藏青's BLOG

前言

​ 最近可能是因为技术处于一个瓶颈期，又或者说对未来技术发展方向有些迷茫，所以写下这篇文章梳理一下当前自身的技能树以及未来的发展方向。

我的渗透观

​ 根据我自己对于渗透的理解，把渗透分为如下几个步骤：

1
2

最近一直在学习关于WAF绕过的知识，本次选择阿里云这款云WAF来测试关于MSSQL注入的绕过。因为阿里云主站可能不
是ASP+IIS的环境，所以我不清楚如果真的是ASP+IIS的环境，阿里云的拦截规则是否会有相应的变化。

绕过过程

逻辑判断语句绕过

我们知道在检测一个注入点的时候，首先会加上and 1=1之类的判断语句，如果页面返回的逻辑符合我们设想的逻辑，那么就有可能有注入。

利用%特性绕过

在iis+asp的环境中，在关键字中间加%不会影响程序的正常执行，因此可以在关键字and中添加%来绕过阿里云的检测。

​ 在钓鱼或者渗透的过程中，如果我们不会免杀，使用Cobaltstrike生成的exe可能直接就被干掉了，还会触发目标的告警，导致之前的工作前功尽弃，因此在往更高阶的攻防对抗中，免杀能力是必不可少的能力，不是说每个人都必须掌握这种能力，但是如果一个团队中，一个会免杀的人都没有，那就很僵了。

​ 回到正题，本片文章并不会讲到免杀方法可能很多已经都不可用了，之所以写这篇总结文章，是希望大家能对免杀的方法能有一个系统的认知。

远程线程调用

​ 要讲远程线程调用，我们首先看一下本地的调用，代码如下：

​ CVE-2017-10271漏洞是由于通过readobject解析webservice接口中的xml代码导致命令执行的，今天我们一起学习一下这个漏洞是如何导致的并分析一下漏洞的检测方法。

漏洞复现

​ 这里直接给出文件写入的poc，数据包如下：

​ 最近一直在做一些项目，因为对一些原理性的知识不懂感觉渗透很难再继续往上走，因此接下来打算将精力放在漏洞的理解和分析，工具的编写和优化上面，而不再执着于更多的技巧。

​ weblogic是一款比较经常使用的java容器，当然它爆出的漏洞也是层出不穷，为了能让自己更加了解weblogic漏洞的形成原因，我决定和大家一起调试weblogic各个版本的一些漏洞，并最终编写一个简单的weblogic漏洞检测工具，在这片文章中，我们首先一起来学习一下如何搭建weblogic的调试环境。

​ 通过之前的介绍我们了解了cobaltstrike的一些混淆或者隐藏的策略，这次我们主要对学到的这些策略进行实践，设计一个比较好用的不容易被反查的方案。

​ 设计思路如下：

• 自定义mallable c2 profile文件，自定义通讯流量

• 前置机通过mod_rewrite对不同流量进行不同的转发

• 给前置机配置CDN保护前置机的真实IP

• teamserver主机配置防火墙仅允许前置机和teamserver主机的特定端口通信

  因为CDN配置需要等待一段时间才能生效，所以我们先来配置CDN。

​ 通过使用socat进行重定向虽然可以将我们的teamserver隐藏起来，但是我们如果想做的更好一些，对请求我们重定向主机的流量做一个区分，如果请求来自客户端则重定向到teamserver，如果请求来自其他请求则重定向到其他网站。或者在请求中设置白名单，仅仅允许来自某个特定的ip来访问。这就需要通过apache 的Mod_rewrite来实现。

​ 在之前的学习中我们了解了关于CobaltStrike beacon运行的流程，以及流量的修改，今天我们一起来学习一下CobaltStrike自带的各种beacon的使用。

http beacon

​ http beacon 使用get方式去获取服务端下发的任务，同时使用post方式向服务端获取数据。关于使用ip上线我相信大家都已经非常熟悉了，所以我主要讲一下关于域名上线需要注意的问题。

创建过程

首先准备好我们想要创建自解压的文件，我这里的内容如下

1
2

虽然word,office这些办公软件的漏洞都比较早了，不过由于很多人用的都不是正版的程序，因此很多人电脑的办公软
件依然存在漏洞，所以也是值得去研究和学习的，本文记录了我学习的过程。

学习环境

1
2

office套件2016
windows10 10.0.17763.1282

DDE钓鱼

​ 动态数据交换(DDE)是一种动态数据交换机制，使用DDE通讯需要两个Windows应用程序，其中一个作为服务器处理信息，另外一个作为客户机从服务器获得信息。我们可以利用这个属性在office中执行我们的恶意代码。