- 博客(23)
- 收藏
- 关注
原创 【内网安全】横向移动-Kerberos-SPN-WinRM-RDP
看之前的文章RDP远程桌面服务 支持明文及HASH连接条件:对方开启RDP服务 远程桌面当前我们已经取到31主机的权限,目前要利用RDP连接到32,且32是不出网的。这时我们肯定是需要用31做为跳板机去实现。以下是利用RDP进行连接的三种方式。
2024-07-20 11:18:18
982
原创 【内网安全】横向移动-PTH哈希-PTT票据-PTK密钥
pass the hash(哈希传递攻击,简称pth)pass the ticket(票据传递攻击,简称ptt)pass the key(密钥传递攻击,简称ptk)PTH(pass the hash) 利用的lm或ntlm的值进行的渗透测试(NTLM认证攻击)PTK(pass the key) 利用的ekeys aes256进行的渗透测试(NTLM认证攻击)PTT(pass the ticket) 利用的票据凭证TGT进行渗透测试(Kerberos认证攻击)
2024-07-19 09:04:36
883
1
原创 【vulhub】FRISTILEAKS:1.3
弱口令登录失败,尝试从源码里面获取有用的信息。反弹shell到kali上,方便后续操作。这里扫出来了很多可能可以利用的漏洞。发现了一串base64加密字符串。fscan扫一下 获取80端口。登录后跳转页面 显示有文件上传。上传一个马儿,加个后缀.png。根据图1判断不是正确的url。用赛博厨子直接解码后保存文件。这个可能是账号,也可能是密码。命令执行发现自己并不是管理员。在源码里面查看更多的提示。下载项目里面的提权脚本。打开靶机就可以看到Ip。上传一个提权检测脚本到。三个地址都是这个图片。
2024-07-17 09:00:46
459
原创 【内网安全】组策略同步-不出网隧道上线-TCP转ICMP
域控通过组策略设置防火墙规则同步后,域内用户主机被限制TCP出网,其中规则为出站规则,安全研究者通过入站取得SHELL权限,需要对其进行上线控制。
2024-06-28 21:36:29
1220
1
原创 【免杀】C2远控-APC注入-进程镂空
我们需要去烧水,首先我们先去需 要给水壶添水,然后将水壶连接上电之后,然后加热,等水烧开了然后取水,在烧水的等待的时间中,我们不去做任何事情。就是我们在烧水的等待的过程中去干一些其他的事情,比如玩手机,打扫卫生等等。是一种防御规避的进程注入技术,以红队隐匿技能为主的辅助免杀手法。是指函数在特定线程中被异步执行,在操作系统中是并发机制。APC注入 配合进程注入实现父进程欺骗。3.获取挂起进程上下文与环境信息。1.创建一个挂起合法进程。4.卸载挂起进程内存。1、获取父进程PID。2、获取当前进程权限。
2024-06-11 23:41:25
940
原创 【免杀】C2远控-shellcode分离-python
因此可以在cs的shellcode调用sleep休眠将可执行内存区域加密,在休眠结束时再将内存解密来规避杀软内存扫描达到免杀的目的。除了用base64方式加密外,也可以尝试用文件读取的方式进行加密,二者代码差不多,只不过是把加载器的加密代码放到文件里面罢了。常用的打包有三种3打包器。除了以上的方式,还有很多种加密,可以自己发挥想象进行加密,如也可以通过远程文件读取加载器代码进行加密。既然会检测加载器代码,那我们将加载器代码加密不就可以防止其检测了吗。你加密混淆分离,最后还是会回归原来的代码并被执行。
2024-06-07 19:37:20
1025
原创 【免杀】C2远控-初识shellcode与Loader
ShellCode的本质其实就是一段可以自主运行的代码它没有任何文件结构,它不依赖任何编译环境,无法像exe一样双击运行,因此需要通过控制程序流程跳转到shellcode地址加载上去执行shellcode。目的:杀毒和感知平台如何定性分析:OD&xdb&ida提取:010Editor加载:各种Loader方法执行顾名思义,Loader就是加载器的意思,写好的shellcode是需要用加载器(Loader)来运行的。且同一个shellcode可以用不同的Loader来运行。
2024-06-05 23:35:38
961
2
原创 【免杀】-哥斯拉魔改(入门)
我们都知道哥斯拉默认生成的shell是很容易被安全软件检测出来的。所以我们需要修改shell生成逻辑,以达到免杀。除了修改指纹外,我们还需要修改数据包的加密方式,以及魔改生成的shell以实现免杀的效果。我们知道,哥斯拉强大之处就在于它的插件功能。插件我们也可以尝试自己开放插件。分析多个流量包可以发现哥斯拉有3个强特征。尝试搜索关键词搜索不到,发现是。
2024-06-04 23:27:03
1376
7
原创 【免杀】-魔改冰蝎(入门)
Ps:本人一名网安小菜鸡,初学免杀技术。如果有什么不对的地方,希望各位大佬们能友好指正,也欢迎进行友好交流。不可能每次都取idea里面打开冰蝎,所以我们需要将构建后的jar保存出来方便后续使用。当我们修改好自己想改的后,便可以打包成jar包了。新建-填入-保存-分享-导入项目-构建编译。如果可以利用冰蝎的传输协议解密,那就实锤。冰蝎4的Accept有两个强特征,固定为。是原版冰蝎的根目录。:绕过识别(魔改打乱指纹信息)为此,我们需要解决这两个问题。:绕过查杀(新增加密算法)是魔改冰蝎项目的根目录,
2024-06-04 00:40:21
1338
原创 CVE-2022-26923复现-Win-AD域控提权
这里面就有administrator用户的hash。获得了一个新的证书与它的私钥。获取CA结构名和计算机名。成功取得一个cmd权限。
2024-06-02 01:03:24
331
原创 vulhub靶场Hacker_Kids-Capability能力提权
因为/etc/passwd里面没有admin用户,所以这个并不是系统用户的账号密码,可能是网站后台或者数据库密码的。这个利用与windows提权中的进程注入提权类似。允许跟着任何进程,我们就可以。当注入到有root权限的进程后会开放5600端口,kali连接5600。我们在kali里面测试一下。用一个不是root权限的用户进行测试。遍历爆破/page_no=* 找到正确的/page_no=21。就可以享受宿主进程的权限(root权限)查看saket用户的.bashrc文件。中发现可以利用给的就是。
2024-06-01 10:32:04
703
原创 vulhub靶场jarbas-计划任务提权
Web或用户权限进行查看,计划任务文件可修改。这里泄露了用户名密码(密码是md5加密)修改计划任务,kali监听5544端口。,我这里是linux靶机,选择第二个。查看权限发现可以修改计划任务。登录网站是 8080端口。
2024-05-31 10:24:52
422
原创 vulhub靶场Raven2-MYSQL-UDF提权
/借助usf.so共享库创建do_system自定义函数//通过do_system函数执行命令。
2024-05-31 10:23:56
1064
原创 vulhub靶场symfonos-SUID配合环境变量劫持提权
之所以选择/opt/statuscheck而不选择如 /usr/bin/passwd这些是因为/usr/bin/passwd是系统写死的,我们无法更改。而/opt/statuscheck是我们可以更改的。劫持变量后,默认的路径就是/tmp目录下的curl,但这个crul已经被我们修改了。获取到的todo.txt告诉我们有一个网站 /h3l105。未修改变量之前,执行crul默认的目录是这个下面的curl。根据poc进行利用(这是一个文件包含漏洞)我们发送一个包含木马的邮件。同样获取到里面的文件。
2024-05-30 20:17:11
923
原创 vulhub靶场DEVGURU: 1-SUDO提权
git源码泄露 => 找到数据库密码,登入 => 找到cms后台用户密码,改为已知密码 => 登入cms后台,写shell(低权限)gitea数据库配置备份文件泄露 => 连接gitea数据库,找到gitea的用户密码 => 登入gitea,写shell(更高权限) => 提权。
2024-05-30 13:37:12
961
原创 vulhub靶场DC: 1-SUID提权
运行脚本后显示了SUID的所有文件。也显示了最有可能的SUID。可以看到,有mount的。但没有SUID的提权。这里提供了两个脚本,两个都做一下演示。中 也可以看到find是能利用的。我们已经知道find可以利用,在。中查找find的SUID利用。其中是否有可以利用的可以在。在SUID利用参考网站。获取到webshell。也可以用命令手动查找。如我要查找mount。
2024-05-30 13:36:08
259
原创 vulhub靶场 MATRIX-BREAKOUT: 2 MORPHEUS
【代码】vulhub靶场 MATRIX-BREAKOUT: 2 MORPHEUS。
2024-05-29 19:04:45
264
原创 Vulnhub靶机Lampiao
环境搭建: Lampião: 1 ~ VulnHub题目没有给出靶机的账号密码。所以我们无法直接获取到靶机的IP。这里我们利用nmap扫描,获取靶机的Ip
2024-05-29 15:22:52
843
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人