沉铝汤的破站

0x00 前言

---

最近在做HTB(HACK THE BOX)的靶机，但是没想到的是，开始教程中tier2的第二关就把我卡住了……涉及到了MSSQL的渗透与提权（直接就是一个知识盲点怼过来），挺难得的一次贴切实战的学习机会，所以记录一下。

靶机: [HTB]Archetype

0x00 前言

---

本文寻找了一个PHP的CMS进行漏洞复现。

0x00 前言

---

虽然之前的票据传递还有一些问题没有解决，但囿于目前对于内网渗透还没有形成一个整体的认知，所以对于那些问题就先放一放，先继续学习其他的相关知识。本文将学习SPN的基本概念，并学习利用SPN进行扫描，来实现在内网中以较小动静进行信息收集并为之后的Kerberoasting（注意这个单词和Kerberos的区别）作准备。

0x00 前言

在前文内网渗透入门之基础知识中，我们已经详细接触了Kerberos协议的相关知识以及认证过程，本文基于之前的学习，来学习一下与之有关的“票据传递攻击”。这种攻击一般用来内网渗透中的横向移动，其分为：

• 黄金票据
• 白银票据

0x00 前言

---

过年回到家更是懒散，完全没有好好利用到放假的时间，除了自身的原因外，还与家里琐事和过年的忙碌有关。今天终于有时间来好好的学习一下了，这次我们将来学习充满神秘感并具有无限可能的内网安全知识。

0x00 前言

---

这两个Gadget思路都差不多，所以一起写了。而且有了之前的基础，分析完这两个链甚至不要40分钟，所以今天就在Python课上摸鱼，写完了Demo

本篇包含以下元素:

• CC5-Gadget的分析
• CC6-Gadget的分析
• CC6-Gadget的改进（改进了原Gadget中key赋值的方式，变得超级简洁易懂👍）

0x00 前言

---

其实有了CC1-Gadget、CC2-Gadget、CC3-Gadget的基础，CC4-Gadget也没什么好分析的了，基本几句话就结束了，但由于我要水文章，所以还是写一篇吧😋。

本篇包含以下元素:

• CC4-Gadget的分析
• 最后自己思考省去了原Gadget中的脱裤子放p的ChainedTransformer

0x00 前言

---

有了之前的几个Gadget的基础，似乎分析后面的Gadget都如鱼得水了(至少现在分析CC3是这样的🤣)，一日一更好像可以实现了🤗。结果一晚上，我玩了半天Windows Terminal和PowerToys，不得不说有了这两个东西，效率从某方面来说是高了，但从另外一方面也让我效率更低了🤣。

本篇包含以下元素:

• CC3-Gadget的分析（只适用于JDK7或8u71,CC-3.1）

0x00 前言

---

其实可以写一篇log4j2的利用的文章，不过怕了写出来影响不好，被别人学去攻击，所以还是等风头过去再写一下好了，不过已经在项目中加了一个Demo（反正没人看，应该没事）。12月已经过去一半了，上次立的一天分析一个Gadget的flag，到现在也只分析完CC1和URLDNS🤣，所以本篇文章就接着来分析ysoserial中的CC2链。

本篇包含以下元素：

• Javassist对字节码的操作

• ClassLoader对字节码的加载

• TemplatesImpl链的构造

• CC2-Gadget的分析(最后居然写出了一个和网上和ysoserial工具里有点不一样的Payload👍)

• CC2-Gadget的利用(JDK7和8都可以跑通，14好像因为模块问题不行，下次有空再更细致的测试)

因为这条链的艺术性很高，一直在想怎么才能写好，所以一直托更。😋绝不是因为又摆烂玩游戏去了哦

0x00 前言

---

之前在Java反序列化之CC1其一一文之中，我们花了很大的篇幅来讲解Payload的构造，最后由于篇幅的影响，还剩下“利用LazyMap的包装”和“高版本JDK1.8下Payload为何失效”没有讲。

本篇包含以下元素:

• LazyMap的包装
• 高版本下JDK1.8下（貌似是 8u71之后 ）Payload为何失效 （如何使其有效将在学习了后面的CC链之后补充）