昨天开完外群就有人问你们Oracle和晓骑营哪个更厉害……算是吃瓜群众的经典误区了。网络安全又不是修仙小说哪来绝对的谁比谁厉害,正好今天扯一下一般意义上目前国内红队各阶段的等级要求
首先是初级红队,熟练使用xray,nmap,AWVS等扫描工具以及sqlmap,brupsuit,wireshark,msf等工具,基本无语言编程能力,依靠脚本扫描体系进行初步渗透。这个水平也是百分之九十以上看马士兵/小迪网课自学者的水平,特点是在国内安全环境下基本上无法实战成功,也找不到岗位解决就业问题(你爹要是老板当我没说),如果不进一步学习只有转行了
红队中级,在红队初级的基础上掌握web原理和语言编程能力,fofa,Haktrails等资产搜索引擎的使用,能高效利用网络上公开的poc批量扫描站点并利用漏洞,具有内网横向渗透以及域控能力。就业上属于门槛线,可以在继续掌握等保制度以及安全产品使用的条件下转三四千一个月的安服,也有可能是近万元月薪的渗透测试工程师。红队中级跨度较大,薪资差距也大,当然工资多少看的也是个人能力,大部分专业的网络安全从业者都处于这个水平
红队高级,这个时候技术路线出现了分化,你齋就属于第一种,技术背景是高校科班,研究方向是java和php编码与审计,情报搜集,基于Python的POC加工能力,熟悉常见安全产品的绕过,有src甚至是cvnd的漏洞挖掘经验。晓骑营属于第二种,手握大量的扫描器/漏洞库/服务器资源,强大的资产信息搜索能力,各种最新的批量利用脚本。两者之间没有高下之分,一个POC管你是自己写的还是别人给的效果都是一样的,如果要说指定站点渗透肯定是第一种技术路线强,但是如果要比实战中哪个杀伤力更大,后者动辄几百台服务器全球扫,即使排除误报和权限维持失败能get的shell一分钟可能比我一年还多
(这里也说一下别天天在那刷什么脚本小子不行没技术含量,大多数人也就听说了脚本小子这一个词,好像贬低人家用脚本的自己就跟什么大师傅一样,shell脚本编程相当难,脚本也是个提高效率的好东西,用好了就是脚本爷爷,什么匿名者killnet都爱用脚本,你不服气吗?)
核心红队,高级红队的基础上在某一领域,如内网,逆向,嵌入式,EDR等方面专精,并能关注0day级别的开源情报威胁,开发岗级别的代码能力以及成熟的自编写插件/工具/二开经验,就业是各大安全公司中月薪两三万的高级渗透工程师/漏洞研究员,大学里的安全实验室负责人
论外级,C9级别高校硕博加中科院院士导师执教基础学科的学术背景,就业于奇安信深信服等T1厂家的核心开发岗/中字头国企/国家相关安全行政单位,涉军涉密项目,国际APT行动。到了这个层次网络安全就已经是数学问题了(原因别问我,我只是知道但讲不明白)ZC老师华科升清华的论文就讨论的是在以十年为维度的完备可分度空间背景和UTF-8规则下,证明针对命令注入编码与字符集的过滤的正则的有节线性,最终把前后端漏洞控制收敛成不可测集这种问题,(人话:再过十年各种网络注入就死完了) 特别反直觉,整个数据建模过程我光听就头大,什么群论实分析泛函数学物理方法都往上整。论外级不是靠努力能到的,看天赋也看运气,我自认为也算个数学小超人,但即使是在本科毕业技术巅峰挖shiro反序列化0day的时候才勉强有了一点摸到论外最下位的感觉(持续时间几分钟,现在上班摸鱼己经废了红队方向到中高级都难)至于这个等级的工作日常我不清楚也不乱讲,可能真的就和电影小说里的黑客差不多吧
首先是初级红队,熟练使用xray,nmap,AWVS等扫描工具以及sqlmap,brupsuit,wireshark,msf等工具,基本无语言编程能力,依靠脚本扫描体系进行初步渗透。这个水平也是百分之九十以上看马士兵/小迪网课自学者的水平,特点是在国内安全环境下基本上无法实战成功,也找不到岗位解决就业问题(你爹要是老板当我没说),如果不进一步学习只有转行了
红队中级,在红队初级的基础上掌握web原理和语言编程能力,fofa,Haktrails等资产搜索引擎的使用,能高效利用网络上公开的poc批量扫描站点并利用漏洞,具有内网横向渗透以及域控能力。就业上属于门槛线,可以在继续掌握等保制度以及安全产品使用的条件下转三四千一个月的安服,也有可能是近万元月薪的渗透测试工程师。红队中级跨度较大,薪资差距也大,当然工资多少看的也是个人能力,大部分专业的网络安全从业者都处于这个水平
红队高级,这个时候技术路线出现了分化,你齋就属于第一种,技术背景是高校科班,研究方向是java和php编码与审计,情报搜集,基于Python的POC加工能力,熟悉常见安全产品的绕过,有src甚至是cvnd的漏洞挖掘经验。晓骑营属于第二种,手握大量的扫描器/漏洞库/服务器资源,强大的资产信息搜索能力,各种最新的批量利用脚本。两者之间没有高下之分,一个POC管你是自己写的还是别人给的效果都是一样的,如果要说指定站点渗透肯定是第一种技术路线强,但是如果要比实战中哪个杀伤力更大,后者动辄几百台服务器全球扫,即使排除误报和权限维持失败能get的shell一分钟可能比我一年还多
(这里也说一下别天天在那刷什么脚本小子不行没技术含量,大多数人也就听说了脚本小子这一个词,好像贬低人家用脚本的自己就跟什么大师傅一样,shell脚本编程相当难,脚本也是个提高效率的好东西,用好了就是脚本爷爷,什么匿名者killnet都爱用脚本,你不服气吗?)
核心红队,高级红队的基础上在某一领域,如内网,逆向,嵌入式,EDR等方面专精,并能关注0day级别的开源情报威胁,开发岗级别的代码能力以及成熟的自编写插件/工具/二开经验,就业是各大安全公司中月薪两三万的高级渗透工程师/漏洞研究员,大学里的安全实验室负责人
论外级,C9级别高校硕博加中科院院士导师执教基础学科的学术背景,就业于奇安信深信服等T1厂家的核心开发岗/中字头国企/国家相关安全行政单位,涉军涉密项目,国际APT行动。到了这个层次网络安全就已经是数学问题了(原因别问我,我只是知道但讲不明白)ZC老师华科升清华的论文就讨论的是
❤2👍2🤡2
CVE-2023-2982WordPress身份验证旁路漏洞
如果目标的wordpress站点有进行第三方验证的登录的插件,这个插件的加密不足会导致身份验证漏洞,在知道邮箱的情况下可直接绕过登录验证,拿到后台
https://github.com/RandomRobbieBF/CVE-2023-2982
如果目标的wordpress站点有进行第三方验证的登录的插件,这个插件的加密不足会导致身份验证漏洞,在知道邮箱的情况下可直接绕过登录验证,拿到后台
https://github.com/RandomRobbieBF/CVE-2023-2982
GitHub
GitHub - RandomRobbieBF/CVE-2023-2982: WordPress Social Login and Register (Discord, Google, Twitter, LinkedIn) <= 7.6.4 - Authentication…
WordPress Social Login and Register (Discord, Google, Twitter, LinkedIn) <= 7.6.4 - Authentication Bypass - RandomRobbieBF/CVE-2023-2982
❤1
关于自学搞黑产接单以及渗透挣钱问题,赛博枪杆子的幻想与赛博保安的现实
自学想要正规就业,没有学历是不大可能的,公办本科起码,如果不是小城市,大专现在连三四千的安服工作都基本上找不到
学多久可以接单拿站?如果目标是TG上通常的各类博彩/商品网,框架较新,不幸的,如果没有天赋学一辈子都到不了这个程度
小迪暗月马士兵等网课,基础不牢,并且计算机这个东西技术更新极快,漏洞多少钱更新频率什么0day1day都是以天来算的,成熟安全产品的作用周期最多就半年左右,网课能讲的差不多都是古董了。举个例子,某人自学网课看什么文件上传漏洞,找到个网站file读取链前后端处理不一致,看csdn上的文章马上一手MIME绕过文件上传,修改Content-Type成了image/jpeg,一想反正htaccess文件解析把所有用户带fox名字的文件全都以php文件拓展名来运行,肉鸡也懒得买了,POST /upload.action HTTP/filename="某某.jsp"Content-Type: image/jpeg/,然后application上搬运百度。可是网上的文章永远不会给你讲有个叫做redis的没用ACID用的md5加密和Key-Value匹配做关系匹配,一样的htaccess解析漏洞原文作者流量特征就真的只是jpeg,你打无害的poc的时候也是jpeg,你准备脱裤的时候结果人家一看一堆不分块的formdata,后面跟的是一堆奇怪的sessionname,就跟撤硕里没冲的一坨💩一样明显。又举个例子,大家最熟的sql注入,你用工具扫出来注入点又按照网上的教程复杂粘贴绕过字符,在长亭雷池(云端免费版)的面前效果就如图所示,你干了什么,你想干什么,你的IP,甚至根据流量特征你用的什么工具,你在工具里的命令是怎么输的,都知道得一清二楚。
我在高考护网的时候作为这玩意的开发者有幸见过雷池实体waf完全版满功率运作时的盛况,一百多斤的金属箱子用插了两个220v的插线孔,耗电量相当于四台挂式空调,七八个安服围着监控数据面板。现在的互联网产品无论是搭建还是安全都讲究傻瓜式一键式,你黑网站时的对手不是你想的小白站长或者苦逼程序员,而是一堆九八五科班十几年的智力传承与结晶。傻瓜建站用的那些东西,什么wordpress,nginx,Apache,国外公司花几十万找专业审计人员审过了你觉得你能找到漏洞吗?建站的只需要搬现成,把这些最新成果下载部署完事,本质上红蓝高度不对称,自学的水平普遍较低这是不可否认的,开发低点没事,基本上也能找到活干,渗透如果不到达那个较高的门槛线是很难有产出的。当然如果你们过了这条线,搞黑产能恰的钱开发也比不了
最后是国内的溯源与反制,国安公安不提,阿里腾讯应响,深信服奇安信这些安全公司,净网云剑/春雷恶意行为收录/国护省护,层层追责出事了个个都玩命收拾你,能在网上教程看到的永远是过时而且过时很久的技术。一线安全从业者也没几个敢说自己了解国内各类手法,我反正没那个干完黑产后完美骗过我师弟师妹的信心,自学要想做到指定拿站/顺利变现/不吃牢饭,只能说是任重而道远了
自学想要正规就业,没有学历是不大可能的,公办本科起码,如果不是小城市,大专现在连三四千的安服工作都基本上找不到
学多久可以接单拿站?如果目标是TG上通常的各类博彩/商品网,框架较新,不幸的,如果没有天赋学一辈子都到不了这个程度
小迪暗月马士兵等网课,基础不牢,并且计算机这个东西技术更新极快,漏洞多少钱更新频率什么0day1day都是以天来算的,成熟安全产品的作用周期最多就半年左右,网课能讲的差不多都是古董了。举个例子,某人自学网课看什么文件上传漏洞,找到个网站file读取链前后端处理不一致,看csdn上的文章马上一手MIME绕过文件上传,修改Content-Type成了image/jpeg,一想反正htaccess文件解析把所有用户带fox名字的文件全都以php文件拓展名来运行,肉鸡也懒得买了,POST /upload.action HTTP/filename="某某.jsp"Content-Type: image/jpeg/,然后application上搬运百度。可是网上的文章永远不会给你讲有个叫做redis的没用ACID用的md5加密和Key-Value匹配做关系匹配,一样的htaccess解析漏洞原文作者流量特征就真的只是jpeg,你打无害的poc的时候也是jpeg,你准备脱裤的时候结果人家一看一堆不分块的formdata,后面跟的是一堆奇怪的sessionname,就跟撤硕里没冲的一坨💩一样明显。又举个例子,大家最熟的sql注入,你用工具扫出来注入点又按照网上的教程复杂粘贴绕过字符,在长亭雷池(云端免费版)的面前效果就如图所示,你干了什么,你想干什么,你的IP,甚至根据流量特征你用的什么工具,你在工具里的命令是怎么输的,都知道得一清二楚。
我在高考护网的时候作为这玩意的开发者有幸见过雷池实体waf完全版满功率运作时的盛况,一百多斤的金属箱子用插了两个220v的插线孔,耗电量相当于四台挂式空调,七八个安服围着监控数据面板。现在的互联网产品无论是搭建还是安全都讲究傻瓜式一键式,你黑网站时的对手不是你想的小白站长或者苦逼程序员,而是一堆九八五科班十几年的智力传承与结晶。傻瓜建站用的那些东西,什么wordpress,nginx,Apache,国外公司花几十万找专业审计人员审过了你觉得你能找到漏洞吗?建站的只需要搬现成,把这些最新成果下载部署完事,本质上红蓝高度不对称,自学的水平普遍较低这是不可否认的,开发低点没事,基本上也能找到活干,渗透如果不到达那个较高的门槛线是很难有产出的。当然如果你们过了这条线,搞黑产能恰的钱开发也比不了
最后是国内的溯源与反制,国安公安不提,阿里腾讯应响,深信服奇安信这些安全公司,净网云剑/春雷恶意行为收录/国护省护,层层追责出事了个个都玩命收拾你,能在网上教程看到的永远是过时而且过时很久的技术。一线安全从业者也没几个敢说自己了解国内各类手法,我反正没那个干完黑产后完美骗过我师弟师妹的信心,自学要想做到指定拿站/顺利变现/不吃牢饭,只能说是任重而道远了
👍9❤5
问答环节
q:渗透需要学历吗?
a:如果是找工作肯定需要,自学的话和学历没关系,能不能干事的唯一标准就是能力
q:自学遇到了瓶颈,无法提升也无法实战怎么办?
a:外围多看实战资料,内网多打靶机跳出被教程引着走的圈子,搞懂原理自己理解,有空自行思考复现几个漏洞比看教程有价值
q:公安执法部门等国家队是不是都非常强?
a:错误的,公安涉及技术的只有网警,知识来源于大学警校中网络安全与执法专业,需要花费一部分时间学习司法执法相关知识,并且会侧重取证,监控等非渗透知识。第二是公安属于体制内公务员,各类人事应酬非常多,技术上是难以保持一线的,一般重大事故或行动都会外包给安全公司。但外包有外包的好,公安部门作为网络安全主管部门能调动的资源非常多,你们熟知都什么奇安信深信服都是晶哥的打手,所以也千万别去招惹警察叔叔
q:外群是拿来做什么的,投了简历也没见有行动?
a:后续会开展实战行动以及针对组员的拔高培训,录课中勿催
q:在渗透中感觉最难的是什么?
a:各种报错,没有之一
q:表姐有男朋友吗?平时穿黑丝吗?喜欢什么样的男生?
a:有。正式场合会穿黑丝,但是因为我比较暴力经常穿成一次性用品所以频率不高。喜欢像孙笑川那样儒雅随和又很文明的人
q:CVE-2023-27372中SPIP公域表单值序列化处理不当 利用php代码中的ENV**可以在密码重置模块实现注入,怎么利用实现rce?
a:控件中把protege_champ()这个函数作为正则表达式,
函数的代码:
<!-- File : /squelettes-dist/formulaires/oubli.html -->
<input[ (#HTML5|?{type="email" class="text email" autofocus="autofocus" required="required",type="text" class="text"})] name='oubli' id='oubli' value="#ENV**{oubli}" autocapitalize="off" autocorrect="off" />
这个函数对HTML表单字符动态处理,从请求中获取名为"oubli"的GET或POST参数,和SPIP模板构造冲突了,所以输入字段是不对序列化字符进行处理的。把序列化PHP字符串注入变量$_POST['oubli']到/spip.PHP端点上重置密码,从而page=spip_pass,在服务器上有导致RCE。
q:孙尚香出装出什么?
a:疾步鞋黑切无尽宗师电刀,最后泣血复活甲二选一
q:学渗透没有天赋怎么办?
a1(saber):转行
a2(落老师):天赋是一方面,经验也很重要,不是绝对的
a3(某倭瓜):有兴趣就好,可以先尝试,试一试总比直接放弃好
a4:(老黄):我特么双非一本呢还不是学得挺好,别学什么小迪暗月坑人
a5(🐗老师):天赋决定的是上限,安全直到红队高级为止不怎么看天赋
a6(🚗🧊):有这时间学网安费力不讨好的,自己哪个有天赋学哪个吧
q:自学web可以找工作吗?
a:基本同一,看能力,不过web神仙太多了,选什么二进制嵌入式就业会更方便
q:渗透需要学历吗?
a:如果是找工作肯定需要,自学的话和学历没关系,能不能干事的唯一标准就是能力
q:自学遇到了瓶颈,无法提升也无法实战怎么办?
a:外围多看实战资料,内网多打靶机跳出被教程引着走的圈子,搞懂原理自己理解,有空自行思考复现几个漏洞比看教程有价值
q:公安执法部门等国家队是不是都非常强?
a:错误的,公安涉及技术的只有网警,知识来源于大学警校中网络安全与执法专业,需要花费一部分时间学习司法执法相关知识,并且会侧重取证,监控等非渗透知识。第二是公安属于体制内公务员,各类人事应酬非常多,技术上是难以保持一线的,一般重大事故或行动都会外包给安全公司。但外包有外包的好,公安部门作为网络安全主管部门能调动的资源非常多,你们熟知都什么奇安信深信服都是晶哥的打手,所以也千万别去招惹警察叔叔
q:外群是拿来做什么的,投了简历也没见有行动?
a:后续会开展实战行动以及针对组员的拔高培训,录课中勿催
q:在渗透中感觉最难的是什么?
a:各种报错,没有之一
q:表姐有男朋友吗?平时穿黑丝吗?喜欢什么样的男生?
a:有。正式场合会穿黑丝,但是因为我比较暴力经常穿成一次性用品所以频率不高。喜欢像孙笑川那样儒雅随和又很文明的人
q:CVE-2023-27372中SPIP公域表单值序列化处理不当 利用php代码中的ENV**可以在密码重置模块实现注入,怎么利用实现rce?
a:控件中把protege_champ()这个函数作为正则表达式,
函数的代码:
<!-- File : /squelettes-dist/formulaires/oubli.html -->
<input[ (#HTML5|?{type="email" class="text email" autofocus="autofocus" required="required",type="text" class="text"})] name='oubli' id='oubli' value="#ENV**{oubli}" autocapitalize="off" autocorrect="off" />
这个函数对HTML表单字符动态处理,从请求中获取名为"oubli"的GET或POST参数,和SPIP模板构造冲突了,所以输入字段是不对序列化字符进行处理的。把序列化PHP字符串注入变量$_POST['oubli']到/spip.PHP端点上重置密码,从而page=spip_pass,在服务器上有导致RCE。
q:孙尚香出装出什么?
a:疾步鞋黑切无尽宗师电刀,最后泣血复活甲二选一
q:学渗透没有天赋怎么办?
a1(saber):转行
a2(落老师):天赋是一方面,经验也很重要,不是绝对的
a3(某倭瓜):有兴趣就好,可以先尝试,试一试总比直接放弃好
a4:(老黄):我特么双非一本呢还不是学得挺好,别学什么小迪暗月坑人
a5(🐗老师):天赋决定的是上限,安全直到红队高级为止不怎么看天赋
a6(🚗🧊):有这时间学网安费力不讨好的,自己哪个有天赋学哪个吧
q:自学web可以找工作吗?
a:基本同一,看能力,不过web神仙太多了,选什么二进制嵌入式就业会更方便
👍4
红队小工具 | 利用DCERPC协议,无需认证获取Windows机器主机信息和多网卡信息
工具主要用于探测内网Windows机器的操作系统信息、域名、主机名以及多网卡信息,可以辅助红队快速定位多网卡主机,以及判断机器是否在域内
优点: 无需认证,只要目标的135端口开放即可获得信息
工具主要用于探测内网Windows机器的操作系统信息、域名、主机名以及多网卡信息,可以辅助红队快速定位多网卡主机,以及判断机器是否在域内
优点: 无需认证,只要目标的135端口开放即可获得信息
一款基于fofa api语句的资产收集工具,用于红队快速收集顶级域名或者ip相关关联的资产
新增计划
新增资产存活检测 已完成
新增资产指纹识别 未完成
新增xray工具联动 未完成
新增awvs工具联动 未完成
新增afrog工具联动 已完成
新增关联资产爬虫 未完成
新增WAF识别 未完成
新增多线程资产存活探测 未完成
新增其他测绘平台 未完成
新增数据自动去重 未完成
新增子域名资产穷举 未完成
新增fofa语句插件 已完成
新增计划
新增资产存活检测 已完成
新增资产指纹识别 未完成
新增xray工具联动 未完成
新增awvs工具联动 未完成
新增afrog工具联动 已完成
新增关联资产爬虫 未完成
新增WAF识别 未完成
新增多线程资产存活探测 未完成
新增其他测绘平台 未完成
新增数据自动去重 未完成
新增子域名资产穷举 未完成
新增fofa语句插件 已完成
parse-server那个原型污染漏洞导致rce的漏洞,昨天有人问的,钻研了一下,应该是网上的文章有地方没说对
复现环境说的是mongodb依赖包版本3.6.11,当BSON数据中的对象包含_bsontype键,当他的值为Code时,该对象会被判断为Code类型。在进行序列化时,系统会调用serializeCode这个函数对该对象进行序列化处理
在反序列化时,如果遇到Code类型的数据,则系统会执行js内置的eval操作。将字符串变为可执行代码。这个算是比较常规的风险代码,所以他又定义了evalFunctions这个参数,通过一个叫GridFS的流程处理metadata
如果在代码中没有设置info.appId的值,程序就会进入if语句块,如图,把fileViaJSON设置为true。如果缓存中没有info.appId的信息,程序会继续执行下去。在代码中可以找到appId的赋值操作,并且后面还有一处校验。这一步需要保证_ApplicationId是正确的appId,否则程序就会退出。根据这个逻辑网上有多种利用方式,其中一种是控制out.value.__op out.key从而污染原型的evalFunctions参数,构造一条新的调用链去在FileCoder里面汇总变量,修改create包从而修改file类型
然后网传官方的修复措施是对metadata进行过滤,但是没有修复原型污染。这个说法我钻研了一下不认同。在找新的可以上传Code类型的位置时他示例用了这个
如果按照他上文的思路,child_process模块获取空对象后在BSON库中检验evalFunction,执行的是Node.js,metadata放到fs.files表,所以还是可以构造hook函数,但补丁后把其他文件内容放到fs.chunks表里,无法通过第二个return返回key和value,所以污染位置要么是前面的restUpdate要么就是函数传出路径错误根本无法运行,这种情况下还能继续RCE反正我是不赞同的
复现环境说的是mongodb依赖包版本3.6.11,当BSON数据中的对象包含_bsontype键,当他的值为Code时,该对象会被判断为Code类型。在进行序列化时,系统会调用serializeCode这个函数对该对象进行序列化处理
在反序列化时,如果遇到Code类型的数据,则系统会执行js内置的eval操作。将字符串变为可执行代码。这个算是比较常规的风险代码,所以他又定义了evalFunctions这个参数,通过一个叫GridFS的流程处理metadata
如果在代码中没有设置info.appId的值,程序就会进入if语句块,如图,把fileViaJSON设置为true。如果缓存中没有info.appId的信息,程序会继续执行下去。在代码中可以找到appId的赋值操作,并且后面还有一处校验。这一步需要保证_ApplicationId是正确的appId,否则程序就会退出。根据这个逻辑网上有多种利用方式,其中一种是控制out.value.__op out.key从而污染原型的evalFunctions参数,构造一条新的调用链去在FileCoder里面汇总变量,修改create包从而修改file类型
然后网传官方的修复措施是对metadata进行过滤,但是没有修复原型污染。这个说法我钻研了一下不认同。在找新的可以上传Code类型的位置时他示例用了这个
delete ({}).proto.evalFunctions; require(child_process).exec('touch /tmp/123.txt')"如果按照他上文的思路,child_process模块获取空对象后在BSON库中检验evalFunction,执行的是Node.js,metadata放到fs.files表,所以还是可以构造hook函数,但补丁后把其他文件内容放到fs.chunks表里,无法通过第二个return返回key和value,所以污染位置要么是前面的restUpdate要么就是函数传出路径错误根本无法运行,这种情况下还能继续RCE反正我是不赞同的
❤4👍1