随手记

一、三星搜狗输入法泄露用户数据 目前已修复

二、红队评估｜非域内网深入详解

1. 通过Nday先测试这个Metabase的 CVE-2023-38646 发现不存在，应该是已经修复。随即我们直接测试这个蓝凌EIS。历史的SQL注入以及RCE。成功获得Webshell。

2. https://github.com/cc7v/NetInfo 进行初步的信息收集

3. JuicyPotato 权限提升

   JuicyPotato 使用 CoGetInstanceFromIStorage 触发远程调用，CoGetInstanceFromIStorage 是一个 Windows API 函数，用于从一个存储对象中获取COM对象的实例。它可以通过指定服务器信息、类标识符、外部接口、上下文环境和存储对象来创建一个新的COM对象实例，并通过指定接口标识符来返回该实例。它可以用于在应用程序中访问和使用存储在存储对象中的COM对象。Juicy Potato 支持指定任意本地端口，但是 RPC 一般默认为135端口，很少被修改

4. 横向移动

   1. 通过SearchAll再进行对整台机器的凭证收集。

      User ID=OA;Password=password01!
      userName="admin" password="adminpassword"
      User ID=sa;password=sa
      password = 'Yukon90_'
      

   2. 对所有可利用服务进行密码喷洒。

   3. 总共有两台主机存在MS17-010，并且都是Win2003机器。针对这个机器需要利用 Metasploit 中的 auxiliary/admin/smb/ms17_010_command 并且没办法反弹shell，只能一个命令一个命令的执行。

   4. 将整个B段存活的资产分类成不同的C段来进行WEB资产扫描以及指纹识别

   5. 对Shiro的站点进行弱口令尝试，成功登陆后台。且在后台存在全站用户数据以及相关资料。

   6. 通过弱口令登录到了Jenkins，实战当中，println "whoami".execute().text 经常无法执行。我们可以通过Jenkins的自身的语言写一个命令执行

三、SRC挖掘 | "另类"短信轰炸绕过两则

1. 找回密码，对填写手机号处通过添加+、空格、\n、逗号进行绕过，最终没有绕过成功。
2. 一个业务系统会有web、app、小程序等不同的客户端。smsType参数的值是一个int类型，每个值对应不同功能点的短信发送功能，对smsType值进行遍历。返回包为550的均为短信验证码发送成功的。可以添加多个手机号进行横向轰炸。
3. 另一个业务：我在重放第一个数据包的时候发现每次都会生成一个不同订单id。那么，我们先生成10个订单id，每个id可以发送5次验证码，10次就是50次，此时就造成了短信轰炸。

周末待看