题目还是比较难的，复现过程中学习到了不少东西，ccc

审题

题目给了2个源文件代码
add_api.php：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

<?php
include "user.php";
if($user=unserialize($_COOKIE["data"])){
	$count[++$user->count]=1;
	if($count[]=1){
		$user->count+=1;
		setcookie("data",serialize($user));
	}else{
		eval($_GET["backdoor"]);
	}
}else{
	$user=new User;
	$user->count=1;
	setcookie("data",serialize($user));
}
?>

user.php

1
2
3
4
5

<?php
class User{
	public $count;
}
?>

得到几点信息，如下：

1. 如果$user=unserialize($_COOKIE["data"]) 发生错误，例如未在cookie中设置data或错误设置，那么会类似报错执行else。从而重新实例化一个user并赋值。
2. 如果$count[]=1 发生错误，就会执行eval($_GET["backdoor"])
   阅读全文 »

一个很小很小的知识点，题目源码：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

<?php
show_source(__FILE__);
include('flag.php');
$a=$_GET['cmd'];
if(preg_match('/^php$/im', $a)){
    if(preg_match('/^php$/i', $a)){
        echo 'hacker';
    }
    else{
        echo $flag;
    }
}
else{
    echo 'nonononono';
}

前言

 前面内网基础知识也是学了些了，感觉还是需要做系统点的实验，于是找到了【红日安全的红队实战系列】就先从一开始吧，加油加油。

环境搭建

 测试时我宿主机一直无法ping通win7，后面发现是防火墙给了限制，应该是题目环境需要特意禁用的。这里我为了方便就把他打开了。开启如下规则即可：

下面开始介绍环境：
靶机下载可以到官网下载：
【详情】
所有主机密码为：hongrisec@2019

 域内横向移动技术，是在复杂的内网攻击中被广泛使用的一种技术，尤其是在高及持续威胁（APT）中。攻击者会利用该技术，以被攻陷的系统为跳板，访问其它域内主机，扩大资产范围（包括跳板机中的文档和存储的凭证，以及通过跳板机连接的数据库、域控制器或其他重要资产)。
 通过此类攻击手段，攻击者最终获取域控制器的访问权限，甚至完全控制基于windows操作系统的基础设施和业务相关的账户。因此，必须使用强口令来保护特权用户不被横向移动攻击，从而避免域内其他机器沦陷。建议系统管理员定期修改密码，从而使攻击者获取的权限失效。

0x01 令牌窃取提权

1、令牌及伪造令牌介绍

 令牌（Token)是指系统中的临时密钥,相当于账户和密码,用于决定是否允许当前请求及判断当前请求是属于哪个用户的。获得了令牌，就可以在不提供密码或其他凭证的情况下访问网络和系统资源。这些令牌将持续存在于系统中(除非系统重新启动)。
 令牌的最大特点是随机性和不可预测性。一般的攻击者或软件都无法将令牌猜测出来。

• 访问令牌（Access Token )代表访问控制操作主休的系统对象。
• 密保令牌(Security Token )也叫作认证令牌或者硬件令牌，是一种用于实现计算机身份校验的物理设备，例如U盾。
• 会话令牌(SessionToken)是交互会话中唯一的身份标识符。

伪造令牌攻击的核心是Kerberos协议, Kerberos是一种网络认证协议，其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。Kerberos协议的工作机制如下图所示