HACKONE的博客

排查 init.d 目录下的脚本文件，如果某个脚本启动的服务进程与名称不符，或者脚本文件的内容被修改，加有别的什么东西启动了别的进程，必须仔细排查，极可能是被用来启动后门进程了。排查C: \、C: \winnt、C: \winnt\System 、C: \winnt\ System32、C: \winnt\System32\dllcache、C: \winnt\System32\ drivers、各个Program Files目录下的内容，排查他们目录及文件的属性，若无版本说明，多为可疑文件；

访谈管理员，了解DDOS事件情况。

执行命令stat[空格]文件名，包括三个时间access time（访问时间）、modify time（内容修改时间）、change time（属性改变时间）根据事件时间、传播方式进行问题的排查。根据访谈结果，判断是否误报。

这下面的逻辑就是我们再使用模式PHP_XOR_RAW和 PHP_XOR_BASE64生成木马时，会先通过代码中的genenrate找到template模板下的木马文件。通过替换密钥和key后直接按照template模板下的木马生成wenshell，所以我们把原来木马的模板替换成免杀的模板后，替换密钥和key后可直接生成免杀马。setting是控制下面显示的界面 asseet是实现端口扫描的，php目录下的文件是界面的显示的东西。这里定义的生成类，就是要找template下的生成文件。

FastJson有一个全局缓存机制：在解析json数据前会先加载相关配置，调用addBaseClassMappings()和loadClass()函数将一些基础类和第三方库存放到mappings中（mappings是ConcurrentMap类，所以我们在一次连接中传入两个键值a和b，之后在解析时，如果没有开启autotype，会从mappings或deserializers.findClass()函数中获取反序列化的对应类，如果有，则直接返回绕过了黑名单。，在经过黑白名单后，在加载类时会去掉前后的L和;

蓝宝石票据与钻石票据类似，票据不是伪造的，而是通过请求后获得的合法票据。在蓝宝石票据中，高权限用户PAC是通过S4U2Self+U2U获得的，然后该PAC会替换原来的PAC，由于该票据是完全合法元素组合起来的，所以是最难检测的票据。白银票据是伪造的 Kerberos Ticket Grant Service （TGS） 票证，银票仅允许攻击者伪造特定服务的票证授予服务 （TGS） 票据。白银票据所需的利用条件和黄金票据是相同的，只是秘钥换成了对应服务的机器账户 Hash(尾部带$的均为机器账户)

NTLM Relay其实严格意义上并不能叫NTLM Relay，而是应该叫 Net-NTLM Relay。它是发生在NTLM认证的第三步，在 Type3 Response消息中存在Net-NTLM Hash，当攻击者获得了Net-NTLM Hash后，可以进行中间人攻击，重放Net-NTLM Hash，这种攻击手法也就是大家所说的NTLM Relay(NTLM 中继)攻击。2、利用Net-NTLM Hash中继攻击（Net NTLM Hash相同）#横向移动-NTLM中继-暴力破解&Relay攻击。

当Windows系统的Active Directory证书服务（CS）在域上运行时，由于机器账号中的dNSHostName属性不具有唯一性，域中普通用户可以将其更改为高权限的域控机器账号属性，然后从Active Directory证书服务中获取域控机器账户的证书，导致域中普通用户权限提升为域管理员权限。set payload windows/x64/meterpreter/bind_tcp //正向连接上线。run post/multi/manage/autoroute //添加当前路由表。

机器A（域控）访问具有非约束委派权限的机器B的服务，会把当前认证用户（域管用户）的的TGT放在ST票据中，一起发送给机器B，机器B会把TGT存储在lsass进程中以备下次重用。简而言之，非约束委派是指用户账户将自身的TGT转发给服务账户使用。委派是一种域内应用模式，是指将域内用户账户的权限委派给服务账号，服务账号因此能以用户的身份在域内展开活动（请求新的服务等），类似于租房中介房东的关系去理解。攻击者拿到了一台配置非约束委派的机器权限，可以诱导域管来访问该机器，然后得到管理员的TGT，从而模拟域管用户。

基于资源的约束委派(RBCD)是在Windows Server 2012中新加入的功能，与传统的约束委派相比，它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身，既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。所以核心就是谁或什么权限能修改msDS-AllowedToActOnBehalfOfOtherIdentity。

请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5，这意味着服务帐户的NTLM密码哈希用于加密服务票证。生成票据文件：shell ms14-068.exe -u webadmin@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p admin!PTH(pass the hash) #利用的lm或ntlm的值进行的渗透测试（NTLM认证攻击）

如果端口开了，先使用ping 能ping通说明防火墙可能是关的，正向和反向都可以 如果是ping不通就是开的， 开的就要看winrm开没开。下载对应release，建立socks连接，设置socks代理，配置规则，调用！是一款可以不借助远程桌面GUI的情况下，通过RDP协议进行命令执行的程序。不加 --local-auth执行都是失败的 会访问域并且执行名利。主要参数：-u用户，-p密码，-H哈希值，-d指定域，-x执行命令。主要功能：多协议探针，字典设置，本地及域喷射，命令回显执行等。

因此在内网渗透中，我们可以使用WMI进行横向移动，支持用户名明文或者hash的方式进行认证，并且该方法不会在目标日志系统留下痕迹。SMB服务通常由文件服务器提供，它允许客户端计算机通过网络访问服务器上的共享资源。通过SMB用户可以在网络上访问和共享文件夹、文件以及打印机，从而实现在不同计算机之间方便地共享数据和打印输出。它支持不同的两台机器上的组件间的通信，不论它们是运行在局域网、广域网、还是Internet上。这里ping 3.32 是能ping通的 所以防火墙入站规则是关闭的，可以执行正向shell。

IPC$(Internet Process Connection)是共享"命名管道"的资源，它是一个用于进程间通信的开放式命名管道，通过提供一个可信的用户名和密码，连接双方可以建立一个安全通道并通过这个通道交换加密数据，从而实现对远程计算机的访问。可以看到在administrator权限下是不能执行收集用户的命令的，这里可以使用kerbrute来代替进行枚举，这是在域外没有提权成功，也没有切换用户，但是还想知道域用户信息就使用这种方法。这里使用域内主机的管理员权限获取内网存在的 其他主机的信息。

如果域内扫描工具代理到本地就需要绑定host去扫描，不然走dns解析的解析不到这个内网的域控god.org。searchall64.exe browser -b 指定的浏览器或者all。searchall64.exe search -p 指定路径。个人用机的角色web服务 数据库服务器角色。2、自己创建文件记录。3、某些工具自动存储。

例如FTP服务器、E-Mail服务器及网站服务器等允许外部用户访问这些服务器，但不可能接触到存放在内网中的信息，就算黑客入侵DMZ 中服务器，也不会影响到公司内部网络安全，不允许任何外部网络的直接访问，实现内外网分离，在企业的信息安全防护加了一道屏障。扩大范围，利用域管理员可以登陆域中任何成员主机特性，定位出域管理员登陆过的主机IP，设法从域成员主机内存中dump出域管理员密码，进而拿下域控制器、渗透整个内网。IP、网关、DNS、出网判断、本机网络连接以及开放端口、本机的代理，域名是什么等。

目前支持tcp、udp流量转发，可支持任何tcp、udp上层协议（访问内网网站、本地支付接口调试、ssh访问、远程桌面，DNS解析等），此外还支持内网http代理、内网socks5代理、p2p等，并带有功能强大的web管理端。Frp是专注于内网穿透的高性能的反向代理应用，支持TCP、UDP、HTTP、HTTPS等多种协议。服务端-下载-解压-修改-启动（阿里云主机记得修改安全组配置出入口）建立客户端连接服务端后将141上5555给到服务端6666上。服务端启动：frps -c frps.ini。

这里是将端口映射到了本地端口，也就是开启冰蝎的这台机器，直接访问本地的2222端口就能访问2.22的80。如：模拟Windows为被控机，配置防火墙策略：SSH 22端口放行。内网主机防火墙限制了出网协议，可以利用SSH转发流量实现内网穿透。太多时候遇到目标不出网了，TCP、ICMP、DNS协议均不通，将2.22上80端口流量转发到xx.xx上的1234端口。注：由于CS无SSH协议监听器配置，无法上线。目前版本只支持反向的https和正向的tcp。如：模拟Linux为被控机，配置防火墙策略。

ICMP 通过 PING 命令访问远程计算机，建立 ICMP 隧道，将 TCP/UDP 数据封装到 ICMP 的 PING 数据包中，从而穿过防火墙，防火墙一般不会屏蔽 PING 数据包，实现不受限制的访问。添加新的A记录 这里按照C2重新新建一个主机记录将C2.xiaodi8.com指向我们的CS服务器地址。现在成功上线了web，但是要使用web服务器访问2.22的网站访问不了，出站是允许icmp。利用各种隧道技术，以网络防火墙允许的协议，绕过网络防火墙的封锁，实现访问被封锁的目标网络。