Ping_Pig的博客

讲在前面：    无论何种攻击手法在日志或流量是都会留下一定的痕迹，但是使用何种的规则将其监控到，这是令防守方头大的问题。WMI横向移动、权限维持都会在日志监控到。至于如何制定规则，本文不展开。总之两点：做好 WMI 连接的网络流量监控，一般不使用 WMI 的环境若出现了使用 WMI的情况，则内部网络可能已经被入侵。做好进程监控，监测”wmic.exe“的命令行参数及其执行的命令。日志检测注意：在日志检测中，最重要的数据来源就是Windows日志，而

讲在前面：    在简单了解了WMI后，我们开始了横向移动，包括其中的信息收集，工具利用。那么在我们短暂的获取权限后，如何才能将权限持久化，也就是所说的权限维持住呢？笔者看了国内外部分文章后，发现WMI做权限维持主要是介绍WMI事件，并将其分为永久事件和临时事件，本文参考部分博客文章对WMI事件进行讲解，不足之处，望及时指出。什么是WMI事件    WMI事件，即特定对象的属性发生改变时发出的通知，其中包括增加、修改、删除

WMI利用（横向移动）讲在前面：    上一篇文章我们简单的解释了什么是WMI，WMI做什么，为什么使用WMI。本文是笔者在阅读国内部分的解释WMI横向移动的文章后写下的一篇文章，希望帮助同学们在攻防中进入横向移动后根据实际场景利用WMI来解决问题。在横向移动中的固定过程中一定离不开“信息收集”，然后分析信息根据实际场景（工作组或者域）来进行横向移动，至于使用什么工具，为什么使用这个工具，笔者使用WMI的意见。所以本文分为三个段落，信息收集、横向移动、部分意见。

讲在前面：    笔者在阅读了WMI的微软官方文档以及国内优秀前辈的介绍文章后，获益匪浅，WMI是一个较为老的知识点了，但是对于想要简单理解WMI的同学来说，对于一个新的知识点进行理解最好是能够有生动形象的例子进行抛砖引玉式的解读，将晦涩难懂的知识点吃透、理解后用简单的话语将其作用表达清楚，使其读者能够快速的理解并为读者接下来深入理解打好基础，以便在攻防中更好的利用WMI，所以此篇文章笔者使用通俗的话语将WMI表达清楚，在下文中对于基础薄弱的同学对于COM组件、Pr

解释：KDC服务器默认开放88、464端口针对Kerberos的攻击有哪些用户名爆破 密码喷洒和密码爆破 Kerberoasting ASRepRoasting 黄金票据和白银票据 MS14-068 非约束委派、约束委派、基于资源的约束委派 票据传递（ptt/ptk/ptc） mimikatz加密降级攻击(万能钥匙) 使用恶意的kerberos证书做权限维持讲在后面：针对kerberos的攻击，我们必须要了解kerberos协议的始终，对一次完整的kerbero

讲在前面我们在这里学习的是sysinternals工具包中的psexec.exe。本文对于psexec.exe的实现具体理论技术不做赘述，国内外已有优秀的博客对此做了非常详细的解释(本文借鉴国内已有的文章)。本文从实际出发，复述psexec在实现上需要了解的几个重点知识，至于重点知识是否需要深入了解，读者可自行深入。我们先知道执行psexec会产生那些日志，然后我们再了解psexec执行过程中的技术细节，最后我们来总结日志、psexec的技术细节了解对于我们检测此类横向移动有什么帮助。日志产生

讲在前面：对于mimikatz的原理本文只通过简单的话语表述，并在文章后给出分析的思路和参考文章。对于绕过补丁，本文只对KB2871997补丁做阐述，并且犹豫对mimikatz的介绍文章非常之多，所以本文只取重点罗列，让读者能够简单快速的明白关键点，深入理解在文章后给出分析思路和参考文章。mimikazt的原理注意：本文对mimikatz获取lsass.exe进程中明文密码的原理做简单描述。开发语言：C/C++。 开发初衷：深入学习Windows系统以及C/C++语言。获取明文密码：

讲在前面：笔者本文对Kerberos协议不会进行详细分析，站在读者已有Kerberos协议简单的基础上结合互联网已有的文章，对上述两个漏洞产生的原理、利用方式、防御方式进行介绍。区别之处：笔者翻阅了国内外尽可能多的关于黄金票据和白银票据的文章，将其中对于两者的区别之处的解释经过笔者删改后呈现如下，也就是说如下的区别，的的确确是全面的关于两者的区别。 区别点 黄金票据 白银票据 访问权限 获取任何Ker

讲在前面：Mimkatz在2015年8月添加的一个主要特性是“DCSync”，它可以有效地“模拟”一个域控制器，并向目标域控制器请求帐户密码数据。DCSync由Benjamin Delpy和Vincent Le Toux编写。使用适当的权限来利用Mimikatz的DCSync，攻击者可以通过网络从域控制器获取密码hash和以前的密码hash，从而不需要进行交互式的登录或复制Active Directory数据库文件(ntdd .dit)来得到密码hash运行DCSync需要特殊权限。管理员、域管

目录讲在前面简介SPN的知识点：SPN命名实例SPN默认实例部分查询SPN脚本windows自带setspn.exe，部分命令如下：GetUserSPNs.ps1GetUserSPNs.vbsPowerView.ps1总结：讲在前面在Active Directory环境中发现服务的最佳方法是通过所谓的“ SPN扫描”。攻击者进行SPN扫描的主要好处是，SPN扫描不需要连接到域内网络上的每个IP即可检查服务端口。SPN扫描通过对域控制器的LDAP查询执行服务发现

讲在前面国内外的各大厂商以及各类研究员多年来对在网络威胁中使用Powershell进行渗透的行为做了不同形式的报告，那么，为什么Poweshell在近几年的渗透中很受攻击中追捧呢，最大的特点就是Powershell的灵活性和丰富的功能使常规检测形同虚设。这篇文章在火眼（FireEye）的通过机器学习来检测Powershell恶意行为研究基础上进行部分修改后展示。通过这篇文章，读者将会简单学习到：为什么传统的“基于签名”或“基于规则”的检测引擎检测Powershell的威胁会遇到瓶颈 如何使用自

讲在前面：这里笔者是为了测试随意选择的大版本为2016版，小版本则未选择，目前exchange2016在微软官网已经更新至第15版。可自行按照环境选择。下载列表：Exchange2016下载地址 .NET Framework 4.5.2 Microsoft 统一通信托管 API 4.0安装步骤步骤一：装载iso镜像后，直接运行EXE程序，选择好所在目录。步骤二：等待其将安装文件释放至自行指定的目录后，执行安装.NET Framework 4.5.2的操作。下载.NET4.5

目录讲在前面：一、CredSSP获取明文密码二、Dcsync获取明文密码讲在前面：本文是笔者在学习"三好学生"前辈的文章进而总结的一篇文章，内容主要是在内网渗透中获得明文密码的两种方式。，在笔者看来，两种办法都有一定的限制性和局限性，当然还有其他的办法，这需要笔者进一步的继续深入学习从而总结。一、CredSSP获取明文密码CredSSP的研究文章的文章通过CredSSP导出用户的明文口令。这篇文章已经分析的非常清楚如何使用，以及使用的场景，当然优缺点也给大家进行了展示，这里不做赘

讲在前面这篇文章相对目前的大环境来说，已经不合时宜了，但我们还是要拿出来讲一讲，思考思考Powershell的攻击与检测问题。以期望给目前国内的中小企业的网络安全建设提供一些建议。Powershell作为工具的演变Powershell是Microsoft Windows所有受支持版本（Win7/Windows 2008 R2和更高版本）上内置的命令行工具。微软称其为是最安全，最透明的Shell、脚本语言或编程语言。但恰恰因为其强大，也吸引了攻击者的注意力。因为其可以在内存中执行代码的特点，攻击者

讲在前面2014年，Microsoft发布了KB2871997补丁，它主要囊括了Windows 8.1和Windows Server 2012 R2中增强的安全保护机制。所以，以往的例如：Windows 7，Windows 8，Windows Server 2008R2和Windows Server 2012也可以更新该补丁后获得上述安全保护机制。介绍增强的安全保护机制中有如下部分几点：减少存储在内存中的凭据数据 支持现代身份验证（Kerberos AES）其实主要防范的是在身份登录时凭

目录讲在前面工具简介使用一、安装二、使用1-healthcheck-安全检查2-conso-将多个报告汇总到一个报告中3-carto-构建所有互连域的地图4-扫描-在工作站上执行特定的安全检查5-高级-打开高级菜单总结讲在前面笔者在今年年初接触到该工具，一直未抽出空对工具的使用做一次翻译和自己的总结，目前将此工具的使用做如下翻译性的总结。同时笔者对此工具开始二次开发，在开发的过程中笔者将不断的分享域内安全渗透技术总结、C#开发备忘录、以及Windows底.

讲在前面内网的众多漏洞当中，我们就不得不介绍DCShadow和DCSync。笔者在国内外优秀的研究员的研究基础上，对相对比较优秀的文章做一次总结，尽量言简意赅的将这两个漏洞的意思表达清楚。DCSync已经做过一篇文章的介绍，本篇文章简单回顾。DCShadow攻击简介在具备域管理员权限的前提下，攻击者可以创建伪造的域控制器，将预先设定好的对象或对象属性同步复制到正在运行的域服务器中在目标AD中注册一个伪造的DC 使伪造的DC被其他DC认可，能够参与域复制 强制触发域复制，将预先设定好的对象

讲在前面此文笔者记录自己利用MS17-010漏洞时的几种方法。工具可以评论笔者获取MSFMSF利用模块exploit/windows/smb/ms17_010_eternalblueauxiliary/admin/smb/ms17_010_commandauxiliary/scanner/smb/smb_ms17_010exploit/windows/smb/ms17_010_eternalblue_win8exploit/windows/smb/ms17_010_psex

目录讲在前面：本地安全机构子系统服务（LSASS）场景思考注意ntds.dit介绍：https://blog.csdn.net/qq_41874930/article/details/108141331部分方法如下：使用NTDSUtil的Create IFM在DC上本地捕获ntds.dit文件使用VSS卷影副本远程拉ntds.dit使用PowerSploit的Invoke-NinjaCopy远程拉ntds.dit（需要在目标DC上启用PowerShell远程处理）注意

https://blog.csdn.net/SheXinK/article/details/103754294

https://juejin.im/post/6844903782644449293

讲在前面:Kerberoasting攻击手法在域渗透中是必不可缺的一项手法，它可以帮助你利用普通用户的权限在AD中提取到服务账户的凭据，又因为一般的服务账户密码策略可能较为薄弱或密码设置为永不过期等等。所以当攻击者拿到服务凭据后，花不了多大功夫就将其暴力破解了。注意:Windows系统默认的服务已经映射到AD中的计算机账户中，该类账户具有关联的128个字符的密码，破解起来相对费劲。针对这个问题我们需要了解如下两个协议，当然在这里我们只能简单的介绍，笔者参考了如下几篇优秀的论文以帮助您来了解K

1.以管理员身份运行cmd2.安装windows服务 cd C:\Windows\Microsoft.NET\Framework\v4.0.30319(InstallUtil.exe的路径，注意InstallUtil.exe的版本号需要和项目的版本号相同)3.安装windows服务 InstallUtil.exe D:\项目相关文件\MonitoringTEST\DialTest\bin\Debug\ProjectTest.exe(项目的路径)4.启动windows服务 net...

讲在前面当前域组策略可被修改。一般此漏洞用作权限维持一、修改组策略，开启AlwaysInstallElevated特权安装功能：计算机配置-策略-管理模板-Windows组件-Windows Installer-始终以提升的权限进行安装：选择启用 用户配置-策略-管理模板-Windows组件-Windows Installer-始终以提升的权限进行安装：选择启用注意：实验过程可以强制更新组策略，一般情况需要等待下一次更新时间更新组策略-gpupdate /force 强制更新组策略

1、computer browser服务和server服务是否开启。右键单击“我的电脑”，进入“管理”>“服务”，启动“Computer Brower”服务，若无法启动，请确认“Server”和“WorkStation”两项服务已开启，并设置“Computer Brower”服务属性为“手动启动”。2、关闭防火墙...

目录讲在前面：Kerberos协议概述Kerberos认证流程Kerberos协议产生的安全问题——之AS用户名枚举黄金票据pass the hash 和pass the key（凭据传递攻击）Password Spraying（密码喷洒）AS-REPRoastingKerberos协议产生的安全问题之——TGSKerberos协议产生的安全问题之——PAC讲在前面：该文章不是以科普的形式书写，而是在学习前辈的基础上进行的自我笔记记录以及复习。Kerb

讲在前面：我一般就看浏览器的历史记录和存储密码。一下介绍查看chrome和ie的cookie存储地址，以及chrome的历史记录和cookie信息存储地址firefox渗透的技术win10的IE本地存储cookie地址：

讲在前面：对原理的分析为集百家之长，简单介绍。认真看好吗，弟弟！！！原理：该漏洞位于Windows的UAC（User Account Control，用户帐户控制）机制中。默认情况下，Windows会在一个单独的桌面上显示所有的UAC提示——Secure Desktop。这些提示是由名为consent.exe的可执行文件产生的，该可执行文件以NT AUTHORITY\SYSTEM权限运行，完整性级别为System。因为用户可以与该UI交互，因此对UI来说紧限制是必须的。否则，低权限的用户可能可以通

讲在前面：使用Ubuntu做物理机，使用Vmware做虚拟机平台，将物理机设置为不上网，在虚拟机内进行渗透测试和上网的配置Ubuntu设置：配置防火墙然后虚拟机设置网卡为系统网卡Vmware-Linux15.5 Pro下载Windows设置配置防火墙然后虚拟机设置网卡为系统网卡Vmware-Windows15.5 Pro下载15.5 Pro激活码激活密钥许可证VMware Workstation Pro 15 激活许可证UY758-0RXEQ-M81WP-8ZM

以下为简单的例子，以便遇到问题了可以直接看到了使用，详细的理解以及编辑更多功能的计划任务，可以参考以下优秀的计划任务博客。Windows计划任务：命令:schtasks主要功能：创建计划任务SCHTASKS /Create /? 删除计划任务 SCHTASKS /Delete /? 显示计划任务 SCHTASKS /Query /?等等。例子：新建一个名为...

因时间限制，我没有亲自去做这个实验，周六我和我好友一起复现了这个漏洞，那么我转载我好友优秀的复现文章，仅供学习参考！CVE-2019-0708 远程桌面漏洞复现...

查看端口命令netstat -an 查看本地上所开放的所有端口netstat -ano 显示出所有占用端口的列表netstat -ano|findstr "80" 显示80端口占用的详细情况 tasklist |find "139" 查询端口具体那个应用占用,tasklist命令是win用来显示运行在本地或远程计算机上的所有进程的命令行工具,等同于linux上的top命...