内网渗透
文章平均质量分 79
内网基础知识
不习惯有你
一个喜欢渗透的小伙子,正在成为大佬的路上
展开
-
Linux环境变量配合权限维持手法
权限维持的时候有其中有两种,一种是alias别名、第二种是prompt_command,这里我们可以将其添加到环境变量中,每次运行的时候都可以使用,从而达到权限控制的效果,而不是临时执行的效果。原创 2023-06-13 00:47:33 · 480 阅读 · 0 评论 -
Linux权限维持
首先启动的是/usr/sbin/sshd,脚本执行到getpeername这里的时候,正则匹配会失败,于是执行下一句,启动/usr/bin/sshd,这是原始sshd。这个子进程,没有什么检验,而是直接执行系统默认的位置的/usr/sbin/sshd,这样子控制权又回到脚本了。-o输出到/tmp/.ssh.log中,输出内容为read,write,connect,执行完内容后在执行ssh,避免被管理员发现。可以看到第一行中执行命令为/tmp/su,也是很难察觉的,这里我们可以将端口设置复杂点。原创 2023-06-12 22:57:15 · 663 阅读 · 0 评论 -
WINDOWS权限维持
这里可以将计算器路径换为自己的shell后门,这里还需要更换图标,这里稍微有一点缺陷就是会弹出一个黑框框。上传nc,写入注册表开机自启,将cmd给出去留个后门,更改防火墙规则,允许后门端口开放。将administrator的"F"值复制给hack的"F",下面是我已经替换好的。这个方法是执行vbs脚本,这里很容易被杀软拦截,在实验操作的时候需要将杀毒软件关掉。我们导出name中的hack$的注册表,然后导出上面对应的文件夹的注册表。在每次开机或重启的时候都会运行启动文件夹下的程序。然后导入刚才的注册表,原创 2023-06-07 01:09:25 · 547 阅读 · 0 评论 -
hash传递攻击
Pass the hash也就是Hash传递攻击,简称为PTH。模拟用户登录不需要用户明文密码只需要hash值就可以直接来登录目标系统。开启445端口开启ipc$共享。原创 2023-06-05 17:11:13 · 693 阅读 · 0 评论 -
Windows认证机制
本地认证中用来处理用户输入密码的进程即lsass.exe,密码会在这个进程中明文保存,供该进程将密码计算成NTLM hash与sam进行比对,我们使用mimikatz来获取的明文密码,便是在这个进程中读取到的。其中关键点在于:第二步中客户端发送的是NTLM哈希值,于随机字符串的加密结果,而这个NTLM哈希是由御用输入的密码本地计算得出的,所以在这个步骤中,只要能提供正确的NTLM哈希即使步知道正确的密码也可以通过认证。这里challenge相当于加密的密钥,challenge1为密码加密的结果。原创 2023-06-05 01:01:32 · 739 阅读 · 0 评论 -
使用外部工具横向移动
在Metasploit中,可以使用incognito实现token窃取,Metasploit中的incognito,是从windows平台下的incognito移植过来的。是指以System权限运行远程进程,获得一个System权限的交互式Shell。PsExec是一种轻巧的telnet代替品,可让您在其他系统上执行进程,并为控制台应用提供完整的交互性,无需手动安装客户端软件。3、还可以运行psexec.py,这里与官方的不同就是可以将痕迹进行清除。1、ipc$连接,释放Psexesvc.exe。原创 2023-06-04 17:13:00 · 631 阅读 · 0 评论 -
内置工具横向移动
MS-DOS命令语法schtasks /create /tn TaskName /tr TaskRun /sc schedule [/mo modifier] [/d day] [/m month[,month...] [/i IdleTime] [/st StartTime] [/sd Star。IPC$是共享"命令管道"的资源,它是为了让进程通信而开放的命名管道,连接双方可以建立安全的通道并以此通道进行加密数据交换,从而实现对远程计算机的访问。这里操作都以失败告终就很郁闷,这里账户名密码都是正确的。原创 2023-05-31 21:27:49 · 587 阅读 · 0 评论 -
Linux环境变量提权
PATH是Linux和类Unix操作系统中的环境,它指定存储可 执行程序的所有bin和sbin目录。linux本地提权,漏洞范围:4.10 < linux内核版本 < 5.1.17。2、只能作用在二进制程序上,不能作用在 脚本上,且设置在目录上无意义。snap版本 2.28 < snapd < 2.37。3、执行suid权限的进程时,此用户将继承此程序的所有者权限。1、启动为进程之后,其进程的属主为原程序文件的属主。Linux包管理器snap本地提权漏洞。使用dirty.c脚本进行提权。原创 2023-05-23 19:03:57 · 695 阅读 · 0 评论 -
windows提权
1、提权介绍权限提升:攻击者通过安全漏洞把获取到的受限制的低权限用户突破限制,提权至高权限的管理员用户,从而获取对整个系统的控制权2、提权分类本地提权:在一个地权限用户下,通过一些条件(应用程序漏洞、系统漏洞等)直接提升到系统最高权限。远程提权:攻击者通过漏洞利用程序直接获取远程服务器的权限操作系统提权:windows:ms06-067、ms10-084、ms11-014、ms11-05等等linux:cve-2017-7308、cve-2017-6074、cve-2017-5123等等。原创 2023-05-19 21:05:09 · 1695 阅读 · 0 评论 -
ssh正反隧道(代理msf对icmp穿透监听)
这里-l 127.0.0.1:9999将本地的9999流量交给-s 192.168.222.132 ,-t 192.168.222.132:7890给到他的7890端口。这里添加192.168.222.128是可以在内网主机都可以访问云中的资源,在本地访问localhost:90,即可访问192.168.222.132:80端口。-R 将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口。就是将本地端口映射到远程上,相当访问本地端口就是访问远程的端口。-p 指定远程主机的端口。原创 2023-05-18 00:40:40 · 1176 阅读 · 0 评论 -
Socks代理
Socks是一种网络传输协议,主要用于客户端与外网服务器之间通讯的中间传递。根据OSI模型,Socks是会话层的协议 ,位于表示层与传输层之间。使用TCP协议传输数据,因而不提供如传递ICMP信息之类的网络层网关服务。现如今大多的组织的网络架构,利用网络防火墙将组织内部的网络结构与外部网络如Internet有效的阻隔开来,这些防火墙系统通常以应用层网关的形式工作在网络之间,提供受控的TELNET、FTP、SMTP等,而SOCKS则是提供一个通用框架来使这些协议安全透明地穿过防火墙。原创 2023-05-15 21:01:35 · 624 阅读 · 0 评论 -
基于自建靶场三层网络的内网渗透
网络拓扑图:为了方便起见,我在每个服务器放有webshell,这里主要是让我们熟悉sock代理的使用。linux(ubuntu)网卡配置/防火墙ufw_不习惯有你的博客-CSDN博客这里我只是做一个简单的工具熟悉,所以在几个web服务器上都放了webshell还请各位大佬不用攻击我的服务器,为了更好的理解,所以就以自己服务器来演示一切内容仅用于安全技术的学习,切勿用于其他用途。原创 2023-05-15 20:24:13 · 675 阅读 · 0 评论 -
linux(ubuntu)网卡配置/防火墙ufw
是 Ubuntu 系统上的一个简单的防火墙工具。它允许您轻松地管理系统上的网络连接,限制不必要的流量,提供基本的安全保护。这里我是以ubuntu的20.04来操作的,其他会有不同,配置文件存在的位置也会不一样。3、允许/拒绝指定 IP 地址。第一步:虚拟机添加网卡。第二步:添加配置文件。2、显示当前可用设备。3、打开配置文件修改。原创 2023-05-12 00:27:31 · 1255 阅读 · 0 评论 -
Linux下的shell
dev/tcp是Linux中的一个特殊设备,打开这个文件就相当发起了一个socket调用,建立一个socket连接。0>&1:将标准输入作为标准输出给到远程地址,从而将输入的 权力给了192.168.222.146。注意:这里监听端口尽量大一点(推荐大于10000),避免占用,方便连接到。扩展了解标准文件描述符 0(输入) 、1(输出)、2(错误输出)的用法。2>&1:这里将错误作为输出,给到远程,这里就等于 >&这是一个阉割版的,但感觉已经够用了。&>与>&:都是将输出和报错输出到一个地方。原创 2023-05-07 20:24:09 · 1146 阅读 · 0 评论 -
Window下的反弹shell
什么是正向shell?正向shell:控制端主动发起连接请求去连接被控制端,中间网络链路不存在阻碍。反向shell:被控制端主动发起连接去请求连接控制,通常被控端由于防火墙受限制、权限不足、端口被占用等问题导致被控端不能正常接收发送过来的数据包。原创 2023-05-05 16:21:42 · 1117 阅读 · 0 评论 -
windows/linux文件传输
例如,如果你想下载http://re.cn-dragon.cn/index.html的index.html文件到本地C:\Downloads到本地,你可以使用下面的命令。Bitsadmin是一种命令行工具,可用于在Windows操作系统中下载远程文件。使用Bitsadmin可以在后台进行下载,并且可以暂停和恢复下载进程。在Windows系统中,certutil工具还可以用来下载文件。其中, 是你要下载文件的URL, 是将要保存下载文件的。 : 想要下载的地址。原创 2023-05-03 00:32:50 · 730 阅读 · 0 评论 -
Linux主机信息搜集
打印系统信息uname -a文件 /etc/issue是一个文本文件,其中包含要在登录提示之前打印的消息或系统标识/etc/lsb-release,/etc/redhat-release文件包含一个被解析以获取信息的描述行/proc/version指定Linux内核版本,用于编译内核的gcc的版本以及内核编译的时间。/proc/sys/kerne中的文件可以 用来调整和监视Linux内核操作中的各种活动列出当前进程快照/proc/是一个非常特殊的,它 也是一个虚拟文件系统。它有时被称为过程信息伪装文件系统。原创 2023-05-01 11:45:50 · 643 阅读 · 0 评论 -
域内密码凭证获取
Quarks Pw Dump是一款开放源代码的Windows用户凭据提取工具,它可以抓取windows平台下多种类型的用户凭据,包括:本地账户、域账户、缓存的域账户和Bitlocker。ntds.dit:活动目录数据库,包括有关域用户、组和成员身份的 信息。VSSAdmini:是Windows系统提供的卷影复制服务(VSS)的管理工具,域环境默认安装。ntds.dit文件位置:%SystemRoot%\NTDS\NTDS.dit。可以 十分高效的破解ntds文件并将全部域域用户信息导出方便查找域用户状态。原创 2023-04-26 19:56:38 · 1256 阅读 · 0 评论 -
WindowsHash简介及windows认证
Windows系统使用两种方法对用户的密码进行哈希处理,他们分别是LAN Manager()哈希和NT LAN Manager()哈希。现在已经有了更新的NTLMv2以及Kerberos验证体系。Windows的系统密码hash默认情况下一般由两个部分组成:第一部分是LM-hash,第二部分是NTLM-hashwindows加密过的密码口令,我们称为hash,windows的系统密码hash默认情况下一般由两个部分组成:第一部分是LM-hash,第二部分NTLM-hash。原创 2023-04-23 23:41:35 · 1459 阅读 · 0 评论 -
内网域环境搭建学习
7、设置域的名称hjw123.com,稍微等待(此域名非彼域名,重要的一点不能检测到有相同的)此查询是为 _ldap._tcp.dc._msdcs.xxx.com 查找 SRV 记录。10、默认选择,选择静态ip(动态ip的话,ip地改变,访问的话可以会找不到)2、下一步,只用选择域服务,如果全选择需要大量的时间。这一点不知道是我操作问题还是什么原因,好像在web1的这台主机上,使用域用户和普通用户都是无法连接到web2的,就很郁闷。最后加入域的时候别忘了修改DNS,指向域控的ip地址。原创 2023-04-19 17:15:01 · 901 阅读 · 1 评论 -
域和工作组的区别
的 Windows 计算机网络,用户只能在她的系统上使用他们的登录凭据,而不能在其他系统上使用。,用户可以从办公室中的任何设备登录。它具有集中式管理,所有设备都可以从。它更喜欢集中存储,所有用户的数据都存储在一个集中的存储设备上,可以是NAS或SAN。大多数存储是分布式的。每个设备都有自己的专用存储。特点:集中管理、便捷的资源访问、方便扩展。工作组:小范围、人人平等、不方便管理。域:人人不平等、集中管理、域控是老大。翻译 2023-04-17 11:47:17 · 812 阅读 · 0 评论 -
磁盘映射操作
这里关键的是C$ ,想映射其他路径,在后面添加C$\Users\Administrator\Desktop\666。记得$ ,这里ip是内网中你想挂载的主机,这是将192.168.131.135的主机中的c盘挂载在本机的f盘上。原创 2023-04-16 18:52:20 · 351 阅读 · 0 评论 -
Windows主机信息搜集
通过命令执行使用cs拿到了内网的一台主机,接下来我们进行内网的信息搜集。原创 2023-04-17 19:26:03 · 792 阅读 · 0 评论 -
windows域的搭建
8、 选择windows Sever 2003级别的域,选择2003,因为域有向下兼容性,点击下一步。7、设置域的名称hjw123.com,稍微等待(此域名非彼域名,重要的一点不能检测到有相同的)此查询是为 _ldap._tcp.dc._msdcs.xxx.com 查找 SRV 记录。10、默认选择,选择静态ip(动态ip的话,ip地改变,访问的话可以会找不到)2、下一步,只用选择域服务,如果全选择需要大量的时间。12、设置域控密码(a1.b2.c3.hjw123)9、需要少许等待,然后选择下一步。原创 2022-10-19 01:09:32 · 3473 阅读 · 0 评论