b10d9的博客

概述以下针对AD域的渗透，均在已控制域内主机，并在此基础上进一步渗透域控或域内其他主机。获取缓存的凭证kerberos认证过程中，使用LSASS服务存储密码hash，用于TGT的更新，密码hash存储在LSASS服务对应的内存空间中。若能够提取密码hash，则可以尝试破解。由于LSASS服务为系统服务，故提取密码hash的前提是已经具备系统权限。用到的工具：Mimikatz（https://github.com/gentilkiwi/mimikatz）详细使用说明：https:/

利用net命令查询用户及组信息net user #查询本地用户net user /domian #查询域用户net user USERNAME /domain #指定查询某域用户net group /domain #查询域用户组利用powershell查询用户及组信息利用powershell脚本，查询域控信息。LDAP路径格式：LDAP://HostName[:PortNumber][/DistinguishedName]第一部分：先获取LDAP路径信...

提权方法：Windows Services （upnphost and SSDPSRV）参考连接：Windows XP SP0/SP1 权限升级到系统教程 (sohvaxus.github.io)漏洞检测工具：accesschk.exe下载连接：这里 (archive.org)旧版或这里 (xor.cat)旧版或live.sysinternals.com - /新版旧版有一个“/accepteula”参数，可以在命令行执行的时候接受EULA，新版删除了这个参数，需要用到这个参数时，用旧版。

需要了解的几个知识点BITS服务是什么BITS是一个与网络传输相关的系统服务。可用于上传下载文件到HTTP或SMB服务器，Windows更新也用到了BITS，BITS可以实现网络重连或系统重启后，续传文件。BITS是与.NET/C/C++开发相关的COM接口。BITS是一种COM服务。BITS会监听本地6666端口。RottenPotatoNG是什么基于BITS服务进行提权工具。当具备SeImpersonate和SeAssignPrimaryToken权限时，禁用BITS服务，并占用

今天在做靶机练习的时候，遇到了在回连shell的时候，使用常用的reverse shell连接失败了。整理了以下思路。通过以下思路判断为何失效，并更新reverse shell内容。（不一定全，欢迎补充）1. 利用phpinfo()来获取PHP的配置信息。PHP：<?php phpinfo(); ?> 查看是否具备包含远程文件的条件：allow_url_fopen/allow_url_include是否开启。 查看是否有禁用的函数：disable_functions，重要

Github：ffuf/ffuf: Fast web fuzzer written in Go (github.com)用户手册：Everything you need to know about FFUF | Codingo1、简单的网站目录扫描ffuf -u http://site.com/FUZZ -w ./wordlist.txt-u 指定扫描的网址，FUZZ指定需要进行爆破的位置。-w 指定使用的Wordlist文件，指定多个字典用，分隔，或使用多个-w。2、需要递

通过reverse shell建立与目标机器的连接之后，通过以下操作，使得Ctrl+C、TAB等快捷键能够正常使用。通过python -c 'import pty;pty.spawn("/bin/bash")'建立一个可以交互的终端。CRTL + Z将进程放入后台。输入stty raw -echo; fg。（执行命令后，所有的快捷键操作都会直接发送给目标机器，所以比如输入Ctrl+c也不会终止连接，一定程度上也可以防止误操作。fg命令是将后台挂起的连接进程返回前台，必须在一条命令执行，否则前一条的命

DNS域传送漏洞DNS域传送漏洞手工验证方法自动验证方法DNS域传送漏洞备域名服务器可以向主域名服务器请求获取全部映射表以备份，当主域名服务器无法提供服务时，备服务器可以继续提供域名解析。当主服务器对发起请求的备服务器不进行验证时，则存在漏洞，冒充备服务器向主服务器请求以获取映射表。（当前存在该漏洞的可能性较小。）手工验证方法操作：CMD→nslookup→server dns.example.com(dns.example.com为想获取映射表的域名服务器）→ls example.com(exa

【渗透技巧】暴力破解 - 字典外部字典字典生成工具cewl工具john工具crunch工具外部字典kali自带了以下几个好用的外部字典。/etc/share/seclists/etc/share/wordlist字典生成工具cewl工具cewl工具可以自动爬取网站关键字后生成字典文件。$ cewl www.example.com -m 6 -w example-cewl.txt#-m参数，生成的密码最小位数为6#-w参数，指定字典生成的位置和名称john工具/etc/john/

Medusa工具Medusa 的特点稳定性好速度控制得当基于线程支持模块少于hydra(不支持RDP) - WEB-Form支持存在缺陷(只支持登录失败失败方式)使用medusa # 直接输入显示帮助$ medusa -d# -d参数，显示所有支持的模块$ medusa -M ftp -q# -q参数，显示指定模块的使用说明$ medusa -h 1.1.1.1 -u admin -P /usr/share/wordlists/rockyou.txt -M http -m DIR:/adm

SQL注入漏洞成因SQL注入漏洞存在的成因主要是：用户将自己可控的输入内容拼接到了源代码中的SQL语句中，并且系统将拼接后的SQL语句发送给了后台数据库执行。SQL注入可以导致：信息泄露、木马上传等。常见的存在注入功能场景常见的SQL注入场景有用户认证场景和搜索场景。理论上存在用户可控输入，且与后台数据库有交互的地方的都可能存在SQL注入，都需要根据“代码与数据分离”原则，做好SQL注入防护。用户认证场景用户认证场景下的SQL语句如下示例，可以利用“万能密码”绕过认证。MySQL示例：SEL

【渗透技巧】pop3协议渗透banner信息获取nmap pop3脚本扫描pop3爆破pop命令行命令行登录pop邮箱telnet方式nc方式例子banner信息获取nc -nv <IP> 110nmap pop3脚本扫描nmap --scripts "pop3-capabilities or pop3-ntlm-info" -sV -port <PORT> <IP> pop3爆破可以使用hydra或者xhydra。hydra-wizard可以提供命令行向

【漏洞利用】文件上传漏洞&文件包含漏洞利用一句话木马汇总GitHubPHP一句话静态免杀PHP一句话文件上传绕过图片马制作cmd图片头欺骗后缀名绕过前端js验证双后缀名MIME类型绕过文件包含漏洞（上传成功后的利用）文件包含漏洞相关的函数结合PHP伪协议常见协议利用方式php://data://zip://file://phar://一句话木马汇总GitHub中国蚁剑项目PHP一句话在服务端生成内容为一句话木马的shell.php文件，结合php://input使用。<?p

MySQL UDF提权UDFUDF涉及的MySQL的版本区别获取MySQL基本信息secure-file-priv参数在不同版本的默认值lib_mysqludf_sys创建UDF查询已有UDFs在kioptrix 4靶机中测试生成一个新的UDFsys_eval和sys_exec输出结果区别总结UDFUDF是MySQL开放的自定义接口，用户可以设计自定义函数实现自定义功能。UDF涉及的MySQL的版本区别MySQL 5.0.67开始，UDF库必须包含在plugin文件夹中，可以使用’@@ plugin