攻击者通过再模板中注入恶意代码，利用服务器的模板引擎和渲染机制，导致模板引擎在解析时执行了非预期的代码或者表达式，从而信息泄露、RCE等行为。 操作姿势 {{7*7}}测试是否存在 ?name={{"".__class__.__mro__[1].__subclasses__()[132].__ini

Jwk 参数注入 { "kid": "ed2Nf8sb-sD6ng0-scs5390g-fFD8sfxG", "typ": "JWT", "alg": "RS256", "jwk": { "kty": "RSA", "e":

NTLM Relay 攻击，指的是强制目标用户使用 LM hash、NTLM hash对攻击者的服务区进行认证，攻击者拿到认证中继到其他目标服务器中。 思路点：怎么捕获 + 怎么重放 捕获 1、强制请求漏洞 2、被动钓鱼：基于文件 网页 命令 诱惑对方去访问监听主机 3、捕获到利用重放脚本去攻击主机

委派 委派 是一种允许一个服务或应用程序使用客户端的身份去访问另一个后端服务或资源的机制 为什么委派 在没有委派的情况下，一个经典的三层架构（用户 -> Web服务器 -> 数据库）会遇到问题： 用户 通过 Kerberos 认证到 Web服务器。 当 Web服务器 需要以该用户的身份去访问 数据库

pass the hash（哈希传递攻击，PTH） pass the ticket（票据传递攻击，PTT） pass the key（密钥传递攻击，PTK） 思路： 明文传递 -> PTH -> PTT -> PTK(AES) PTH LM NTLM区别 Mimikatz

WinRM & WinRS windows 远程管理，一种允许管理员远程执行系统管理控制任务的服务 winRS 是内置命令行工具，用于远程连接与执行 WinRM 的服务器并执行大多数 cmd 利用条件 1、2012 之前需收到那个开启 WinRM，2012之后默认开启 2、防火墙开放时5986、59

2012R2以上默认关闭了Wdigest，无法通过内存获取明文密码 三种方法不需要明文密码，hash也可以 WMI windows管理规范，2003之后存在，支持用户名明文/hash认证，不会在系统日志留痕 条件 WMI 服务开启，135 端口开启 防火墙允许135、445 知道目标机器密码/has

上线后的两种情况 net user /domain ipconfig /all -> 查看主DNS后缀，判断所在位置 在域内 Administrator -> system 尝试提权//system是最高权限，可以逃离域控的控制 在域外 1.提权 Administrator -&g

Hack Browser Date https://github.com/moonD4rk/HackBrowserData 快速获取浏览器的账户密码 管理员身份启动 Searchall https://github.com/Naturehi666/searchall

被控主机是否在内网里 目的：如果在内网，可以扩大战果，进行内网渗透，拿下更多服务器 查IP地址，扫到存活的内网地址，那就是在内网里 shell ipconfig 内网是工作组还是域内 执行域内特有的命令，能正常回显就在域内 shell net time /doamin -> 找不到域控制器，说明在工