qq_31812157的博客

黄金票证是一种权限维持手段，攻击者获得了对 Active Directory 密钥分发服务帐户 （KRBTGT） 的控制权，并使用该帐户伪造有效的 Kerberos 票证授予票证 （TGT）。这使攻击者能够访问 Active Directory 域上的任何资源，如果有 KRBTGT 哈希，您可以伪造自己的 TGT，其中包括想要的任何组成员身份的 PAC 数据白银票据是伪造的票证，银票仅允许攻击者伪造特定服务的票证授予服务 （TGS） 票据。

是一种允许攻击者窃取使用RC4加密的KRB_TGS票证的技术，以暴力破解应用程序服务HASH来获取其密码Kerberos使用所请求服务的NTLM哈希来加密给定服务主体名称 (SPN) 的KRB_TGS票证。当域用户向域控制器KDC发送针对已注册SPN的任何服务的TGS 票证请求时，KDC会生成KRB_TGS攻击者可以离线使用例如hashcat来暴力破解服务帐户的密码，因为该票证已使用服务帐户的NTLM 哈希进行了加密。Kerberoasting攻击主要步骤如下1.发现SPN服务。

WMIC是Windows 管理仪表命令行(Windows Management InstrumentationCommand-line)的简称，它是一款命令行管理工具，使用WMIC，我们不但可以管理本地计算机，还可以管理统一局域网内的所有远程计算机（需要必要的权限），而被管理的计算机不必事先安装WMIC。自Windows98开始，Windows 操作系统都支持WMICWMIC是一系列工具集组成的。

MySQL 是一个关系型数据库管理系统，由瑞典 MySQL AB 公司开发，目前属于 Oracle 公司。MySQL 是一种关联数据库管理系统，MySQL 的 SQL 语言是用于访问数据库的最常用标准化语言。MySQL 软件采用了双授权政策，它分为社区版和商业版，一般中小型网站的开发选择 MySQL 作为网站数据库。Mysql 基础MySQL自带的系统数据库，当中大部分是我们需要了结的信息，比如字符集，权限相关，数据库实体对象信息，外检约束，分区，压缩表，表信息，索引信息，参数，优化，锁和事物等等。

由于连接上之后总是掉权限，并且计划任务不知道为什么报错，mimikatz总是需要频繁的重新导入票据，捣鼓了很久没有思路，在翻笔记时想起了，建立ipc之后 psexec 就不需要账号密码了，于是下面的命令成功执行了shell。发现还是普通权限，不过没关系我们可以上传一个cs中转的木马，使用SharpSQLTools的system权限来执行。发现sqlserver的用户设置了约束委派，因此我们要拿下sqlserver那台主机，使用约束委派拿下域控。经历千辛万苦，终于成功了，他攻击的时候不要按回车，可能出问题。

java安全已成为安全从业者必不可少的技能，而反序列化又是Java安全非常重要的一环。又是本文将从0基础开始，带着大家层层递进，从java基础到URLDNS链到最终理解反序列化cc1链Apache Commons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库，它提供了很多强大的数据结构类型和实现了各种集合工具类。作为Apache开放项目的重要组件，Commons Collections被广泛的各种Java应用的开发。

类的加载指的是将类的.class文件中的二进制数据读入到内存中，将其放在运行时数据区的方法区内，然后在堆区创建一个java.lang.Class对象，用来封装类在方法区内的数据结构。类的加载的最终产品是位于堆区中的Class对象，Class对象封装了类在方法区内的数据结构，并且向Java程序员提供了访问方法区内的数据结构的接口若要实现自定义类加载器，只需要继承java.lang.ClassLoader 类，并且重写其findClass()方法即可。

但由于request的inputbuffer会复用，所以在修改完maxHeaderSize之后，需要多个连接同时访问（burp开多线程跑），让tomcat新建request的inputbuffer，这时候的buffer的大小就会使用修改后的值。这里附上poc，使用方法和上面相同，还是对class进行base64编码，放到cc2中生成序列化文件，如果有用过天下大木头师傅的文件的，这个文件和他有点小区别，我们可以把这个类进行类加载，因此cc2，cc3，cc4都是可以用这个类，因为他们是调用了。

提权没什么好说的，主要是执行命令的之后的利用。

什么是寄存器用汇编语言写程序的工作过程。

标签可以很方便的调用 windows 的各种系统工具来执行命令或者代码,所以至今仍被许多木马所滥用,他们本质上大都是借助此特性来触发执行恶意代码的hta弹出计算器demo<html><head><script>此处通过 WScript.Shell 组件来执行系统命令,很多 asp,aspx 代码中默认也都用的这个组件

因为 mssql 默认支持 windows 本地认证登录 ，一般情况下administrator是能直接用凭证登录而不需要数据库密码的，因此我们可以抓取管理员的hash，本地hash注入启动 sockscap ，之后用sockscap启动 ssms 或者 navicat，而由sockscap启动的进程也是继承了刚刚的管理员权限。关于本地 hash 注入可利用的方式其实还非常多,甚至可以稍微衍生一步想想,是不是所有基于 windows 认证登录的服务或者客户端连接工具,都可以进行类似的利用呢?

certutil已经被检测了但是绕过还是很简单。或者copy出来在运行。

win 2008 r2 后就默认禁用了WDigest协议，所以不能直接抓到明文密码1.把mimilib.dll放到C:\WINDOWS\system32目录下2.往lsa注册表中添加Security Packages的值3.重启系统就能在c:\windows\system32目录下得到kiwissp.log的凭据记录文件上面这些操作在powersploit已有集成。

其中pData是加密的数据， guidMasterKey是凭据的GUID。找到刚才GUID对应的MasterKey，这个就是pData的加密秘钥。mimikatz拿获取的MasterKey进行解密。当我们远程桌面连接的时候rdp会保存在凭证里。记住guidMasterKey执行以下命令。mimikatz执行以下命令。

如果我们想把我们的某一个功能给别人用但是不想让别人知道我的源码时，我们可以把obj文件和头文件复制给别人用。但是当我们功能比较多，一堆obj比较麻烦，这时候就出现了静态库，将obj集合在一起。3将DLL和LIB文件拷贝到工程目录下，最好在工程的DEBUG目录下也拷贝一份。：如果很多工程使用，就要拷贝很多份.lib文件，这些lib都是一样的。：如果.lib更新，使用的工程如需更新，则必须重新编译。导入直接将lib和dll放入项目下，导入lib文件即可。a方式一：项目>>属性>>链接>>依赖项>>lib名称。

输入checkin 然后mode dns 或者 mode dns-txt 命令来让Ghost beacon 变成alive beacon。也适用于没有网的主机。但是自定义的dns可以出网的情况。注意建立时间比较长，不是马上输入就有。一个填NS记录，一个填A记录。生成stageless。vps要开启53端口。设置一个A和NS记录。

1.arping 这个命令只能识别相同网段的主机，跨网段就无法了。4.写一下shell命令。

代码审计学习

内网渗透学习笔记，自己看的