f_carey的博客

郑重声明：本笔记编写目的只用于安全知识提升，并与更多人共享安全知识，切勿使用笔记中的技术进行违法活动，利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责，共同维护网络文明和谐。Cobalt Strike Malleable C21 Malleable-C2-Profiles 简单使用2 配置文件简析2.1 配置文件结构2.2 配置文件文句2.2.1 定义Beacon客户端发送的元数据2.2.2 定义 Beacon 服务器提取元数据2.2.3 数据转换语言2.2.4 终止语句2.2.5.

郑重声明：本笔记编写目的只用于安全知识提升，并与更多人共享安全知识，切勿使用笔记中的技术进行违法活动，利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责，共同维护网络文明和谐。Cobalt Strike Aggressor Script 1 ProcessTree.cna 与 ProcessColor.cna2 elevate.cna3 Vincent Yiu 脚本合集3.1 CVE-2018-4878.cna3.2 auto-prepenv.cna3.3 Blacklist.cna.

郑重声明：本笔记编写目的只用于安全知识提升，并与更多人共享安全知识，切勿使用笔记中的技术进行违法活动，利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责，共同维护网络文明和谐。Cobalt Strike 域内渗透1 实验环境1.1 实验拓扑1.2 配置 Win08/Win72 收集域内信息2.1 查询当前权限2.2 判断是否存在域2.3 查找域控制器2.4 查询当前域内存活主机2.4.1 利用 windows 内置命令收集2.4.2 利用NetBIOS 探测内网2.4.3 利用 IC.

郑重声明：本笔记编写目的只用于安全知识提升，并与更多人共享安全知识，切勿使用笔记中的技术进行违法活动，利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责，共同维护网络文明和谐。Cobalt Strike 提权1 利用 Cobalt Strike 提权模块提权2 Cobalt Strike 与 PowerShell 模块提权1 利用 Cobalt Strike 提权模块提权获取 beacon 会话右键当前 beacon 会话选择 Access:Elevate 模块.

Cobalt Strike会话管理1 增加 CS 会话2 利用 CS 会话生成 MSF 会话3 利用 msfvenom 生成的文件生成 MSF 会话4 利用 MSF 会话生成 CS 会话1 增加 CS 会话添加新侦听器在获得的 session 会话中选择"新建会话（spawn）"：选择新添加的侦听器获取到新的会话2 利用 CS 会话生成 MSF 会话添加新外部侦听器配置 MSF 如下msf6 > use exploit/multi/handler

权限维持之：SID History 域控权限维持1 SID 作用2 利用 SID History 操作过程3 SID History 权限维持的防御1 SID 作用​ 每个用户都有自己的SID，SID的作用主要是跟踪安全主体控制用户连接资源时的访问权限，SID History是在域迁移过程中需要使用的一个属性。​ 如果A域中的域用户迁移到B域中，那么该用户的SID值就会改变，进而其权限也会改变。导致迁移后的用户无法访问以前可以访问的资源。SID History的作用是在域迁移过程中保持域用户的访问权限

权限维持：常用后门1 粘滞键后门1.1 粘滞键1.1.1 设置粘滞键后门1.2 配置开启远程桌面连接1.3 详细建议阅读此处文章2 注册表后门2.1 用注册表添加 nc 后门（metepreter）3 计划任务后门3.1 PowerSploit 中计划任务后门4 WMI 型后门4.1 防御 WMI 型后门5 WEB 后门5.1 weevely5.2 webacoo 后门配合 Windows 提权文章1 粘滞键后门1.1 粘滞键windows 系统下连续按 5 次 shift 可调出粘滞键功能，粘滞键

域控权限维持1 修改 DSRM 密码2 DSRM 域后门操作过程3 DSRM 域后门防御目录服务恢复模式（DSRM，Directory Services Restore Mode），是Windows服务器域控制器的安全模式启动选项。每个域控制器都有一个本地管理员账户 (也就是DSRM账户)。DSRM用途：允许管理员在域环境中出现故障或崩溃时还原、修复、重建活动目录数据库，使域环境的运行恢复正常。在域环境创建初期，DSRM 的密码需要在安装 DC 时设置，且很少会被重置。修改 DSRM 密码最基本的方法

郑重声明：本笔记编写目的只用于安全知识提升，并与更多人共享安全知识，切勿使用笔记中的技术进行违法活动，利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责，共同维护网络文明和谐。Kerberos 域用户提权漏洞(MS14-068；CVE-2014-63241 pyKEK 工具包2 MSF 中 ms14_068 利用3 goldenPac.py4 防范 Kerberos MS14-068 漏洞Microsoft Security Bulletin MS14-068 - Critical.

郑重声明：本笔记编写目的只用于安全知识提升，并与更多人共享安全知识，切勿使用笔记中的技术进行违法活动，利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责，共同维护网络文明和谐。获取域账号与散列值1 ntds.dit1.1 提取 `ntds.dit`1.1.1 利用 `ntdsutil.exe` 提取 `ntds.dit`1.1.2 利用 ntsuitl 的 IFM 创建卷影提取 ntds.dit1.1.3 利用 vssadmin 提取 ntds.dit1.1.4 利用 vssown..

郑重声明：本笔记编写目的只用于安全知识提升，并与更多人共享安全知识，切勿使用笔记中的技术进行违法活动，利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责，共同维护网络文明和谐。域环境中的 SPN1 SPN 简介1.1 SPN分类2 SPN 扫描2.1 SPN 命令格式2.2 SPN 查询2.3 Powershell 下的 SPN 扫描3 SPN 扫描和破解TGS Tickets3.1 注册 SPN3.2 请求 SPN Kerberos 票据3.3 导出 SPN Kerberos 票据.

郑重声明：本笔记编写目的只用于安全知识提升，并与更多人共享安全知识，切勿使用笔记中的技术进行违法活动，利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责，共同维护网络文明和谐。Exchange 服务器安全1 Exchange 邮件服务器介绍1.1 Exchange 服务器角色1.2 客户端/远程访问接口和协议2 部署 Exchange 服务3 Exchange服务发现3.1 基于端口扫描发现3.2 SPN 查询4 Exchange的操作4.1 查看 Exchange 基本操作4.2 .

郑重声明：本笔记编写目的只用于安全知识提升，并与更多人共享安全知识，切勿使用笔记中的技术进行违法活动，利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责，共同维护网络文明和谐。漏洞学习之：MS17-010MS17-010 漏洞通过向主机的 SMBv1 服务发送恶意命令造成举出，最终导致任意命令执行。在 Windows 系统中 SMB 服务默认是开启的，监听端口默认为 445。影响的系统版本有 Windows NT–WinServer 2012。利用前提：目标主机关闭了防火墙1 .

郑重声明：本笔记编写目的只用于安全知识提升，并与更多人共享安全知识，切勿使用笔记中的技术进行违法活动，利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责，共同维护网络文明和谐。Windows 密码抓取1 mimikatz 抓取密码注：在 Windows 系统中抓取 NTLM Hash 值或明文密码，必须将权限提升到 System；lsass.exe 进程用于实现 Windows 的安全策略。利用通过 SAM 和 System 文件获得 NTLM Hashgentilkiw.

郑重声明：本笔记编写目的只用于安全知识提升，并与更多人共享安全知识，切勿使用笔记中的技术进行违法活动，利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责，共同维护网络文明和谐。PSExecPSExec 原理：通过管道在远程目标主机上创建一个 PSExec 服务，并在本地磁盘中生成一个名为 PSEXESVC 的二进制文件，然后通过 PSExec 服务运行命令，结束后删除服务。1 Windows 下 PSExec 使用PSExec 下载地址利用注意点：需要远程系统开启.

郑重声明：本笔记编写目的只用于安全知识提升，并与更多人共享安全知识，切勿使用笔记中的技术进行违法活动，利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责，共同维护网络文明和谐。Windows 提权1 利用漏洞提权1.1 手工查找系统缺失补丁1.2 Windows 补丁审计工具1.2.1 Windows-Exploit-Suggester1.2.2 Sherlock1.3 MSF 模块查找可利用漏洞2 利用 Windows 配置错误提权2.1 系统服务权限配置错误2.1.1 利用 Po.

郑重声明：本笔记编写目的只用于安全知识提升，并与更多人共享安全知识，切勿使用笔记中的技术进行违法活动，利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责，共同维护网络文明和谐。隐藏隧道通信：HTTP/HTTPS 代理转发1 reGeorg 代理转发2 实验环境3 利用过程HTTP Service 代理用于将所有的流量转发到内网。1 reGeorg 代理转发原理：将内网服务器端的数据通过 HTTP/HTTPS 隧道转发到本机，实现基于 HTTP 协议的通信。reGeorg 脚本.

郑重声明：本笔记编写目的只用于安全知识提升，并与更多人共享安全知识，切勿使用笔记中的技术进行违法活动，利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责，共同维护网络文明和谐。PowerCat 介绍1 PowerCat 基础2 实验环境3 利用 NC 正向连接 PowerCat4 利用 NC 反向连接 PowerCat5 利用 PowerCat 返回 PowerShell6 利用 PowerCat 生成 Payload6.1 正向 Payload6.2 反向 Payload7 利用.

郑重声明：本笔记编写目的只用于安全知识提升，并与更多人共享安全知识，切勿使用笔记中的技术进行违法活动，利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责，共同维护网络文明和谐。隐藏隧道通信：lcx 端口转发1 lcx 端口转发原理lcx 是基于 Socket 套接字实现的端口转发工具，Windows 版本名称为 LCX、Linux 版本为 portmap。一个基本的 Socket 隧道必须包含两端：服务端：监听一个端口，等待客户端连接客户端：通过传入服务端的 IP 地址和.