解压时瞬间膨胀，直接填满磁盘。典型案例如 42.zip，42KB 压缩包解压后达 4.5PB，依赖多层嵌套与高压缩比结合实现。 2. 递归嵌套结构：采用 “压缩包套压缩包” 的多层嵌套设计，每层包含多个同级压缩包副本，解压时触发递归膨胀。如 42.zip 为 5 层嵌套，每层 16 个副本，最终生成超百万个 3. 大文件，总容量指数级增长。 4. 资源耗尽机制：解压过程中，CPU 需处理海量数据解码，内存暂存解压流，磁盘写入膨胀数据，任一环节超限即导致系统卡顿、崩溃或服务不可用。同时可瘫痪依赖解压扫描的杀毒软件，为后续恶意代码入侵创造条件。 业务场景 **自动解压 ** ：上传后系统自动解压压缩包 ...

[TOC] 名词介绍反弹shell，就是攻击机监听在某个TCP/UDP端口为服务端，目标机主动发起请求到攻击机监听的端口，并将其命令行的输入输出转到攻击机。 以kali攻击机连接 windos靶机为例子 正向连接假设我们攻击了一台机器，打开了该机器的一个端口，攻击者在自己的机器去连接目标机器（目标ip：目标机器端口），这是比较常规的形式，我们叫做正向连接。远程桌面、web服务、ssh、telnet等等都是正向连接。 靶机win监听 5555端口 等对方主动连接 过来 windos : 1nc -e cmd - lvp 5555(绑定一个端口) 攻击机kali主动连接 5555 kali : 1ncat ip 5555 所以现在 我算是 控制 我的 windos 主机 反向连接主动给出去 对方监听 那么为什么要用反弹shell呢？ 反弹shell通常适用于如下几种情况： 目标机因防火墙受限，目标机器只能发送请求，不能接收请求。 目标机端口被占用。 目标机位于局域网，或IP会动态变化，攻击机无法直接连接。 对于病毒，木马，受害者什么时候能中招，对方的网络环境是什么 ...

[TOC] 前言:这是一个实训系统的靶场，靶场属于内网，仅供训练人员使用。这里仅作打靶场时的操作思路记录 前言在对域内的攻击方法可以理解为两类： 第一类：利用常规漏洞进行攻击，比如针对域内服务器上面的Web服务、服务器系统层面的漏洞（如MS17-010） 第二类：就是针对域控制器DC的漏洞（如MS14-068）可以通过普通权限获取到域控的权限。 在域内攻击要避免防火墙、流量检测等安全防护设备的拦截和监控，一旦被管理员发现就会失去其权限，如果想攻入到域内就要麻烦很多。下面以常用的MS14-068、MS14-025、Pass The Hash、黄金票据和其他维权的方法进行域控攻击及获得其权限。 思维导图 网络拓扑图 所在域：really.com (查询命令： net config workstation) 攻击过程MS14-068漏洞概念MS14-068漏洞（CVE-2014-6324）是 Windows Kerberos 对 kerberos tickets 中的 PAC(Privilege Attribute Certificate) 的验证流程中存在的严重的提权漏洞。 低权限的 ...

[TOC] 前言在登录比如说百度时，登录页面有需要使用一段第三方社交媒体的账户(QQ、微博、微信)登录的情况，而这种大多数都是使用OAuth2.0框架构建的。 以简单的百度平台为例，下面就是使用第三方社交媒体的账户(QQ、微博、微信)登录，可以使用第三方社交媒体扫描登录 就像下面的这个一样直接使用微信扫码就可以登录百度 这里假设百度使用微信扫码，然后直接使用微信扫码登录，不需要手机验证点击确认登录，那么就可以存在一个逻辑设计缺陷的漏洞，就可以进行一个钓鱼操作，直接把这个可以生成二维码钓鱼，就像下面的这个一样，做个恶意的二维码页面，然后发群里，让别人直接去扫这个二维码，不需要确认，直接就可以登录了 OAuth2.0简介什么是 OAuth？OAuth 是一种常用的授权框架，它允许网站和 Web 应用程序请求对另一个应用程序上的用户帐户的有限访问权限。至关重要的是，OAuth允许用户授予此访问权限，而无需向请求应用程序公开其登录凭据。这意味着用户可以微调他们想要共享的数据，而不必将其帐户的全部控制权交给第三方。 基本 OAuth 流程广泛用于集成需要访问用户帐户中某些数据的第三方功能。 ...

[TOC] 前言:这是一个实训系统的靶场，靶场属于内网，仅供训练人员使用。这里仅作打靶场时的操作思路记录 渗透思维导图 渗透过程首先打开操作机kali，知道目标机的ip，第一步进行端口扫描，查看开放端口情况 使用nmap工具对目标机器进行全端口扫描，扫描命令为： 1nmap -p 1-65535 -Pn -sV 192.168.12.20 可以看到目标开放了两个http端口，一个80(http)，一个15020(https) 先从80入手 网站上并无其他url可以浏览，下一步就进行目录扫描，查看目录情况 使用目录扫描工具dirb进行目录爬取： 1dirb http://192.168.12.20/ /usr/share/dirb/wordlists/big.txt 有一个/admin2目录，访问是一个登录口。 查看源代码，发现底下有一个js代码： 从代码中可以看到是一个正向验证密码的算法，可以将算法倒过来计算：（1079950212331060÷1988＋234562221224）－4469 = 777796730000，从这个算式中可以看出来 ...