网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
匿名[社招]安全工程师(红队方向)
1. 不出网有什么方法,正向shell 方法除了reg之类的,还有什么? dns隧道 venom/nc等 2. 域内委派 域委派是指,将域内用户的权限委派给服务账号,使得服务账号能以用户权限开展域内活动。 一是非约束性委派(Unconstrained Delegation),服务账号可以获取某用户的TGT,从而服务账号可使用该TGT,模拟用户访问任意服务。 二是约束性委派(Constrained Delegation),即Kerberos的扩展协议S4U2Proxy,服务账号只能获取某用户的TGS,从而只能模拟用户访问特定的服务; 三是协议传递,即Kerberos的扩展协议S4U2Self,服务账号针对某一个特定服务,可查询获取任意用户的TGS,从而能模拟任意用户访问该特定服务。 3. dpapi机制说下,能干嘛 DPAPI 由一个加密函数(CryptProtectData())和一个解密函数(CryptUnProtectData())组成,是一组跟Windows 系统用户环境上下文密切相关的数据保护接口。某个系统用户调用 CryptProtectData() 加密后的数据只能由同一系统用户调用 CryptUnProtectData() 来解密,一个系统用户无法调用 CryptUnProtectData() 来解密其他系统用户的 DPAPI 加密数据。 4. fastjson 不出网 dnslog 5. shiro漏洞类型,721原理,721利用要注意什么? 由于Apache Shiro cookie中通过 AES-128-CBC 模式加密的rememberMe字段存在问题,用户可通过Padding Oracle 加密生成的攻击代码来构造恶意的rememberMe字段,并重新请求网站,进行反序列化攻击,最终导致任意代码执行。 收集密钥 6. weblogic 漏洞类型都有啥,原理 未授权访问/任意文件上传/反序列化 7. dll劫持,dll注入 利用Window可以先加载当前目录下的dll特性,仿造系统的LPK.DLL,让应用程序先加载我们的伪LPK.DLL,然后在我们的dll中去调用原来系统的原函数. 8. 内网优先爆破测试的端口、为什么;如果只有3389开放,爆破3389的实际影响… 445,web端口 正常也会通信尽量无异常流量。 3389 挤掉用户被发现 9. window2003 frp nps为神马用不了 golang1.11开始不支持xp,而更高的frp版本都是用golang1.11+编译的,所以不再支持xp/2003 10. 钓鱼方法姿势…除了exe这种双击的,还有什么 office宏/chm/lnk/自解压/钓鱼网站 11. redis window shell方法 未授权访问 powershell反弹shell/mshta.exe/cs/web服务(写一句话) 12. bypass uac 技巧,方法 ,原理 通过 UAC,应用程序和任务可始终在非管理员帐户的安全上下文中运行,除非管理员特别授予管理员级别的系统访问权限。UAC 可以阻止未经授权的应用程序自动进行安装,并防止无意中更改系统设置。 UACME/利用白名单/利用COM接口/利用Shell API 13. 内存马 filter shell ………. Filter程序则是一个实现了特殊接口的Java类,一般用于进行请求过滤。当某一个请求需要对内存中的数据进行读写或者执行时,就需要经过Filter的判断和过滤,由Filter来决定这些请求是否有权限进行这些操作。而内存马正是利用了这种机制,通过动态注册一个新的Filter或者向Filter中注入恶意的shellcode,让Filter允许攻击者访问到Web服务器内存中的数据。只要拥有了可用的Filter,攻击者就能进行远程攻击,而不管是shellcode的注入过程还是对Web服务器数据进行访问的过程都会在内存中出现异常行为。 14. PTH深度原理,利用条件 哈希传递攻击 获取了目标机器用户的NTLM Hash的情况下,可无需破解哈希直接使用目标的NTLM Hash来完成身份验证 15. 抓hash方法,有杀软抓不到尼… mimikatz,免杀,powershell,procdump导出lsass.exe mimikatz本地读取 等等 16. Windows defender安全机制 反恶意软件扫描接口(AMSI)工具,可以在内存中捕捉恶意脚本。任何应用程序都可以调用这个接口,任何注册反恶意软件引擎都能处理提交给AMSI的内容。 保护活动目录(AD) 虚拟化以限制攻击 17. 有的时候抓到的hash不是明文为啥 当系统为win10或2012R2以上时,默认在内存缓存中禁止保存明文密码 18. hvv三大洞 19. cs是否有二次开发过,cna脚本有没有写过.1. 不出网利用方法与正向Shell
非DNS隧道方法:
- ICMP隧道:通过封装数据到ICMP包(如PingTunnel)。
- HTTP隧道:利用HTTP协议传递数据(如reGeorg、Neo-reGeorg)。
- SMB协议:通过文件共享传递命令(如impacket-smbserver)。
- WebSocket:建立长连接绕过防火墙(如WebSocket代理)。
- 邮件协议:通过SMTP/POP3外发数据(需目标开放邮件服务)。
正向Shell补充:
- 命名管道(Named Pipe):通过IPC通信绑定Shell(需内网互通)。
- RDP反向代理:隧道穿透后开启本地端口转发至RDP服务。
2. 域内委派攻击扩展
利用场景与防御:
委派类型 攻击手法 防御措施 非约束性委派 窃取TGT后模拟用户访问任意服务(如黄金票据)。 限制高权限账户委派权限。 约束性委派 利用S4U2Proxy访问特定服务(如SQL Server)。 仅允许必要服务的SPN绑定。 协议传递(S4U2Self) 获取任意用户的TGS访问特定服务(如Exchange)。 禁用不必要的S4U扩展协议。
3. DPAPI机制与应用
实战利用:
- 解密条件:同一用户或系统权限(需获取Master Key)。
- 提取Master Key:
- 通过Mimikatz导出:
dpapi::masterkey /in:key.blob /password:明文密码。- 利用用户缓存的凭据(如RDP登录密码)。
- 应用场景:解密Chrome密码、Outlook凭证、VPN配置等敏感文件。
4. Fastjson不出网利用DNSLog
无外网场景利用:
- DNS查询外带:构造恶意JSON触发目标发起DNS解析(Payload中含攻击者域名)。
- 检测盲注:通过DNS响应时间判断漏洞是否存在。
- 绕过限制:利用目标本地DNS缓存或内网DNS服务器传递数据。
5. Shiro漏洞类型与721利用
关键点:
- 漏洞类型:
- CVE-2016-4437(反序列化)。
- CVE-2020-1957(权限绕过)。
- 721利用注意:
- 需收集有效AES密钥(如硬编码密钥或配置文件泄露)。
- 绕过Padding Oracle检测(需精确构造Payload)。
- 依赖目标环境存在可利用的反序列化链(如CommonsBeanutils)。
6. Weblogic漏洞类型与原理
常见漏洞分类:
- 未授权访问:CVE-2020-14882(绕过控制台认证直接执行命令)。
- 反序列化:CVE-2017-10271(XMLDecoder解析漏洞)。
- 任意文件上传:CVE-2018-2894(文件上传路径可控导致WebShell写入)。
- T3协议漏洞:CVE-2015-4852(Java反序列化攻击)。
7. DLL劫持与注入
技术对比:
技术 原理 防御 DLL劫持 利用加载顺序劫持系统DLL(如LPK.DLL)。 启用签名验证(Sigcheck)。 DLL注入 远程线程注入(如CreateRemoteThread)。 监控进程行为(Sysmon)。
8. 内网爆破优先级与3389风险
端口选择逻辑:
- 优先级:445(SMB协议,易获取哈希) > 1433(MSSQL,执行命令) > Web端口(弱口令或未授权)。
- 3389爆破风险:
- 多次失败触发账户锁定策略。
- 活跃用户被挤下线引发告警(如终端服务日志Event ID 25)。
9. Windows 2003工具兼容性问题
替代方案:
- 低版本frp:寻找Golang 1.10以下编译的旧版本(如frp 0.36.2)。
- 其他工具:Plink(SSH隧道)、reGeorg(HTTP隧道)、netsh(端口转发)。
10. 钓鱼方法扩展
非EXE姿势:
- Office宏:诱导启用宏执行恶意VBA代码。
- CHM文件:编译HTML Help文件触发命令执行。
- LNK快捷方式:伪装图标+恶意命令行参数(如PowerShell下载)。
- 自解压程序:捆绑恶意脚本与正常文件(WinRAR SFX)。
- 二维码钓鱼:跳转至伪造登录页面窃取凭证。
11. Redis Windows Shell方法
实战步骤:
- 写启动项:
config set dir指向启动目录,生成恶意脚本。- 主从复制RCE:利用
SLAVEOF同步恶意模块(需Redis 4.x+)。- 计划任务:通过
schtasks创建定时任务执行Payload。
12. UAC绕过技巧
原理与示例:
- 白名单提权:
- 利用
fodhelper.exe(无提示提权):修改注册表HKCU\...\shell\open\command。- COM接口劫持:劫持
ICMLuaUtil接口执行高权限操作。- DLL劫持:替换受信任进程加载的DLL(如wusa.exe )。
13. 内存马Filter型原理
驻留与检测:
- 注入流程:
- 动态注册Filter(通过
FilterConfig添加恶意类)。- 拦截请求并执行命令(如
FilterChain.doFilter)。- 检测方法:
- 对比
web.xml与内存中Filter列表。- 监控JVM字节码修改行为(如Java Agent)。
14. PTH攻击深度解析
利用条件与限制:
- 必要条件:
- 获取目标用户NTLM哈希(需管理员权限或本地访问)。
- 目标禁用SMB签名或服务允许明文认证。
- 工具示例:
sekurlsa::pth /user:Administrator /domain:test.com /ntlm:xxxxxx(Mimikatz)。
15. 抓取哈希对抗杀软
免杀方法:
- LSASS内存转储:
- 使用
procdump -ma lsass.exe导出,离线解析(避免内存扫描)。- 定制Mimikatz:
- 修改特征码或使用反射加载(如PowerShell脚本调用)。
- 日志绕过:清除安全日志(
wevtutil cl Security)。
16. Windows Defender安全机制
关键防护技术:
- AMSI(反恶意软件扫描接口):动态检测内存中的脚本(如PowerShell)。
- 虚拟化安全:基于Hyper-V的Credential Guard隔离敏感数据。
- 攻击面减少(ASR):阻止Office宏、PUA执行等高风险行为。
17. 哈希非明文原因与对策
场景与解决方案:
- Win10+默认禁用WDigest:
- 启用WDigest:
reg add HKLM\...\Security /v UseLogonCredential /t REG_DWORD /d 1。- 缓存限制:仅能获取NTLM哈希,需结合PTH攻击横向移动。
18. HVV三大核心漏洞
典型漏洞分类:
- Web漏洞:SQL注入、文件上传、未授权访问(如API接口)。
- 系统漏洞:永恒之蓝(MS17-010)、SMBGhost(CVE-2020-0796)。
- 配置漏洞:弱口令、默认凭证、服务权限过宽(如Everyone完全控制)。
19. Cobalt Strike二次开发
扩展场景:
- CNA脚本开发:
- 自动化任务(如批量截图、日志清理)。
- 自定义攻击模块(如结合内部漏洞扫描器)。
- 插件集成:对接威胁情报API(如IP信誉查询)。
- 协议定制:修改Beacon通信特征绕过流量检测。
扫一扫
821
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
