内网渗透
prettyX
这个作者很懒,什么都没留下…
展开
-
域内令牌窃取伪造
域内令牌窃取原创 2022-09-13 12:57:49 · 1342 阅读 · 0 评论 -
0XID定位多网卡主机 使用记录
1、0XID Resolver是在支持COM+的每台计算机上运行的服务,有两项重要职责:它存储与远程对象连接所需的RPC字符串绑定,并将其提供给本地客户端 它将Ping消息发送到本地计算机具有客户端的远程对象,并接收在本地计算机上运行的对象的Ping消息。0XID解析器的此方面支持COM+垃圾回收机制。2、使用条件:k8大佬总结的,附上截图下图是老外的原文我们可以在实际环境中,自己进行测试3、附上原作者的代码,可以根据自己的需要进行二次开发,添加多线程部分、支持IP段等。..原创 2022-04-03 10:35:46 · 4403 阅读 · 0 评论 -
通向域控思路总结
一、渗透路线的确认1、DMZ区的一般是一些虚拟化的服务器;注意流量不能过大;流量加密;2、维护好入口点;3、寻找另一台跳板机;4、判断当前所处的位置,如果在DMZ,可以注意寻找多网卡主机,出DMZ;5、利用在服务器中搜集到的账号密码,尝试枚举连接LDAP等,并尝试获取域内普通用户权限;6、进一步的信息收集,包括SPN扫描,和所获取的域用户权限获取域信息,以及周围主机信息;7、利用常规渗透手法拿下域控:委派、非约束委派,CVE漏洞、定位管理员、PTH、令牌窃取等二、CVE漏洞利原创 2022-03-31 00:12:25 · 4596 阅读 · 0 评论 -
域内信息搜集 补充
1、确定杀软,包括具有哪些模式,如网购模式,并针对不同模式做好免杀;2、如在DMZ中,重点关注多网卡主机;3、信息搜集命令ipconfig /displaydnswmic process get name,executablepathwmic service list brief #查询本机服务信息wmic startup get command,caption #查看启动程序信息schtasks /query /fo LIST /v #查看计划原创 2022-03-28 00:00:05 · 1477 阅读 · 0 评论 -
Neo-reGeorg 测试
今天来学习、测试一下Neo-reGeorgNeo-reGeorg下载地址:https://github.com/L-codes/Neo-reGeorg使用1、设置密码并生成隧道文件,默认生成到当前路径的neoreg_server目录下://kalipython3 neoreg.py generate -k test123 2、将生成的脚本,这里使用的是tunnel.php,放到模拟环境的双网卡的Web目录下使用neoreg.py连接Web服务器,在本地建...原创 2021-10-06 01:14:31 · 619 阅读 · 0 评论 -
Windows 命令行混淆
参考文章:鸿鹄实验室《Windows命令行混淆》环境变量环境变量的基本用法是使用set对变量进行赋值,然后可以直接使用赋值后的变量进行直接调用查看环境变量:set设置环境变量:set abc=cmd /c whoami执行:%abc%所有的在cmd命令行下对环境变量的修改只对当前窗口有效,不是永久性的修改。也就是说,当关闭此cmd命令行窗口后,将不再起作用。双引号双引号,可以帮助文件或目录保持一个整体,而不会被中间的空格切割。用法是:...原创 2021-10-04 10:49:31 · 311 阅读 · 0 评论 -
Ubuntu下tmux安装、使用
tmux是一款终端复用工具tmux一般需要自己安装#ubuntu 或 Debian$ sudo apt-get install tmux# CentOS 或 Fedora$ sudo yum install tmux使用命令#直接进入tmux#退出exit 或 Ctrl+d#新建会话tmux new -s <session-name>#分离会话:会退出当前tmux窗口,但是会话和里面的进程仍然在后台运行tmux detach #查看当前所有tm原创 2021-09-20 11:32:30 · 2623 阅读 · 0 评论 -
【转】好文推荐,API unhooking技术
利用API unhooking完成进程注入,成功绕过Bitdefender检测 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com转载 2021-09-10 21:10:26 · 114 阅读 · 0 评论 -
RDP 总结(二):登录凭据获取
当用户在RDP登录时点击了保存登录凭据,获取凭据可以使用以下几种方法查看是否存在RDP凭据#查看mstsc的连接记录cmdkey /list#查找本地的Credentialsdir /a %userprofile%\appdata\local\microsoft\credentials\*Mimikatz存在的话,使用Mimikatz,执行以下命令,记录guidMasterKey值mimikatz.exe "privilege::debug" "dpapi::cred..原创 2021-08-21 13:33:10 · 988 阅读 · 0 评论 -
RDP 总结(一)
查询和修改RDP状态1、通过查询注册表,判断RDP是否开启reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections如果fDenyTSConnections项的值为0,则表明已启用RDP 如果fDenyTSConnections项的值为1,则表明已禁用RDP2、使用CheckRdpStatus.ps1脚本查询RDP的状态...原创 2021-08-21 10:20:21 · 2258 阅读 · 0 评论 -
psexec
psexec简介psexec是Windows提供的工具,杀软会将其添加到白名单中 psexec.exe依赖于admin$共享,而impacket下的psexec.py则依赖于admin$或c$共享 psexec的基本原理:通过管道在远程目标机器上创建一个psexec服务,并在本地磁盘中生成一个名为“PSEXESVC”的二进制文件。然后,通过psexec服务运行命令,运行结束后删除服务。由于创建或删除服务时会产生大量的日志,所以会在朔源时通过日志反推攻击流程。psexec使用前提目标主机开启了a原创 2021-08-18 07:27:59 · 1397 阅读 · 0 评论 -
WMIC 总结(一)
使用WMIC管理wmiwmic logon list brief #登录用户wmic ntdomain list brief #域控机器wmic useraccount list brief #用户列表wmic share get name,path #查看系统共享wmic service list brief | more #服务列表wmic startup list full #识别开机启原创 2021-08-17 00:55:14 · 1015 阅读 · 1 评论 -
【转】TLS 相关数据结构
有参考价值,推荐https://www.freebuf.com/articles/network/262202.html转载 2021-08-11 09:33:37 · 162 阅读 · 0 评论 -
Sslprovider.h
要想使用该头文件需先安装cpdk原创 2021-08-05 14:52:53 · 125 阅读 · 0 评论 -
定位思路篇
思路篇分析组关系:可以使用net group /domain查询该域内所有的组名称,然后用net group 组名 /domain 查询指定组内的所有用户。也可以使用dsquery、adfind、powerview等工具查询 注意描述信息:在新建OU、组、用户等对象的时候会添加描述信息。可以使用adfind、powerview等工具查询信息(Description属性) 第三方服务:邮件系统、工资结算系统、业务系统 分析网段划分:同一部门的员工很可能分在同一网络中,网管计算机上可能找到网络划分信息原创 2021-08-01 18:03:54 · 389 阅读 · 0 评论 -
LDAP协议 学习
LDAP简介LDAP(Light Directory Access Portocol)是基于X.500标准的轻量级目录访问协议。LDAP协议之前有一个X.500 DAP协议规范,该协议什么复杂,是一个重量级的协议,后来对X.500进行了简化,诞生了LDAP协议,与X.500相比变得较为轻量,其实LDAP协议依然复杂。 LDAP约定了Client、Server之间的信息交换格式、使用的端口号、认证方式等内容。 而LDAP协议的实现,有着众多版本,例如微软的Active Directory是LDAP在W原创 2021-08-01 16:05:54 · 989 阅读 · 0 评论 -
Ldapsearch
这里我们学习Ldapsearch的用法,主要是获取域中用户、主机、用户组、指定用户组中的用户信息测试环境域控:Windows 2016,域名:test.lab 测试主机:未加入域,和域控在一个网段,KaliLdapsearch的使用1、Ldapsearch介绍由OpenLDAP Project项目组开发维护,一个在Shell环境下进行调用ldap_search_exe库进行LDAP搜素的工具。Kali中默认安装 LDAP和Windows AD的关系:Active Directory=L原创 2021-08-01 10:24:43 · 6076 阅读 · 0 评论 -
获取本地保存凭证
Wifi不需要管理员权限netsh wlan show profilesfor /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do netsh wlan show profiles %j key=clear >> 1.txt获取系统保存vp*凭证1、工具dialupass,需要管理员权限:http://www.nirsoft.net/utils/dialupass.html2、Mimi原创 2021-07-31 22:08:01 · 198 阅读 · 0 评论 -
【转】通过组策略 修改 Cipher suite 顺序
https://www.jianshu.com/p/92e6402c641a修改后记得重启机器转载 2021-07-23 21:40:55 · 303 阅读 · 0 评论 -
本地信息收集 补充
一、最近访问的文件//查看最近访问的文件dir c:\users\%username%\appdata\roaming\microsoft\windows\recent\*.lnk//查看最近访问的office文件dir c:\users\%username%\appdata\roaming\microsoft\office\recent\*.lnk//查看快捷启动dir "c:\users\%username%\appdata\roaming\microsoft\Internet Ex原创 2021-07-18 17:48:31 · 155 阅读 · 0 评论 -
Windows 、Linux 之间相关操作
根据MS08067系列课程整理内容Windows 对Linux的命令执行 Windows、Linux之间文件文件传输命令执行一、SSH管理工具可以使用xshell、MobaXterm等,这里以MobaXterm为例MobaXterm下载地址:https://mobaxterm.mobatek.net/Kali开启SSH服务:systemctl start ssh 启用SSH服务systemctl status ssh 查看服务是否成功启用sud原创 2021-07-18 16:02:18 · 104 阅读 · 0 评论 -
粘滞键利用总结
粘滞键Windows系统下,启用粘滞键的键盘快捷方式是按5次Shift键方法一将sethc.exe(粘滞键程序)替换成cmd.exe,这样在目标机登录页面连续按5下shift可调出cmd命令行sethc路径:c:\windows\system32这里有一个权限的问题需要注意,在Windows Vista版本之后的系统,当修改sethc.exe程序名字或将该程序剪切走时,会需要TrustedInstaller权限TrustedInstaller权限,要高于Administrat原创 2021-04-24 11:32:09 · 3343 阅读 · 2 评论 -
域信任查询 命令
补充几条域信任查询命令nltest /domain_trusts获取域信任信息nltest /domain_trusts /all_trusts /v /server:192.168.100.236返回所有信任192.168.100.236域的所有域nltest /dsgetdc:test.com /server:192.168.100.236返回域控和其对应的IP...原创 2021-04-13 17:08:29 · 3151 阅读 · 0 评论 -
【转】QQ OutLook设置
https://www.jb51.net/softjc/266263.htmlhttps://service.mail.qq.com/cgi-bin/help?id=28&no=371&subtype=1#3转载 2021-04-06 19:36:09 · 151 阅读 · 0 评论 -
【转】VS2013 安装、配置 Boost库
https://blog.csdn.net/alpha_love/article/details/77897313转载 2021-03-26 09:56:36 · 158 阅读 · 0 评论 -
Win10 明文抓取 复现
这篇文章是根据安全客文章《Win10及2012系统以后的明文抓取方式》,在本地搭建环境复现,在这里整理记录1、通过各种可行的方法获取lsass.exe进程的dump文件2、在默认情况下,当系统为Win10或2012R2以上时,默认在内存缓存中禁止保存明文密码,如下图,密码字段显示为null3、此时可以通过修改注册表的方式抓取明文,但需要用户重新登录后才能成功抓取,通过修改注册表来让Wdigest Auth保存明文口令reg add HKLM\SYSTEM\CurrentControlS原创 2021-03-18 15:11:56 · 310 阅读 · 0 评论 -
【转】cmd中%号和双引号转义
https://www.cnblogs.com/sky20080101/articles/6803449.html转载 2020-11-11 08:37:10 · 4343 阅读 · 0 评论 -
使用CMSTP绕过AppLocker
0x01 AppLocker简介0、在大型组织的安全领域中,AppLocker正在扮演越来越重要的角色,应用AppLocker规则可以显著降低企业的安全风险1、AppLocker:即“应用程序控制策略”,是Windows 7系统中新增加的一项安全功能,在Windows 7以上的系统中都集成了该功能2、利用AppLocker,管理员可以非常方便地进行配置,以实现管理用户在计算机上可以运行哪些程序、安装哪些文件、运行哪些脚本3、由于AppLocker是基于组策略管理和配置的,因此,企业IT管理员原创 2020-07-10 17:34:16 · 363 阅读 · 0 评论 -
MS16-032 提权
MS16-032补丁编号:KB3139914 影响系统版本:Windows Vista、Windows 7、Windows 8.1、Windows 10、Windows 2008 Server、Windows 2012 Server 漏洞下载地址:https://www.exploit-db.com/exploits/39719 系统要求:系统至少有2个以上CPU核心,否则利用脚本无法运行;PowerShell v2.0及以上版本 测试命令: powershell.exe -exec byp原创 2020-06-16 20:53:52 · 1034 阅读 · 0 评论 -
【转】OutLook
http://www.downyi.com/downinfo/174863.html转载 2020-06-09 19:35:04 · 221 阅读 · 0 评论 -
内网(2):Info gather
内容内网信息收集主机发现 工作组、域下基础信息收集 LDAP信息收集内网信息分析主机发现网络连接(netstat -ano) 路由表(route print) IP 段(内网通常IP:172、192、10,当然也可以自己随意设置) NET系列命令(net view、net session) ARP(arp -a) nbtstat(nbtscan.exe cidr,有Linux版本) ICMP(ping -n 1 ip、ping -c 1 ip) HOSTS(c:\window原创 2020-05-25 21:42:19 · 361 阅读 · 0 评论 -
内网(1):Windows提权概述
根据DM老师的课程所整理内容Windows单机提权 Bypass UAC Bypass AppLockerWindows单机提权EXP提权systeminfo wmic qfe get Caption,Description,HotFixID,InstalledOn post/windows/gather/enum_patches Windows-Exploit-Suggester https://github.com/SecWiki/Windows-kernel-exploit原创 2020-05-21 10:01:07 · 324 阅读 · 0 评论 -
内网杂谈:NTLM & Kerberos
前言通过WireShark抓包对比分析,分别使用ip、主机名ipc$登录时的差异过程主机1:域控,192.168.2.2主机2:域主机,192.168.2.71,主机名 WIN-NQHKI8PEPVJ场景一通过主机1连接主机2net use \\192.168.2.71\ipc$场景二通过主机1连接主机2net use \\WIN-NQHKI8PEPVJ\ipc$...原创 2020-05-20 08:05:35 · 293 阅读 · 0 评论 -
Kerberos域安全系列(29) NTLM中间人攻击
NTLM中间人攻击NTLM Relay,中间人攻击或重放攻击是一个意思 2001年,最早由Dystic实现,SMBRelay 2004年,发展为HTTP->SMB,BlackHat,未开源 2007年,HTTP->SMB被集成到MetaSploit 2008年,HTTP->HTTP的NTLM攻击被实现(MS08-067)NTLM认证过程NTLM中间人实验1、工具ntlmrelayx.py ,安装命令 pip install ldap3 dnspytho原创 2020-05-19 10:03:24 · 706 阅读 · 1 评论 -
Kerberos域安全系列(24)-基于域委派的测试
域委派域委派是大型网络中经常部署的应用模式,给多跳认证带来很大的便利,同时也带来很大的安全隐患,利用委派可获取域管理员权限,甚至制作深度隐藏的后门 域委派是指,将域内用户的权限委派给服务账号,使得服务账号能以用户权限开展域内活动。 服务账号(Service Account):域内用户的一种类型,服务器运行服务时所用的账号,将服务运行起来并加入域。例如MS SQL Server在安装时,会在域内自动注册服务账号Sql Service Account,这类账号不能用于交互式登录。一个域内普通.原创 2020-05-18 10:11:12 · 336 阅读 · 0 评论 -
【转】双因子认证
http://www.ruanyifeng.com/blog/2017/11/2fa-tutorial.htmlhttps://support.fortinet.com.cn/index.php?m=content&c=index&a=show&catid=53&id=469转载 2020-03-26 15:43:51 · 437 阅读 · 0 评论 -
Kerberos域安全系列(27)-DCShadow测试技术分析
2018年1月24日,Benjamin Delpy(神器Mimikatz的作者)和Vincent Le Toux在BlueHat IL会议期间公布了针对域活动目录的一种新型攻击技术“DCShadow”。最新版的Mimikatz已经集成了这个功能。在具备域管理员权限条件下,攻击者可以创建伪造域控制器,将预先设定的对象或对象属性复制到正在运行的域服务器中。在具备域管理员权限,还需要这种方法吗?...原创 2020-02-16 11:43:46 · 470 阅读 · 0 评论 -
Kerberos域安全系列(26)-DCSync
2015年8月,Benjamin Delpy(Mimikatz的作者)和Vincent Le Toux发布了新版本的Mimikatz,新增加了DCSync功能。模仿一个域控制器DC,从真实的域控制器中请求获取数据,例如账号的口令散列值等数据。在域内,不同DC之间,每15分钟都会有一次域数据的同步。实现不登录到域控制器上,而获取域控制器数据库中的数据。DCSync之前,为了获取域的账号口令信息,...原创 2020-02-15 13:19:36 · 886 阅读 · 0 评论 -
Kerberos域安全系列(23)-域分组
查看域内分组的方法:Dos命令:net group /domain Powershell:Get-ADGroup ADSI 图形界面 LDAP API 接口一般来说,一个普通的域会有许多分组,对于大型的森林域来说会更多,其中许多分组没有成员,有些分组的成员重叠。为了理解划分这么多分组的意义,以一个例子开始。假设1个公司有5个部门,每个部门都有自己的门禁卡,公司有30个员工,因为公司...原创 2020-02-15 00:26:23 · 486 阅读 · 0 评论 -
Kerberos域安全系列(20)-基于域信任关系的域安全测试
域信任:建立域之间的信任关系,是为了一个域的用户能方便地访问其他域的资源,同时也方便了对域网络的管理和维护。这种模式在带来便利的同时,也存在很多可以被恶意攻击者利用的地方。...原创 2020-02-14 15:22:36 · 719 阅读 · 0 评论