- 博客(97)
- 收藏
- 关注
RSS订阅原创 PTT(Pass the Ticket)
可以通过普通用户获得域管理用户的权限;获取到域为 pearljam获取到主机为 yukawa-dc在 Windows 的 kerberos 认证过程中,Client 将认证的信息发送给 KDC,然后 KDC 使用Krbtgt 用户的 NTLM-Hash 作为密钥进行加密,生成TGT。那么如果获取到了 Krbtgt 的 NTLM-Hash 值,就可以伪造任意的 TGT 了。因为Krbtgt 只有域控制器上面才有,所以使用黄金凭据意味着你之前拿到过域控制器的权限。
2024-01-23 04:07:59
709
原创 PTH(PASS THE HASH)
2、NTLM 认证不使用明文口令,而是使用口令加密后的 hash 值,hash 值由系统 API 生成 3、hash 分为 LM hash 和 NT hash,如果密码长度大于15,那么无法生成 LM hash。6、微软也对 PTH 打过补丁,然而在测试中发现,在打了补丁后,常规的 PTH 已经无法成功,唯独默认的 Administrator(SID 500) 账号例外,利用这个账号仍可以进行 PTH 远程 ipc 连接。(2)可以获得 hash,但是条件不允许对 hash 爆破。
2024-01-21 05:02:54
834
原创 AccessToken 的窃取与利用
注: 两种 token 只在系统重启后清除具有 Delegation token 的用户在注销后,该 Token 将变成Impersonation token,依旧有效。(1)Delegation Token:授权令牌,它支持交互式会话登录(例如本地用户直接登录、远程桌面登录访问)(2)Impresonation Token:模拟令牌,它是非交互的会话(例如使用net use。上述此处进行模拟:1、先登录域用户,注销后登录管理员账户。二、在 Windows 下使用工具。三、在 MSF 中使用。
2024-01-20 05:18:39
471
原创 域中的主机报错1231解决办法
1、 这个一般是使用 net view /domain 的时候出现的报错,若是报错 6118 只需在域控制器中开启 computer browser 服务即可。此时就可以正常使用 net view /domain 了。
2024-01-18 21:54:40
572
原创 权限维持篇
php//关掉浏览器,PHP脚本也可以继续执行.//通过set_time_limit(0)可以让程序无限制的执行下去// 每隔*秒运行do {echo "xxx";?>\n";?通过在注册表路径下添加自定义的字符串值,然后添加路径。进行 exe 劫持在策略组脚本目录中上传脚本文件,内容是后门或其它,然后设置电脑每次重启都会运行该 exe 文件。shift 连按五次后会弹出粘滞键界面,我们可以对这个快捷方式进行替换,替换成我们想执行的后门文件。
2024-01-06 14:11:23
941
原创 Linux 提权
1、ctrl + z 把 shell 进程放到后台。1.1 使用 nc 对进行监听。2、运行 python 脚本。2、执行 java 脚本。3、fg 再调用后台任务。
2023-11-22 15:19:34
928
原创 windows 基础知识
4、SA 代表一个子机构。SA 指定特殊的组或职能。随后的一长串数字(1683771068-12213551888-624655398)就是颁发SID的那个域或机器的SA。在 Widnwos 中,几乎所有 SID 都指定 NT 机构作为颁发机构,它的 ID 编号为5,但是,代表已知组和账户的SID例外。5、RID 是指相对 ID(RID)、是 SA 所指派的一个唯一的、顺序的编号、代表一个安全主体(比如一个用户、计算机或组)一个典型的用户的 sid,它遵循的模式是:S-R-IA-SA-SA-RID。
2023-11-22 15:17:12
134
原创 内网隧道搭建( 内网穿透)
8、这个时候已经可以从攻击机访问到受害者主机了,但是因为使用了 192.168.103.130:1080 作为代理,就无法使用 Burpsuite 进行截包调试了,这时候可以使用代理工具 sockscap64 ,设置好代理后打开浏览器,这时候就可以正常抓包了;2、通过文件上传,在跳板机上安装 ew_for_win.exe。(3)在攻击者主机上访问受害者主机,访问成功。一、使用代理工具 ew_for_win。(2)其余和上面提到的一致。5、跳板机运行 r.exe。
2023-11-08 12:16:18
239
原创 XPATH 注入漏洞
既然是一种查询语言,XPath 在一些方面与 SQL 相似,不过,XPath 的不同之处在于它可以用来引用 XML 文档的几乎任何部分,而不受访问控制限制。这种类型的攻击适用于以下情况:攻击者不清楚 XML 文档的架构,或者错误消息被抑制,一次只能通过布尔化查询来获取部分信息,就像 SQL 盲注一样。而在 SQL 中,一个“用户”(在 XPath/XML 上下文中未定义的术语) 的权限被限制在一个特定的数据库,表,列或者行。1、数据提交到服务器上,在服务端正式处理这批数据之前,对提交数据的合法性进行验证。
2023-11-05 22:30:27
251
原创 目录遍历篇
当用户发起一个前端的请求时,便会将请求的这个文件的值(比如文件名称)传递到后台,后台再访问其对应的文件。在这个过程中,如果后台没有对前端传进来的值进行严格的安全考虑,则攻击者可能会通过 “../” 这样的手段让后台打开或者执行一些其他的文件。中间件如果设置不当时,也会造成目录遍历,如 apache,ngnix,iis 目录浏览,均可造成目录遍历,但是这种目录遍历,只能遍历网站根目录,除非有特殊设置。通过遍历目录或文件,寻找敏感文件,如 session 登录验证文件,数据库备份等,对网站构成重大安全隐患。
2023-10-30 15:08:45
106
原创 反序列化篇
反序列化是指将序列化后的数据进行解码和还原,恢复为原始的数据结构或对象的过程。(PHP 中使用 unserialize() 函数对序列化后的字符串进行反序列化,将其还原为原始的数据)序列化是指将数据结构或对象转换为一串字节流的过程,使其可以存储、传输或缓存时进行持久化。(PHP 中使用 serialize() 函数可以将数据结构或对象进行序列化,得到一个表示序列化后数据的字符串)反序列化的数据本质上来说是没有危害的,用户可控数据进行反序列化是存在危害的,反序列化的危害, 关键还是在于可控或不可控。
2023-10-30 14:56:46
234
原创 SSRF 篇
服务器端请求伪造,是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF 攻击的目标是外网无法访问的内部系统(正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔离的内部系统)。其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。(1)对外网、服务器所在内网、本地进行端口扫描,获取一些服务的 banner 信息。
2023-10-30 14:56:04
102
原创 越权漏洞篇
该漏洞是指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者更高权限。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查时对客户端请求的数据过分相信而遗漏了权限的判定,一旦权限验证不充分,就易致越权漏洞。(1)firefox 登录 admin。(2)edge 登录 pikachu。相同权限下的不同用户可以互相访问。
2023-10-30 14:38:44
58
原创 XXE 笔记
比如我们经常要用到某一组数据,那么每次都引用,肯定是非常不方便的,所以把这组经常用的数据设置成为一个变量,需要的时候直接调用这个变量,通过以上的解释,我们不难看出,xml如果产生漏洞,那肯定就是在这个DTD部分,最后则是xml部分。XXE漏洞全称XML External(外部的) Entity(实体) Injection(注入),即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。
2023-10-29 21:04:51
37
原创 CSRF 篇
利用已认证用户的身份执行未经用户授权的操作。攻击者试图欺骗用户在其不知情的情况下执行某些操作,通常是在受害者已经登录到特定网站的情况下。
2023-10-26 12:25:58
67
原创 文件包含篇
程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用,但正是由于这种灵活性,从而导致客户端可以调用一个恶意文件,造成文件包含漏洞。程序在引用文件的时,引用的文件名,用户可控的情况,传入的文件名没有经过合理的校验或校验不严,从而操作了预想之外的文件,就有可能导致文件泄漏和恶意的代码注入。程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而无需再次编写,这种文件调用的过程一般被称为文件包含。
2023-10-22 16:19:23
175
原创 php 目录访问控制
open_basedir 是一个用于控制 PHP 脚本访问文件系统的安全功能。它定义了一个或多个目录的列表,PHP 脚本只能访问这些目录中的文件和子目录。如果尝试访问 open_basedir 之外的目录中的文件,PHP 将阻止这个操作,从而增加了服务器的安全性,防止潜在的恶意代码访问系统中的敏感文件。
2023-10-08 20:00:13
97
原创 关于 php 函数 file_get_contents 读取不到文件的问题
问题描述:在同一个目录下存在一个 1.txt 文件,但是运行代码的时候始终报错说找不到该文件。解决办法:添加一个参数。
2023-10-08 19:52:44
245
原创 文件上传篇
直接上传 php 文件,此时的 content-type 字段的参数为 application/octet-stream,改为图片格式的 image/jpeg。(1)这时候可以上传一些黑名单外的后缀名,若黑名单中的后缀名是 php、asp、aspx、jsp ,那这个时候我们可以上传 asa、cer、cdx。有时候代码会对 http 类型头进行检测,如果是图片类型,就允许上传,否则会上传失败,但是这个字段是可以被修改的。上传时,先提前修改 php 文件的后缀名为 jpg。把文件后缀名改回 php。
2023-10-07 22:31:16
402
原创 burpsuite intruder 的 attack type 模块的 四种攻击方式
无论设置多少个参数,都只能设置一个字典,若存在多个参数,先用字典来替换第一个参数,遍历完成后,再遍历第二个参数。若有两个参数,第一个字典内有 3 个数据,第二个字典内有 4 个数据,总共需要遍历 12 次。无论设置多少个参数,都只能设置一个字典,若存在多个参数,多个参数位置同时用字典进行替换。若有两个参数,字典内有3个数据,总共需要遍历 6 次。若有两个参数,字典内有3个数据,总共需要遍历 3 次。二、Battering ram。四、Cluster bomb。三、Pitchfork。
2023-09-21 19:30:31
194
原创 XSS笔记
客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格确认,就会产生DOM XSS漏洞。2、存储型XSS: 代码是存储在服务器数据库中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,每当有用户访问该页面的时候都会触发代码执行,这种XSS非常危险,容易造成蠕虫,大量盗窃cookie(虽然还有种DOM型XSS,但是也还是包括在存储型XSS内);
2023-09-16 13:58:16
115
原创 关于 firefox 不能访问 http 的解决
使用 curl http://www.xxx.com 获取到的是 192.168.x.111 所搭建的网站的内容。然后就解决了,浏览器地址栏输入 http://www.xxx.com 就能正常访问本地搭建的网站了。搜索 network.http.spdy.enabled.http2 设置为 false。搜索 network.http.spdy.enabled.deps 设置为 false。搜索 network.http.spdy.enabled 设置为 false。2、关闭 https 优先策略。
2023-09-15 17:00:19
6246
1
原创 burpsuite 自定义宏来不断获取 token
(7)点击 Refetch response 来刷新token,然后在最下方过滤栏中搜索 user_token ,在上方 Parameter name 栏中也输入 user_token。(10)文本框输入 user_token 后,点击 Add,close 后的下一个界面点击 OK。(8)用鼠标选中 token 值,然后点击OK,下一个界面也是直接点击OK,再下一个也是OK。(11)点击Scope,然后选中 use custom scope,点击 Add。(2)点击Add,Run a macro。
2023-09-05 19:43:05
316
原创 项目中没有 requirements.txt
答:项目下创建一个文件,autoinstall.py ,复制下面的代码,在项目最开始加入import autoinstall,直接运行项目即可。github上遇到一个没有 requirements.txt 的项目,作为倒霉蛋的我们怎么自动安装模块而不是报错一次装一次呢?
2023-08-28 00:49:20
393
原创 TCP/IP三次握手
主机B发送一个SYN标志位为1、ACK标志位为1的TCP段,表示对A的请求的确认,B也产生一个随机的初始序列号(seq=b),用于后续的数据传输,ACK字段的值被设置为A发送的初始序列号(a)加1,表示B期望收到的下一个序列号;第二次(B--->A),SYN=1,ACK=1,seq=b,ack=a+1。第三次(A--->B),ACK=1,seq=a+1,ack=b+1。第一次(A--->B),SYN=1,seq=a。(1)第一次握手时,(2)第二次握手时,(3)第三次握手时,
2023-08-12 15:30:20
39
原创 一些web工具的原理
4、系统扫描工具:通过发送 SYN 或 UDP 数据包,然后根据返回的信息来进行判断,细节包括初始序列号(ISN),TCO选项,IP标识符(ID),数字时间戳,显示堵塞通知,窗口大小等,然后根据特征值来对应。2、设备发现工具:通过发送 ICMP 或 ARP数据包给目标,观察目标返回的信息来判断设备是否活跃,或是通过直接向端口发送 TCP、UDP 等网络请求,然后根据返回的信息来进行判断。3、端口扫描工具:通过发送 SYN 或 UDP 数据包给目标主机的端口,然后根据返回的信息来进行判断。
2023-08-07 10:54:03
26
原创 nmap笔记
发送一个 SYN 包,无论对方回复的是 SYN + ACK(确认连接) 还是 RST + ACK(拒绝连接),都意味着目标设备是活跃设备,如果没有收到任何数据包,则说明目标设备不在线。发送一个 ACK 包,请求建立连接,目标再回复 SYN + ACK 包之后,主机不再回复 ACK 包以来建立连接,因此,三次握手未完成,无法建立 TCP 连接,不会记录到目标日志中。当一个端口接收到一个 UDP 数据时,如果它是关闭的,就会给源口端返回一个 ICMP端口不可达数据包,如果它是开放的,就不会返回任何信息。
2023-08-06 22:18:37
40
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人