【渗透测试高级篇】
文章平均质量分 88
FLy_鹏程万里
国内网络安全研究员,专注于Web渗透、移动安全、代码审计、应急响应、内网渗透、区块链安全、云安全等研究方向,擅长渗透测试、红蓝对抗、内网渗透、云安全、区块链安全。
展开
-
3、使用Windows命令来实现端口转发
0x00 前言在Windows系统中,从XP开始就内嵌了一个设置网络端口转发的功能。依靠这个功能,任何到本地端口的TCP连接(ipv4或者ipv6)都能够被转发到任意一个本地端口,甚至是远程主机的某个端口。并且,Windows系统并不需要去开启监听这个转发端口的服务。在Linux中,配置端口转发十分容易,使用iptables配置规则即可。但是在Windows服务器中,远程访问控制协议(RRAS)通...转载 2018-06-10 00:35:12 · 11427 阅读 · 0 评论 -
5、域渗透——利用SYSVOL还原组策略中保存的密码
域渗透——利用SYSVOL还原组策略中保存的密码0x00 前言在之前的文章《域渗透——Local Administrator Password Solution》对LAPS的利用进行了分析。使用LAPS最大的优点是能够确保每台域内主机有不同的密码,并且定期更换。那么,如果域内未配置LAPS,如何批量设置域内主机的本地管理员密码呢?这其中又存在哪些可被利用的地方呢?本文将要介绍如何利用SYSVOL还...转载 2018-06-11 01:05:55 · 2624 阅读 · 0 评论 -
6、域渗透中查询域用户对域成员机器关系
域用户默认可以登录域内所有计算机,为什么默认情况下所有的域用户可以登录所有的域成员机器呢?因为域管理员在新增用户时 该域用户默认就会存在域用户组中(domain users),而默认加入域的域成员机器其本地的user组中包含了全局的domain users 组成员,而域成员机器本地组策略中 允许在本地登陆 属性中包含了本地users组。 所以域管理员为了安全通常会限制域用户只能登陆指定计算机。第一...转载 2018-06-11 01:06:12 · 4954 阅读 · 0 评论 -
7、域渗透——Pass The Hash的实现
0x00 前言在之前的文章《域渗透——Pass The Hash & Pass The Key》曾介绍过kb2871997对Pass The Hash的影响。本文将站在另一个角度,介绍Pass The Hash的相关实现0x01 简介本文将要介绍以下内容:Pass The Hash的原理常用工具mimikatz中的Pass The Hashmimikatz中的Pass The Ticket...转载 2018-06-11 01:06:26 · 2177 阅读 · 0 评论 -
8、域渗透——获得域控服务器的NTDS.dit文件
0x00 前言在之前的文章《导出当前域内所有用户hash的技术整理》曾介绍过通过Volume Shadow Copy实现对ntds.dit文件的复制,可用来导出域内所有用户hash。本文将尝试做系统总结,总结多种不同的方法。0x01 简介本文将要介绍以下内容:多种实现方法比较优缺点0x02 通过Volume Shadow Copy获得域控服务器NTDS.dit文件测试系统:Server 2008 ...转载 2018-06-11 01:06:46 · 2879 阅读 · 1 评论 -
9、Metasploit域渗透测试全程实录
前期准备:1. 使用Veil生成免杀PAYLOAD2. 有一个外网IP的服务器,安装好metasploit,方便操作一.Shell反弹meterpreter上传免杀的PAYLOAD到SHELL(有时候会碰到EXE文件上传不了,可以使用powershell的meterpreter模块“XX.bat格式”来实现),然后在菜刀或者WEBSHELL下面运行,反弹成功。 二.提权反弹成功后第一步就是getu...转载 2018-06-11 01:07:10 · 960 阅读 · 0 评论 -
10、一篇经典的域渗透文章
最近在整理资料时发现一些渗透笔记,于是翻开看看,原来有一个老外的内部网还没有拿下。当时已经给内网的一台机器种植了木马,反正闲着没事就拿它来练练手吧。打开远程居然肉鸡还在,废话就不多说了,下面开始吧。首先来看看已经控制的这台电脑在内网中充当什么角色,并收集一些常规的信息。执行ipconfig /all(如图1)从 这里我们可以看出,此计算机名为abimaq6,ip地址是172.16.16.139。子...转载 2018-06-11 01:07:33 · 1420 阅读 · 0 评论 -
11、域渗透测试中使用到的命令+工具
ipconfig /all ------ 查询本机IP段,所在域等 net user ------ 本机用户列表 net localhroup administrators ------ 本机管理员[通常含有域用户] net user /domain ...原创 2018-06-11 01:07:42 · 562 阅读 · 0 评论 -
12、强大的内网域渗透提权分析工具——BloodHound
导语:简介和背景 在今年二月,我发布了一个名为“ PowerPath ” 的POC脚本,它整合了Will Schroeder的PowerView和Justin Warner的本地管理员衍生工具,图形理论以及Jim Truher(@jwtruher)为证明可以自动执行Active Directory域。简介和背景在今年二月,我发布了一个名为“ PowerPath ” 的POC脚本,它整合了Will ...转载 2018-06-14 13:04:28 · 1603 阅读 · 0 评论 -
4、Active Directory域渗透之白银票证后门
导语:本文的内容描述了一种方法,通过该方法,攻击者可以在拿到域管理级别的权限约5分钟后,就可持久的对Active Directory的管理进行访问。这篇文章将探讨攻击者如何利用计算机帐户凭据来持久的访问和控制企业内网,以及企业如何缓解这类潜在的安全问题。计算机帐号加入Active Directory(AD)的每台计算机在AD中都有一个关联的计算机帐户。AD中的计算机帐户是一个安全主体(与用户帐户和...转载 2018-06-11 01:05:32 · 798 阅读 · 0 评论 -
AD域环境的搭建 基于Server 2008 R2
AD简介AD(Active Directory)即活动目录,微软的基础件。微软的很多产品如:Exchange Server,Lync Server,SharePoint Server,Forefront Servert等都与其高度集成,形成一整套的微软解决方案。所以要想在企业中成功布署微软的产品,活动目录是必须建立的,并且至关重要,活动目录的稳定与否也直接影响到企业中其他微软产品的布署。故本节主要...转载 2018-06-14 13:04:10 · 1257 阅读 · 0 评论 -
5、内网渗透之端口转发与代理工具总结
理论上,任何接入互联网的计算机都是可访问的,但是如果目标主机处于内网,而我们又想和该目标主机进行通信的话,就需要借助一些端口转发工具来达到我们的目的注:文中提到的所有工具下载地址 https://github.com/Brucetg/Pentest-tools一、LCXlcx.exe是一个端口转发工具,有Windows版和Linux版两个版本,Windows版是lcx.exe,Linux版为por...转载 2018-06-10 00:35:43 · 5358 阅读 · 0 评论 -
6、端口转发流量操控工具总结
运用情景:在 Web 安全渗透测试经常会面临的一个问题,同时也是 Web 服务器加固方面一个很重要的部分,那就是 Web 服务器对外只开放一个 80 端口。Web 服务器的安全防护可以是操作系统的端口定制或者是网管防火前的端口定制。这时渗透测试人员如果想进一步测试内网的话必须先拿下目标服务器并拥有一定的控制权限。 以前渗透测试人员常用的一些方法是通过上传一些针对操作系统的可执行文件到目标服务器,并...转载 2018-06-10 00:35:59 · 2041 阅读 · 0 评论 -
7、Linux 端口转发特征总结
Linux 下的端口转发工具非常多,关于使用方法网上也是非常详尽。因此在本文中,就不再赘述前人的研究成果,主要侧重的是研究不同工具在做端口转发时的特征。为了方便下面的讨论,首先交代一下场景:有两台主机A(172.17.0.2)和B(172.17.0.3),其中A开放SSH服务(22端口)。现在,基于一些不可描述的原因,B无法直接与A的22端口建立TCP连接,这时B若想通过SSH连接A,必须通过端口...转载 2018-06-10 00:37:20 · 1510 阅读 · 0 评论 -
8、SSH端口转发情景模拟
SSH会自动加密和解密所有SSH客户端与服务端之间的网络数据。这一过程有时也被叫做“隧道”(tunneling),这是因为SSH为其他TCP链接提供了一个安全的通道来进行传输而得名。例如,Telnet,SMTP,LDAP这些TCP应用均能够从中得益,避免了用户名,密码以及隐私信息的明文传输。而与此同时,如果您工作环境中的防火墙限制了一些网络端口的使用,但是允许SSH的连接,那么也能够通过将 TCP...转载 2018-06-10 00:37:32 · 512 阅读 · 0 评论 -
9、Tunnel:论如何在内网中自由渗透
背景能够成功地通过web漏洞获取到webshell,对于一次完整的渗透测试来说,仅仅相当于万里长征的第一步。这么说,可能比较夸张吧,并不是所有渗透测试都会遇到几百台机器的大内网。在PTES(渗透测试执行标准)中,把渗透测试分成了七个主要的过程,也就是说现在通常说的前期交互、目标识别、信息收集、漏洞分析、漏洞利用、后渗透测试、报告编制这七大步骤。如果你看过PTES标准,你应该会跟我有一样的感觉,后渗...转载 2018-06-14 13:03:19 · 902 阅读 · 0 评论 -
3、域渗透详解
在渗透测试过程中,我们经常会遇到以下场景:某处于域中的服务器通过路由做端口映射,对外提供web服务,我们通过web脚本漏洞获得了该主机的system权限,如果甲方有进一步的内网渗透测试需求,以证明企业所面临的巨大风险,这个时候就需要做内网的域渗透。通常,我们是以获得域控制器的权限为目标,因为一旦域控制器沦陷,整个内网就尽在掌握中了,在学习域渗透之前,我们需要了解一些基础知识,本期“安仔课堂”,IS...转载 2018-06-10 13:15:17 · 3757 阅读 · 2 评论 -
1、域渗透基础简单信息收集
之前写过一篇内网当中域渗透的简单文章。好久没遇到忘得差不多了。前几天做项目,正好碰到了域环境,正好有时间,再回顾一下原来的知识,另外把新补充的知识再记录一下。域相关知识什么是域域英文叫DOMAIN——域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,2个域之...转载 2018-06-11 01:04:36 · 1547 阅读 · 0 评论 -
2、超详细的域渗透过程
大家好!我们在这个write up 里讲下几个不同的入侵 windows domian 时的横向操作。 内容不会过于深入,而会介绍一些基本技巧和流程. 为了保证测试客观性所以我将使用我们的测试对象 lock domain “REDHOOK”. 希望这会成为我们第一个关于 windows domian 的系列教程. 如果你要具体了解某些细节(比如kerberos 的 tickets)欢迎发email...转载 2018-06-11 01:05:00 · 1719 阅读 · 0 评论 -
13、域渗透提权分析工具 BloodHound 1.3 中的ACL攻击路径介绍
导语:当我们在谈论基于ACL的攻击时,我们特指的是访问控制条目(ACE),它填充了自由访问控制列表(DACL)。访问控制条目描述了Active Directory中针对安全对象的其他主体的允许和拒绝的权限。简介和背景2014年,Emmanuel Gras和Lucas Bouillot在“ 信息通信技术研讨会”(Symposium on Information and Communications)...转载 2018-06-14 13:04:37 · 898 阅读 · 0 评论 -
14、域渗透神器Empire安装和简单使用
1. Empire简介Empire is a pure PowerShell post-exploitation agent built on cryptologically-secure communications and a flexible architecture. Empire implements the ability to run PowerShell agents withou...转载 2018-06-14 13:04:48 · 6692 阅读 · 0 评论 -
15、基于psexec的域渗透测试工具—Smbexec v2.0
Smbexec V 2.0是一款基于psexec的域渗透测试工具,并配套Samba工具特性枚举登陆的域管理员抓取hash释放缓存令牌 (基于cachedump)远程登录认证抓取明文认证信息Pop shells包括smbexec.shinstaller.shpatches to compile binariessource for samba-3.6.9 and winexe-1.0...原创 2018-06-14 13:05:10 · 2689 阅读 · 0 评论 -
swaks伪造邮件
严重声明:文章内容仅供学习交流,切勿用于恶意破坏,如造成任何法律影响,本博主概不负责!Swaks简介Swaks是一款类似于“瑞士军刀”的工具,之所以这么说是因为它在SMTP邮件协议领域有非常非常广泛的应用,同时对于一名信息安全高级工程师来说也是一个不错的利用工具!它通常被用来伪造邮件,进行钓鱼、社工等操作,但是这种也是具有一定风险的,同时在这里提醒广大用户在收到邮件时,不要直接打开邮件,先...原创 2018-11-15 17:35:54 · 6006 阅读 · 0 评论 -
【免杀】————1、PHP一句话过狗、卫士、D盾等免杀思路
00x1.关键字拆分比如assert,可以写成 ‘a’.’ss’.’e’.’r’.’t’这样。总结:这种方法虽然简单,但是却没有太强的免杀功效,需要结合其他方法。00x2.可变变量、引用、可变函数。可变变量:比如$a=$_POST[‘x’];$b=’a’;@eval($$b);测试结果:总结:这种方法对狗等WAF可以绕过哦~但是对于D盾这种多规则的是无效的!引用:比...转载 2019-03-04 15:32:42 · 1724 阅读 · 0 评论 -
【免杀】————2、php免杀木马的思路
一般的,利用能够执行系统命令、加载代码的函数,或者组合一些普通函数,完成一些高级间谍功能的网站后门的脚本,叫做 Webshell。本篇文章主要探讨关于 PHP 语言的 Webshell 检测工具和平台的绕过方法,实现能够绕过以下表格中 7 个主流(基本代表安全行业内 PHP Webshell检测的一流水平)专业工具和平台检测的 PHP Webshell,构造出零提示、无警告、无法被检测到的一句...转载 2019-03-04 15:50:36 · 1736 阅读 · 0 评论 -
【免杀】————3、Excel 和 Metasploit 和 免杀
这篇文章主要介绍以Excel文件为载体,生成meterpreter反向shell的不同方法。简介这篇文章会继续讨论反向shell和规避杀毒软件的方法。有兴趣的可以看我的前一篇文章。随着时间飞逝,以前一些很好的绕过杀毒软件的方法现在均已失效。所以,我必须找到一种新的方法来隐藏我的反向shell。让我们开始吧………古老而简单的方法可能是最好的…通过SMB_Deliver开启一个me...转载 2019-03-07 09:24:40 · 946 阅读 · 0 评论 -
【免杀】————4、Webshell如何bypass安全狗,D盾
前言相信各位师傅都有自己过waf一句话的思路,我这写一下自己常用的思路与及具体方法,如有错误,还望大家斧正。上次很多师傅问我要的web漏扫的github地址抱歉还不能给你们,(毕设没答辩完,而且还没写完Orz)Webshell这里,我主要是写phpwebshell的bypass(主要是其他的没研究过),安全狗的版本是在官网下载的apache4.0版本。D盾是2.0.9的...转载 2019-04-04 09:17:29 · 1119 阅读 · 0 评论 -
【免杀】————5、过D盾webshell分享
0x00 前言最近在测试过程中遇到了D盾,悲催的发现所有过D盾的webshell都被查杀了。因此就在网上搜索了一些之前可以过D盾的shell,然后将其做了一些变形(有一些shell没有更改),使其可以过D盾。本次一共奉献上9个可过D盾的shell,全部亲测可过。0x01 extract 变量覆盖过D盾<?php $a=1;$b=$_POST;extract($b);...转载 2019-04-04 10:02:06 · 1924 阅读 · 0 评论 -
Best Bypass WAF
[~] order by [~]/**/ORDER/**/BY/**//*!order*/+/*!by*//*!ORDER BY*//*!50000ORDER BY*//*!50000ORDER*//**//*!50000BY*//*!12345ORDER*/+/*!BY*/[~] UNION select [~]/*!00000Union*/ /*!00000Select*/...转载 2019-04-10 12:45:03 · 1328 阅读 · 0 评论 -
如何编写自己的Web日志分析脚本?
因为平时总是接触Web日志,但是苦于Web日志量大,windows下无法直接打开,linux下又得一个一个的去找,太麻烦,算是偷懒,第一次用shell命令写这个分析脚本,边写边改整理了将近1个星期,肯定不如有UI界面的好,但是作为一个Web日志分析小工具来说,也不是一无是处,各位看官也可以给点意见,可以一起帮忙完善这个脚本。nginx中间件分析脚本 http://pan.baidu.co...转载 2018-10-18 15:48:54 · 944 阅读 · 0 评论 -
从少量访问日志还原黑客攻击过程
武侠世界里,常常会提到“尸体会说话”,而在网络的攻防世界里,日志是最重要的追踪手段。今天要说的故事是,通过仅仅几行访问请求来还原整个黑客的攻击过程和常见攻击手法。每天都有大量攻击者在利用已爆出的各种相应插件的漏洞,来攻击WordPress 和 Joomla 站点。下面主要来介绍利用 Google Dork 的攻击手法。 Google Hacking 是黑客们来寻找攻击目标最常用的一...转载 2018-10-18 15:28:09 · 1083 阅读 · 0 评论 -
16、DeathStar:一键自动化域渗透工具(含演示视频)
Empire和BloodHound这两个Github项目极大程度地简化了针对活动目录(AD)的渗透测试过程,至少在我当前所遇到的95%的环境中是这样的。随着年月的积累,我发现很多事情都是自己一直在重复地做着,因此我打算将它们通过自动化的方式来实现。毕竟,通过“即发即弃”的脚本来自动化获取域管理员权限(Domain Admin)是大家都想实现的一个目标,没错吧?幸运的是,前人已经帮我们完成了很多非常...转载 2018-06-14 13:05:23 · 795 阅读 · 0 评论 -
17、内网渗透测试定位技术总结
0x01 前言说起内网定位,无论针对内网查找资料还是针对特殊人物都是非常实用的一项技术。这里把目前能够利用的手段&工具都一一进行讲解。0x02 服务器(机器)定位收集域以及域内用户信息收集域内域控制器信息收集域控上域用户登录日志信息收集域内所有用户名以及全名、备注等信息收集域内工作组信息收集域管理员帐号信息收集域内网段划分信息收集域内组织单位信息常用收集域信息命令:Ipconfig /al...转载 2018-06-14 13:05:57 · 1815 阅读 · 0 评论 -
Metasploit权限提升全剧终
0×01 引言通常,我们在渗透过程中很有可能只获得了一个系统的Guest或User权限。低的权限级别将会使我们受到很多的限制,所以必须将访问权限从Guset提升到User,再到Administrator,最后到SYSTEM级别。渗透的最终目的是获取服务器的最高权限,即Windows操作系统中管理员账号的权限,或LINUX操作系统中root账户权限。提升权限的方式分为两类。纵向提权:低权限角色获得高...转载 2018-07-06 10:11:03 · 5468 阅读 · 0 评论 -
MySQL数据库Root权限MOF方法提权研究
MySQL数据库Root权限MOF方法提权研究MySQL Root权限MOF方法提权是来自国外Kingcope大牛发布的MySQL Scanner & MySQL Server for Windows Remote SYSTEM Level Exploit(https://www.exploit-db.com/exploits/23083/),简称mysql远程提权0day(MySQL W...转载 2018-07-06 11:16:12 · 927 阅读 · 0 评论 -
Web日志安全分析浅谈
一、为什么需要对日志进行分析?随着Web技术不断发展,Web被应用得越来越广泛,所谓有价值的地方就有江湖,网站被恶意黑客攻击的频率和网站的价值一般成正比趋势,即使网站价值相对较小,也会面对“脚本小子”的恶意测试攻击或者躺枪于各种大范围漏洞扫描器,正如安全行业的一句话:“世界上只有两种人,一种是知道自己被黑了的,另外一种是被黑了还不知道的”此时对网站的日志分析就显得特别重要,作为网站管理...转载 2018-10-18 14:07:52 · 5505 阅读 · 3 评论 -
Web日志安全分析系统实践
前言在社区看到了这篇日志分析的文章--《Web日志安全分析浅谈》,文章整体写的非常棒,对日志分析的作用、难点、工程化建设和攻击溯源等方面进行了全面的描述。去年的毕设我也做了相关的研究,主要是去实现一个日志分析系统,算是一个更加的完整的工程化建设,这里把一些关键的过程与大家分享。一、系统设计在开发一个项目之前当然要先做好设计,明白自己想要的是一个什么系统,可以使用哪些技术、算法和硬件设备...转载 2018-10-18 14:24:55 · 965 阅读 · 0 评论 -
我的日志分析之道:简单的Web日志分析脚本
前言长话短说,事情的起因是这样的,由于工作原因需要分析网站日志,服务器是windows,iis日志,在网上找了找,github找了找,居然没找到,看来只有自己动手丰衣足食。那么分析方法我大致可分为三种:1. 基于时间:将请求url按时间段分类,那么我们根据每个时间段的url数量及攻击数量就可以大致判断出哪个时间段有apt类型攻击,哪个时间段是扫描器行为;2. 基于攻击ip:正常的攻...转载 2018-10-18 15:15:57 · 449 阅读 · 0 评论 -
社工查询网址汇总
社工查询网站企业信用查询 国内企业信息 政府信息查询 身份信息查询 驾驶员及车辆信息查询 物品资产查询 物流查询 发票查询 金融查询 手机信息查询 个人信息查询 搜索引擎 企业信用查询1、信用中国查询内容:工商注册企业和个人、行政许可和处罚网址:http://www.creditchina.gov.cn/2、全国企业信用信息公示查询内容:全国企业工商登记注...原创 2019-04-07 15:57:30 · 39788 阅读 · 3 评论 -
2、Web狗要懂的内网端口转发
这次XNUCA的决赛不会内网渗透吃了很大亏,团队赛第一天回来后恶补了一下端口转发,第二天总算是能解决链路问题,虽然最后还是被各位师傅吊打了区分正向代理和反向代理(自己的理解,可能有误)A——B——CA对C的请求,B作为代理,代替A去访问C,并将结果返回给A,则B是正向代理B主动与A的8888端口建立连接,并将A:8888的访问转为对C:80的访问,结果返回给A,则B是反向代理反向代理的好处:当AB...转载 2018-06-10 00:35:03 · 2744 阅读 · 0 评论