后渗透、内网学习
文章平均质量分 76
努力的学渣'#
一个努力的学渣
展开
-
Netlogon漏洞复现
Netlogon这个漏洞很特别,只要是内网非域环境下,能访问到域控就能直接打。影响的windows版本也很广,从win08到win19。Netlogon攻击的思路poc探测→重置密码→空密码导出域内hash→利用域管hash登陆→取出3个save文件→取出MACHINE.ACC值→恢复密码攻击路线如下:挂上代理之后,通过信息收集获取内网主机1.1.1.20通过端口扫描发现,该主机开放了88端口和53端口,一般域控都会开启dns和88端口的krb协议,并且445端口中探测出来存在GOD域原创 2021-03-04 10:44:05 · 852 阅读 · 1 评论 -
Pystinger上线不出网机器
实战拿shell后发现,这个机器ping不通外网,没有办法走网络层协议,所以需要搭建不出网隧道,但经过实验,建议最好是php环境会比较稳定。同样操作jsp环境下问题居多相关介绍Kali作vps 192.168.201.129 目标win7:192.168.201.132目前拿下win7 shell上传对应的Pystinger webshell文件并成功访问然后将 stinger_server.exe上传到目标服务器 ,执行如下命令:start stinger_server.exe原创 2020-10-26 20:39:10 · 2126 阅读 · 0 评论 -
docker逃逸的简单思路笔记
判断shell是不是在docker容器里边?一般docker容器的shell都会带上上一串英文和数字(阿里云服务器也会),并且一些常见的命令并不能执行。如下Docker容器才有的命令:root@d2c06d8f5809:/# ls -alh /.dockerenvroot@d2c06d8f5809:~# cat /proc/1/cgroup正常服务器不在docker容器:Docker逃逸思路:查看docker容器ip通过循环ping找到宿主机的IP,可以得到宿主机ip为1原创 2020-10-25 17:34:18 · 457 阅读 · 0 评论 -
GPP漏洞利用(组策略学习)
本地组策略提权只要把cs的木马放到本地组策略编译器中,只要机器重启就能上线cs,并且是system权限把木马上传在C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup直接gpedit.msc打开本地组策略编译器,并把木马添加在启动项中,应用保存。电脑重启后,木马以system权限上线获取域组策略的凭据创建组织单位aufeng123,将需要下发策略的用户移动到此单位。此时对aufeng123组进行组策略下发,该组里的用户都会被执行原创 2020-10-22 17:06:34 · 1502 阅读 · 0 评论 -
cs利用smb上线内网不出网主机
实战中打入内网经常会碰到内网中存在不出网的主机。实验win7通外网也和域内不出网主机相通,域内不出网主机ip10.0.0.3前提该出网主机已经被成功拿下。利用这个机子作为中间人,创建一个listen,Name这里我设置为smb1。选择 Attacks->Packages->Windows Executable(Stageless),生成exe、dll木马文件都可以生成的beacon.exe木马文件。并将该木马文件上传至目标主机,这里我同时上传了PsExec.exe工具进行一原创 2020-10-21 10:48:51 · 2889 阅读 · 0 评论 -
域内用户枚举和密码喷射浅析
由于Kerberos本身是一种基于身份认证的协议,所以也可对进行暴力破解或用户名枚举,并且不需要域用户下,只要攻击者所控的机器可以与域控的KDC正常通信即可(可以ping通)实验我这里实验主要是域控administrator、域成员af、还有一台非域机。nmap -p 88 --script krb5-enum-users --script-args krb5-enum-users.realm='aufeng.com',userdb=C:\Users\ou\Desktop\user.txt 10.0原创 2020-10-18 23:03:55 · 1243 阅读 · 0 评论 -
记一次简单的内网渗透
起因本人这次实验过程回公司后连wifi已经相当于进入内网环境→对目标进行端口扫描→存在高危端口139、445(永恒之蓝)、3389(19年RDP)→poc验证存在漏洞并用msf打exp,只成功了一次→对成功的一次把握住机会对222主机添加了账号密码并提升为管理员权限→因为发烧去不了公司,罗哥给了我跳板机→利用跳板机代理流量→访问222机子,下载mimikatz抓取密码→登录到222机子的域身份→发现是域管→用哈希传递、psexec横向连接到域控→清理痕迹。和目标机同一局域网Nmap对内网ip 19原创 2020-06-18 21:26:01 · 1464 阅读 · 0 评论 -
dns隧道之dnscat2(无域名操作)
如果主机可以解析域名,或者通过ping来指向IP,那么也可以尝试通过DNS协议传输内部网的通信。先留个坑,因为没有域名所以用ip作为实验,知道操作的一个过程,后面继续完善环境准备server端(攻击端ip:192.168.10.144):root@kali:~# apt-get updateroot@kali:~# apt-get -y install ruby-dev git make g++root@kali:~# gem install bundlerroot@kali:~# git c原创 2020-06-10 09:39:21 · 1738 阅读 · 0 评论 -
ssh隐蔽隧道之动态转发
环境情况攻击ip 192.168.10.144受害机 双网卡 192.168.10.158 内网ip 10.0.0.5Win3 只有内网10.0.0.2攻击机是访问不了win3的。但是攻击机可以和受害机互ping(假设nat作公网),攻击机内网段可以访问win3的web服务Win03架设的web页面内容现在假设攻击机知道受害机用户名和密码,并进行ssh的动态转发root@kali:~# ssh -CfNg -D 7000 root@192.168.10.158然后攻击机在流量器配置s原创 2020-06-08 22:30:54 · 540 阅读 · 0 评论 -
ICMPSH的学习ICMP反弹shell
ICMP隧道最常见的ping命令就是利用的ICMP协议,使用该协议反弹shell,两台机器不需要开放端口,ICMP隧道简单好用。实验环境Kali 192.168.10.144 win7 192.168.10.129kali安装好icmpsh工具root@kali:~# git clone https://github.com/inquisb/icmpsh.git安装icmpsh的依赖包root@kali:~# apt-get install python-impacket执行之前最重要原创 2020-06-04 08:37:36 · 1392 阅读 · 0 评论 -
内网转发之Netsh端口转发的使用学习
Netsh是什么netsh(Network Shell) 是一个windows系统本身提供的功能强大的网络配置命令行工具。自WindowsXP开始,Windows中就内置网络端口转发的功能。任何传入到本地端口的TCP连接(IPv4或IPv6)都可以被重定向到另一个本地端口,或远程计算机上的端口,并且系统不需要有一个专门用于侦听该端口的服务。现在搭配好一个简单模拟内网的环境(简单的搭配过程),nat假设一个外网,lan作一个内网Win10 192.168.10.1 win7双网卡 nat 192.原创 2020-06-02 08:20:28 · 2229 阅读 · 0 评论 -
EarthWorm结合proxifier的使用学习
拿下一个目标机器的web权限后,如何在本机就可以通过这台被拿下webshell的机器访问内网的其他主机的端口服务呢?拿下一个shell后,想要访问这个shell主机的其他内网机器的服务,可以用earthworm作为一个流量转发,把ew对应的系统文件上传到这台有shell的主机进行正向或者反向的代理配置。使得攻击机可以通过这台有shell的主机在本地就可以访问目标内网其他机器Earthworm是什么网穿透神器 EarthWorm,(简称 EW) 是一套轻量便携且功能强大的网络穿透工具,基于标准 C原创 2020-05-31 14:52:14 · 1870 阅读 · 2 评论 -
内网转发之reGeorg结合proxychains代理链(HTTP隧道)
reGeorg和端口转发是什么reGeorg是用 python 写的利用Web进行代理的工具,流量只通过 http 传输,也就是http隧道。内网端口转发主要是把内网服务器的端口通过http/https隧道转发到本机,形成一个回路。用于目标服务器在内网或做了端口策略的情况下连接目标服务器内部开放端口。比如说攻击机拿下win7主机的一个web服务器权限,探测到内网存在其他的机器。所以要用内网转发的一些技术,使得我们自己的攻击机可以直接访问与操作内网中的其他机器。配置一个简单的内网环境Win10原创 2020-05-26 21:54:58 · 2721 阅读 · 0 评论 -
端口映射后的公网反弹shell
前言:渗透一个网站最后获取该web服务器权限的时候,可能会思考,如何把公网的IP反弹到自己内网(私有ip)的虚拟机上?这时候我们就需要把内网的ip和端口映射成一个公网的ip和端口从而实现内网穿透。这里我用的是NATAPP,一个基于ngrok的国内高速内网转发工具https://natapp.cn/register首先快速注册,然后购买免费隧道(非常适合我这样的穷学生)我这里用的是TC...原创 2020-04-01 20:13:58 · 3253 阅读 · 4 评论 -
内网笔记之Kerberos网络身份认证协议
Kerberos网络身份认证协议Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客 户机 / 服务器应用程序提供强大的认证服务。Kerberos的三大要素:client、server、KDC对于KDC,这是我自己理解画的草图个人理解:密钥分发中心 KDC(Key Distribution Center)KDC(Key Distribution Center)...原创 2020-03-01 13:39:20 · 1131 阅读 · 2 评论 -
因为指定的域不存在,或无法联系重新新加入域,无法与域控制器连接(简单解决方法!!!
打开活动目录用户和计算机,显示找不到命名信息,因为指定的域不存在,或无法联系重新新加入域,无法与域控制器连接解决:首先按住“Windows + R”键,弹出运行对话框,在运行对话框输入“regedit”进入注册表`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters`SysvolReady键值更改...原创 2020-02-26 11:10:03 · 33256 阅读 · 7 评论 -
域环境的搭建
前言虚拟机搭建域控服务器的话,一般都选择win8、win12、或者win3。win7的话,我自己摸索了很久的确不知道怎么搭建域控服务器,所以这篇笔记是基于win08搭建的域控服务器,我建议win08服务器最好在官网下载一个,然后在网上找一个破解码即可,因为现在很多下载都是捆绑木马和流氓软件。当然了最好建议是用“干净”的虚拟机,不然安装过程可能出现很多不必要的麻烦,我这边碰到的麻烦,也会带上我自...原创 2020-02-26 11:34:27 · 1432 阅读 · 0 评论 -
个人简单笔记,后渗透学习之Passing the Hash(哈希传递
Passing the HashHash基础知识Window系统下的Hash密码格式为:用户名称:RID:LM-Hash值:NT-Hash值获取Hash值我自己暂时所知道的三种方法HashdumpRun post/windows/gather/smart_hashdumpuse post/windows/gather/hashdump前提是要获得shell,获shell方法在...原创 2020-02-25 18:21:04 · 649 阅读 · 0 评论 -
后渗透学习之Metasploit的post模块使用信息收集
环境Kali和win7是nat连接 Kali:192.168.10.145 Win7:192.168.10.143如果Msf拿shell后出现乱码,输入chcp 65001即可MSF的post模块进入msf5 > search post,搜索post模块,发现有471个模块可使用,我挑一部分出来翻译大概看看是用来干嘛的Linux:Window:首先得拿一个cmd的s...原创 2020-02-22 13:49:38 · 2915 阅读 · 0 评论