- 博客(20)
- 收藏
- 关注
RSS订阅
原创 红日靶场(三)
实验给到的公网服务器域名为home.ctfstu.com,通过nmap扫描,发现其开启了2222(22)、8881(80)、3306端口,初步判断开启了SSH,HTTP和MYSQL的数据库服务。发现管理员用户id为336,权限为8,将我们新建的用户在am2zu_user_usergroup_map表中权限也设置问8。8.查找文件,在/tmp/mysql/下发现一个test.txt文件,并在其中发现了账号密码。5.在登陆界面登陆,进入后台,发现有可以上传文件处,直接上传一句话木马。
2024-03-24 13:30:11
1942
1
原创 Pass the key密钥传递攻击(PTK)横移
会弹出一个cmd命令框,这时可以直接输入dir \\PC2012.DAMN.com\C$查看Win2012C盘的共享文件夹。3.WIn2008开启mimikatz_x64.exe,输入sekurlsa::ekeys,查看aes256。(本来是有Win2012的aes256号的,Win2008由于版本原因看不到)2.Win2012域管账号远程Win2008的域账号,留下ticket。1.Win2012登陆域管账号,Win2008登陆本地账号。sekurlsa::ekeys //查看aes256。
2024-03-25 15:04:41
189
原创 psexec工具明文和hash横向移动
3.在msfconsole界面输入psexec \192.168.10.10 -U Administrator -p P@ssw0rd -w c:\cmd。2.开启msfconsole,上传psexec.exe和psexecx_64.exe到Win2008上。1.在用Viper连接Win2008本地Administrator用户。实验前提:知到Win2012的域管账号和密码。实验设备:Win2008,Win2012。4.目标机Win2012上线。
2024-03-25 15:03:49
159
原创 Logon script后门权限维持
1.在Win2008上cmd输入reg add "HKEY_CURRENT_USER\Environment" /v UserInitMprLogonScript /t REG_SZ /d "C:\1704423740.exe" ,添加注册表,开机即执行木马。实验要求:在2008用户登陆时,修改注册表,触发logon,执行木马,上线Viper。Windows登录脚本,当用户登录时触发,Logon Scripts能够优先于。3.Viper成功上线,权限为system。执行,绕过杀毒软件对敏感操作的拦截。
2024-03-25 15:03:09
144
原创 创建影子账户权限维持
net user test$ 123456@lwz /add //创建test$用户,密码为123465@lwz net localgroup administrators test$ /add //把test$用户加入本地administrator组。4.将Domains/Account/Users下test$对应的000003E9中F文件的内容用Administrator对应的000001F4中的F文件替换,使其拥有administrator权限。1.创建新账户,并加入administrator组。
2024-03-25 15:01:13
346
原创 Pass the ticket票据传递攻击(PTT)横向移动
4.使用mimikatz_x64.exe# kerberos::ptt [0;48f42]-2-1-40e10000-Administrator@krbtgt-DAMN.com.kirbi进行PTT攻击。mimikatz_x64.exe# sekurlsa::tickets #查看票据 mimikatz_x64.exe# sekurlsa::tickets /export #导出票据。mimikatz中清除票据:Kerberos::purge 计算机cmd清除票据:klist purge。
2024-03-25 14:45:36
259
原创 anydesk出网横向移动
4.通过Viper将Win12的C:/Users/Administrator/appdata/Roaming/AnyDesk下的4个包含账号密码的文件删除,在将上一步上传的文件拷贝进来。3.通过Viper将Win12R2的C:/Users/Administrator/appdata/Roaming/AnyDesk下的4个包含账号密码的配置文件上传到Viper。6.在本地主机上用anydesk访问id为1988 034 033,密码为damndamnm3的Win12设备登陆成功。
2024-03-24 13:59:22
102
1
原创 gotohttp出网连接横向移动
2.在msfconsole接口运行Gotohttp_x64.exe文件。3.运行之后在同级目录下会生成gotohttp.ini文件。5.访问host,输入name和tmp,连接成功。4.type读取gotohttp.ini文件。1.将gotohttp上传到目标主机。设备:Win12,本地主机。
2024-03-24 13:58:40
194
1
原创 Todesk替换密码出网横向移动
5.重新运行Win12上的Todesk_lite.exe,并通过本机的Todesk个人版连接,输入替换的Win12R2的密码及Win12的clientid,连接成功。4.用Viper将Win12的config.ini文件删除,并用tasklist查看进程,用taskklii /F /PID 1234 中止进程。1.msfconsole命令行启动目标机Win12的Todesk_lite.exe,并读取其配置文件,并复制到本地。设备:Win2012R2虚拟机,Win2012虚拟机,本机。
2024-03-24 13:58:10
351
2
原创 破解向日葵id及密码横向移动
3.进入C:\ProgramData\Oray\SunloginClientLite 的目录,查看Win12的向日葵的config.ini配置文件。将Sunflower_get_Password-main发送到kali,解压后进入用python3运行sun....py文件。4.读取config.in文件:type config.ini。1.用Viper上传向日葵软件(不用安装,可直接运行)将上面截图的encry_pwd的值输入,解密得到密码。2.msfconsole连接目标主机(Win12)
2024-03-24 13:57:38
485
2
原创 [内网]RDP远程桌面密码凭证获取
根据上面实验找到的路径,将计算机保存的凭据拷贝到Win2012,使用dpapi读取文件。根据guid找到masterkey (可能需要privilege::debug提权)导出lsass.dmp文件,上传到Win2012。实验二:读取lsass1.dmp文件。2012R2以上版本都会以密文存放。实验一:找到凭据位置读取。查看当前计算机保存的凭据。其余操作同上一个实验。
2024-03-24 13:57:03
412
1
原创 内网渗透工具mimikatz的使用
在域控上执行)查看域kevin.com内指定用户root的详细信息,包括NTLM哈希等 lsadump::dcsync /domain:kevin.com /user:root (在域控上执行)读取所有域用户的哈希 lsadump::lsa /patch 从sam.hive和system.hive文件中获得NTLM Hash lsadump::sam /sam:sam.hive /system:system.hive 从本地SAM文件中读取密码哈希 token::elevate lsadump::sam。
2024-03-24 13:56:17
1339
1
原创 Wireshark抓认证包破解哈希算法
在Win2012上创建test文件并开启文件共享。主机访问Win2012(清除之前的连接记录)开启wireshark抓包并过滤流量。解密hash值,密码为123456。得到主机名为admin,没有域名。
2024-03-24 13:54:53
269
1
原创 hashcatWinSAM文件破解
git clone https://github.com/Tib3rius/creddump7 pip3 install pycrypto //安装creddump7脚本。pip install -i https://pypi.douban.com/simple/ pycryptodome //更新pip。第一步:在卡里上开启samba服务,并将当前开启samba服务目录映射为kali目录。第二步:在win靶机上上传包含admin加密密码的SAM和SYSTEM文件。第五步:用pwdump.py进行读取。
2024-03-24 13:53:58
215
原创 Linux用户提权方法
普通用户sudo vi /etc/passwd,增加uid,gid,属组为root的用户,并将加密的密码粘贴进去。hashmd5加密P@ssw0rdP@ssw0rd。sudo -l 查看当前权限可用及不可用的命令。kali上hashcat破解md5代码。创建新用户获取root权限成功。
2024-03-24 13:53:15
117
1
原创 JSFinder工具的使用
指定URL文件爬取时,返回的相对URL都会以指定的第一个链接的域名作为其域名来转化为绝对URL。可以用brupsuite爬取网站后提取出URL或者JS链接,保存到txt文件中,一行一个。JSFinder是一款用作快速在网站的js文件中提取URL,子域名的工具。建议使用-ou 和 -os来指定保存URL和子域名的文件名。这单个页面的所有的js链接,并在其中发现url和子域名。指定URL或JS就不需要加深度爬取,单个页面即可。指定JS文件爬取时,返回的URL为相对URL。批量指定URL/指定JS。
2024-03-24 13:49:25
283
1
原创 CSRFburpsuite靶场实验
第二步:复制该csrf令牌,修改carlos:montoya用户登陆,提交设置Email请求,抓包拦截。实验四:使用其他用户的csrf令牌,该实验证明csrf的token和用户没有联系。第一步:同上,提交绑定Email请求,开启burp suite代理拦截。第一步:使用wiener:peter提交设置Email请求,并抓包拦截。第五步:提交生成的payload,修改设置的Email,实验成功。第一步:开启burp suite代理拦截,设置Email并提交。第四步:提交修改的payload,实验成功。
2024-03-24 13:37:12
1386
原创 SQL注入简单流程
sql server 和oracle 数据库union select 查询需要保证每列与原有列数据类型保持一致,sql server可以将前面原有列通过指定一个不存在的数将他的显示干掉,oracle不行。information_schema 是一张主目录库,tables、columns是其中的·两张表,用于存放所有数据库中的所有表名和所有列名。table_name 是 information_schema.tables中的一个显示表名的列。table_schema是显示表和列的所属数据库的数据库名的列。
2024-03-24 13:35:57
220
1
原创 PHPserialize序列化与反序列化
类的析构函数是类的一种特殊的成员函数,它会在每次删除所创建的对象时执行。析构函数的名称与类的名称是完全相同的,只是在前面加了个波浪号(~)作为前缀,它不会返回任何值,也不能带有任何参数。protected在变量名前添加标记\00*\00。private在变量名前添加标记\00类名\00。s:17:“\00类名\00op”;每次在创建类的新对象的时候执行,构造函数名称与类的名称完全相同,也不会返回任何类型。unserialize反序列化(触发wakeup)
2024-03-24 13:35:06
661
原创 FRP内网穿透端口映射
kali frpc.toml配置,加入服务器7001端口和服务器公网地址。监听映射,kali的一个本地端口映射到另一个本地端口,获取shell。kali开启telnet连接服务器 7000端口。阿里云frps.toml配置,开启7001端口。另一台kali监听本地端口2023,执行命令。监听本地2023端口,获取shell。开启kali/阿里云的C/S模式。2.利用bash返回shell。映射公网9248端口。
2024-03-24 13:33:28
459
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人