谢公子的博客

2021年7月19日，法国安全研究人员Gilles Lionel披露了一种新型的NTLM Relay攻击利用手法——PetitPotam。该漏洞利用了微软加密文件系统远程协议（MS-EFSRPC，MicroSoftEncrypting File System Remote Protocol）。MS-EFSRPC是 Microsoft 的加密文件系统远程协议，用于对远程存储和通过网络访问的加密数据执行“维护和管理操作”。利用该漏洞，黑客通过连接到LSARPC强制触发目标机器向指定远程服务器发送Net-NTL.

RemotePotato是Antonio Cocomazzi和Andrea Pierini发现的一种域内攻击技术，它允许攻击者将域用户权限提升到Enterprise Admin组内，此技术执行跨协议中继以实现NTLM Relay攻击，并将提升的NTLM身份验证流量中继到域控制器以实现权限提升。利用前提条件：具有域管理员特权的用户已经登录到受害者主机或通过远程桌面登录 攻击者已获得对受害者主机的初始访问权限，或者已通过WinRM或SSH访问(拥有本地管理员权限的账号，可以是本地administrat

ADCS支持几种基于HTTP的通过管理员可以安装的其他AD CS服务器角色功能。这些基于http的证书注册接口都是易受攻击的NTLM中继攻击，因为没有启用NTLM中继保护，而且Authorization HTTP 标头明确只允许通过 NTLM 身份验证，因此更安全的协议（如 Kerberos）无法使用。http://10.211.55.4/certsrv/certfnsh.asp漏洞复现定位证书服务器机器certutil -config - -pingntlmrela

在实战中，我们经常会碰到这么一种场景。拿到域控的权限了，把域内所有用户哈希都导出来了。为了找靶标，需要登录指定用户的机器或其他web系统，但是指定用户的hash未能解除明文密码，而RDP和web又不支持hash登录，这时，渗透陷入了困境。有的朋友可能会说，既然都有域控的权限了，那可以把指定用户的密码修改为我们已知的密码再利用，但是这种方法不可行，第一是演习规则中禁止修改用户密码，第二是用户如果发现自己的密码被修改了的话，就肯定知道被入侵了，立马会进行溯源，会打草惊蛇。针对这种情况，我们有以下两种解决方案

目录漏洞说明漏洞影响版本漏洞复现漏洞说明Exchange Server 是微软公司的一套电子邮件服务组件，是个消息与协作系统。2021年03月3日，微软官方发布了Microsoft Exchange安全更新，披露了多个高危严重漏洞，其中：在 CVE-2021-26855 Exchange SSRF漏洞中，攻击者可直接构造恶意请求，以Exchange server的身份发起任意HTTP请求，扫描内网，并且可获取Exchange用户信息。该漏洞利用无需身份认证。漏洞影响版...

目录漏洞背景漏洞影响版本漏洞复现exp1exp2漏洞修复漏洞背景在微软最新发布的12月安全更新中公布了一个存在于 Microsoft Exchange Server 2010中的远程代码执行漏洞（CVE-2020-17144），官方定级 Important。该漏洞是由程序未正确校验cmdlet参数引起，经过身份验证的攻击者利用该漏洞可实现远程代码执行。该漏洞和 CVE-2020-0688 类似，也需要登录后才能利用，不过在利用时无需明文密码，只要具备 NTHash 即可。除了

漏洞背景2020年09月08日微软发布漏洞通告：CVE-2020-16875 | Microsoft Exchange Server 远程执行代码漏洞由于对cmdlet参数的验证不正确，Microsoft Exchange服务器中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以在系统用户的上下文中运行任意代码。利用该漏洞，攻击者可从特定 Exchange 用户提升到操作系统 SYSTEM 权限，攻击者首先需获得特定权限的邮箱用户(拥有Data Loss Prevention角色权限的用户)，该用

当我们拿到了Exchange邮箱服务器权限后，我们可以进行进一步的利用。比如导出所有用户的邮件等等。使用PSSession连接Exchange服务器管理邮件首先使用PSSession连接Exchange服务器#使用PSSession连接Exchange服务器$User = "xie\administrator"$Pass = ConvertTo-SecureString -AsPlainText P@ssword1234 -Force$Credential = New-Object ..

漏洞描述 Exchange Server于2018年11月份被爆出存在SSRF漏洞，可以伪造任意用户。但在之后又被爆出另外一种攻击方式，可以使用任意域内用户通过NTML Relay来接管域控！攻击者仅需要拥有一个普通域内用户权限即可对存在漏洞的Exchange服务器发起攻击，进而接管域控。漏洞影响版本Exchange 2010 ~ Exchange 2016漏洞过程Exchange允许任何用户为推送订阅指定所需的URL，服务器将尝试向这个URL发送通知。问题出在Excha...

目录一：漏洞概述二：影响范围三：漏洞利用四：漏洞防护4.1 官方升级4.2 临时防护措施一：漏洞概述6月9日，绿盟科技CERT监测到微软发布6月安全更新补丁，修复了50个安全漏洞，其中包括一个WindowsPrintSpooler权限提升漏洞（CVE-2021-1675），此漏洞为绿盟科技天机实验室向微软报告并获得官方致谢。Print Spooler是Windows系统中用于管理打印相关事务的服务，虽然微软在公告中将该漏洞标记为Important级别的本地权限提升漏洞..

目录Tmux会话操作新建会话退出会话查看会话列表进入会话销毁会话重命名会话窗口操作新建窗口切换窗口关闭窗口窗格垂直分屏水平分屏切换窗格关闭窗格Tmux我们在linux服务器上的工作一般都是通过一个远程的终端连接软件连接到远端系统进行操作，例如使用xshell或者SecureCRT工具通过ssh进行远程连接。在使用过程中，如果要做比较耗时的操作，例如有时候进行编译，或者下载大文件需要比较长的时间，一般情况下是下班之后直接运行希望第..

目录AK登录授权码登录管理Bucket存储桶ossbrowser是阿里云官方提供的OSS图形化管理工具，提供类似Windows资源管理器的功能。OSS Browser官方版支持 AK(AccessKey)登录 和 临时授权码 登录两种模式。AK登录使用AK登录ossbrowser，您可以使用AK(比如子账号AK)登录使用ossbrowser。不推荐使用主账号AK登录。登录RAM控制台创建子账号，子帐号的权限分为：大权限子账号(即拥有所有Bucket权限，且...

目录NTLM Relay捕获Net-NTLM HashNBNS&LLMNR打印机漏洞图标Outlook系统命令officepdfWPADXSSXXE&SSRF重放Net-NTLM HashRelay To SMBRelay To EWSRelay To LDAPNTLM Relay的防御NTLM RelayNTLM Relay其实严格意义上并不能叫NTLM Relay，而是应该叫 Net-NTLM Relay。它是发

本文以安装Outlook2010为例。

我们在一些脚本中经常会遇到python的加密库：crypto，安装运行的时候经常会报错。现在让我们来看看crypto加密库的一些区别：crypto：一个加密解密的库 pycrypto：crypto在python上面的名字是pycrypto它是一个第三方库，但是已经停止更新三年了，所以不建议安装这个库 pycrytodome：是pycrypto替代品，且可以兼容之前的pycrypto，与pycrypto不能同时安装 pycryptodomex：此版本为新版解密加密库可以执行如下命令：pip ins

在域渗透的过程中，我们往往只会关注Domain admins组和Enterprise Admins组，而会忽略了其它组。今天，我们要讲的是Account Operators组。该组是内置的本地域组。该组的成员可以创建和管理该域中的用户和组并为其设置权限，也可以在本地登录域控制器。但是，不能更改属于Administrators或Domain Admins组的账号，也不能更改这些组。在默认情况下，该组中没有成员。也就是说，该组默认是域内管理用户和组的特殊权限组。在实际环境中，某些企业会有专门的管理用户账

使用OpenSSL，创建新的私钥和根证书。执行如下命令，将生成文件 ca.key 和 ca.crtopenssl genrsa -aes256 -out ca.key 4096openssl req -new -x509 -days 3650 -key ca.key -out ca.crt参考文章：https://gist.github.com/magnetikonline/0ccdabfec58eb1929c997d22e7341e45...

先以guest用户RDP登录，管理员权限打开 regeditHKEY_LOCAL_MACHINE——>SAM——>SAM——>权限HKEY_LOCAL_MACHINE——>SAM——>SAM——>Domains——>Account——>Users——>000001F4 ，名称F ——>修改二进制数据(B)右键全选，然后复制然后查看HKEY_LOCAL_MACHINE——>SAM——>SAM——&g

我们知道在Windows Server2012及其以后的版本中，使用mimikatz在内存中抓取不到明文密码了，这是微软为了防止内存中泄露明文密码做的一个安全措施。但是修改注册表后重启依然可以抓取到明文密码，执行如下命令，等待目标机器重启后使用mimikatz即可抓取到明文密码reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d