浩策盾悟

通过在 VM 上部署 Nginx 反向代理，可以构建一个既高效又安全的前端接入层。利用配置文件中的各种指令（如 proxy_set_header 和 proxy_pass）实现请求转发，同时结合 WAF 模块（例如 ModSecurity）与防火墙策略，可以在网络边界、应用层提供多重安全防护。目前，大多数企业和云服务平台都倾向于这种分层防护模式，不仅可以隐藏内部架构，降低风险，还能对各种网络攻击进行实时检测与拦截。此外，正确配置头信息也能确保后端服务器获得真实的客户端 IP 信息，便于日志记录和安全监控。

PsExec是Microsoft Sysinternals套件中的一款工具，允许在远程Windows系统上执行命令和启动交互式shell，无需在目标主机上安装客户端，利用SMB协议传输数据，支持凭证传递和输出重定向。相比之下，Telnet是一种较老的远程登录协议，基于明文传输，功能有限且安全性低。PsExec在内网渗透中具有高隐蔽性和灵活性，能够利用域用户凭证进行远程命令执行，适用于横向移动和控制域控主机。通过实际案例，展示了如何利用PsExec上线域控主机，证明了其在企业内网渗透中的高效性。此外，PsEx

Mimikatz是一款针对Windows平台的后渗透工具，主要用于凭证转储、令牌操作和提权，帮助攻击者在获得初步访问权限后，通过提取内存中的明文密码、哈希和Kerberos票据，进行横向移动和权限提升。在内网环境中，Mimikatz常用于横向攻击、持久化配置和安全态势侦查。尽管WAF和防火墙对其本地操作影响有限，但杀毒软件和EDR系统通过签名检测和行为监控对Mimikatz的防御效果显著。攻击者常通过代码混淆和内存注入等技术绕过检测。因此，防御方需加强监控和内存保护措施，以有效应对Mimikatz的威胁。

反向代理在 Linux 系统中（如通过 Nginx 实现）是常见的架构设计，在渗透测试中识别它至关重要。通过 HTTP 头、网络流量、特制请求等方法可确认其存在，结合配置文件分析可进一步定位后端服务器。实际案例中，绕过反向代理往往能暴露更多漏洞。

msfvenom是Metasploit框架中的一个工具，用于生成各种类型的Payload（有效载荷），如木马、后门等，主要用于测试系统安全性。它支持多种编码方式、文件格式和平台。针对Windows平台，msfvenom可以生成EXE、VBS、PowerShell、DLL、Python等格式的木马，并可通过编码避免检测。对于Linux平台，它支持生成ELF、Bash、Python、Perl等格式的木马。此外，msfvenom还支持跨平台Payload生成，如Python和Ruby脚本。其他实用技巧包括生成多平

是MSF中的一个强大后渗透模块，路径为，专门用于从Windows系统中提取用户密码哈希（NTLM哈希）。自动检测系统类型：无论是普通Windows服务器还是域控制器，模块都能自动选择合适的导出方式。导出范围广：在普通服务器上导出本地用户哈希，在域控上导出域内所有用户哈希。操作简便：只需简单的配置即可完成哈希导出，适合渗透测试和红队任务。导出的哈希通常是NTLM格式，可用于后续的密码破解或Pass-the-Hash（PtH）攻击。普通服务器：提取本地用户哈希，用于横向移动。域控。

通过 tasklist、WMIC、注册表查询、Nmap NSE 脚本等手段，全面识别目标内网主机上安装的杀软及其运行状态。根据检测结果，评估杀软对后续上传、反弹 shell、提权操作的影响。采用内存执行、代码混淆、延时执行等策略来绕过杀软检测，并在合法测试范围内（或在红队演练中）视情况暂时禁用部分服务。在注入 webshell 后，通过 tasklist /svc 和 sc query 命令检查关键杀软进程和服务的状态，判断是否存在干扰，并确认操作是否成功执行。

Pass-The-Hash（PTH）攻击是一种利用已知用户哈希值（通常为 NTLM 哈希）进行身份验证的技术，无需知道明文密码即可成功认证。Windows 在身份验证过程中，通常使用用户密码的哈希值而非明文密码进行比较。如果攻击者通过工具（例如 Mimikatz）从内存中提取到了某个账户的 NTLM 哈希，就能利用这个哈希在其他系统上模拟该用户进行身份验证。主要特点：无需破解明文密码：直接利用已提取的哈希值。横向移动与远程执行：可以利用相同的哈希在其他系统上进行认证，从而实现横向移动。

WPAD（Web Proxy Auto-Discovery Protocol）是一种自动发现代理服务器的协议，旨在帮助客户端（如浏览器）自动获取代理配置信息。WPAD 服务器通常是一个 HTTP 服务器，提供一个名为 "wpad.dat" 的配置文件，其中包含代理服务器的地址和端口等信息。客户端通过 DHCP 或 DNS 查询发现 WPAD 服务器的位置，然后下载 "wpad.dat" 文件以配置代理设置。

Http通道 ReGeorg环境搭建win10 安装 reGeorgwin7 安装phpstudy软件下载地址通过网盘分享的文件：隧道工具链接: https://pan.baidu.com/s/1Jmh2QbfmIPRdeTuWN9-Dkg?pwd=k81v 提取码: k81v试验步骤。

术语解释：术语解释：内网穿透也就是通过外网访问内网的网站以及数据内容这也就是内网穿透。最直白的理解就是，一个网络架构中，有外网可以访问的，也有外网不能访问的服务或者地址。外网不能访问的地址叫内网，而我们客户端通过常规手段是访问不到内网的。那么这个时候我们想要访问内网的服务或者资源地址那么就需要采用一些手段。Ngrokfrpfrp虚拟机安装以及网络配置主要配置网卡即可 内存以及处理器配置到可使用即可。设置完成后 ip 以及DNS全部设置成自动获取软件下载地址。

启动36的网卡 ifup ens36 并且中间隧道主机centos2块网卡ping通win7主机101.102.1.11。上传到隧道centos服务器中的opt目录上 这也就是建立隧道的第一步 服务端，服务端再centos中上。继续上传pingtunnel到攻击主机kali 也就是启动客户端。其实这个也就是使用的就是ping 使用的协议是icmp协议。centos-服务端启动-pingtunnel。PingTunnel基于Icmp隧道。kali客户端启动-pingtunnel。直连内网3389服务。

隧道技术不是一种攻击技术，这是为了我们获得权限之后，更加方便的控制目标主机，进行数据传输、防火墙绕过等拦截手段而出现的技术。利用隧道技术封装改变通信协议进行绕过拦截，CS、MSF无法上线，数据传输不稳定无回显，出口数据被监控，网络通信存在问题等。应用层：SSH隧道、HTTP/S隧道、DNS隧道。传输层：TCP隧道、UDP隧道、常规端口转发。网络层：IPv6隧道、ICMP隧道。这就是典型的隧道技术的利用场景。传输层：TCP隧道、UDP隧道。隧道技术的代表有VPN。网络层：ICMP隧道。代理和隧道技术的区别。

在AS-REP阶段，由于返回的TGT是由 krbtgt 用户的密码Hash加密的。同样，在TGS-REP阶段，相较于黄金票据传递攻击。，这种攻击方式被称为。，这种攻击方式被称为。

可以使Get-CimInstance win32_service -Filter "Description='System Monitor service'"命令（服务描述名称：System Monitor service）枚举服务查看目标主机是否已安装 Sysmon。可以执行 Get-Process| Where-Object { $_.ProcessName -eq "Sysmon" }命令枚举进程查看目标主机是否安装 Sysmon。1）安装 Sysmon后，系统会启动名为Sysmon 的进程，

令其将该通知发送给指定目标，之后它会将立即测试该连接，即向指定目标进行身份验证（攻击者可以选择通过Kerberos或NTLM进行验证）。使用printerbug.py脚本触发目标机器向192.168.1.121发起SMB认证。此时Responder已经收到目标机器发送的SMB类型的Net-NTLM Hash了。微软表示这个Bug是系统的设计特点，无须修复。，并请求对一个新的打印作业进行更新，，迫使打印机服务向指定机器发起请求，用于打印客户端和服务器之间的通信，任何经过身份验证的域成员。

给多跳认证带来了很大的便利利用委派，攻击者可结合其他漏洞进行组合攻击导致攻击者可获取本地管理员甚至域管理员权限，还可以制作深度隐藏的后门域用户xiel test以Kerberos身份验证访问Web服务器请求下载文件。但是真正的文件在后台的文件服务器上于是，后台文件服务器将文件返回给Web服务器，Web服务器再将文件返回给域用户xieltest。这样就完成了一个委派的流程。在域中，只有主机账户和服务账户才具有委派得属性。账户解释:主机账户就是活动目录Computers中的计算机，也可以称为机器账户。

AD使用了一种结构化的数据存储方式,在一个活动目录中可以根据需要建立多个域.活动目录这种层次结构使企业网络具有极强的扩展性，便于组织、管理以及目录定位。而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登录。对于有一些经验的小伙伴 cs肯定知道是什么，如果是小白，改天有空我写写cs是什么常规操作是什么，希望对你们有所帮助!在域架构中用来管理所有客户端的服务器，是域架构的核心，因为所有的用户信息都被集中存储，

攻击发生在Kerberos协议的TGS_REP阶段，KDC的TGS服务返回一个由服务Hash加密的ST给客户端。由于该ST是用服务Hash进行加密的，。

AS-REP Roasting是一种对用户账户进行离线爆破的攻击方式。但是该攻击方式使用比较受限，因为其需要用户账户设置“不要求Kerberos预身份验证”选项，而该选项默是没有勾选的。Kerberos 预身份验证发生在Kerberos身份验证的第一阶段（AS_REQ&AS REP)，它的主要作用是防止密码离线爆破。默认情况下，预身份验证是开启的，KDC会录密码错误次数，防止在线爆破。当关闭了预身份验证后。

说明一下:说明一下:域环境或者内网环境下，可以在没有域环境有效凭证得情况下，。得AS-REQ阶段请求包cname对应得值是用户名用户存在禁用状态 - KDC_ERR_CLIENT_REVOKED NT Status: STATUS_ACCOUNT_DISABLED（用户状态不可用）用户存在且启用状态 - KDC_ERR_PREAUTH_REQUIRED-（需要额外的预认证)用户存在禁用状态 - KDC_ERR_C_PRINCIPAL_UNKNOWN- (找不到此用户)

域内用户名枚举是通过发送大量的AS-REQ包，根据返回的包内容筛选出存在的域用户，可以通过以下两方面进行检测。日志记录还和通讯KDC有关，如果域中存在多个域，则不同域控上记录的日志不相同，并不是每个KDC上都会有日志。因为默认情况下该脚本是利用LDAP从域中到处用户列表，然后去除被锁定的用户，在用指定的密码进行喷洒。普通的爆破就是用户名固定来爆破密码，但是密码喷洒是用固定的密码去爆破用户名。存在的用户名字典文件，也就是通过域内用户名枚举攻击枚举出的有效用户。请求包cname 对应的值是用户名，

域控环境介绍域控环境介绍域控主机分为三种:普通域控额外域控只读域控域控环境相关知识点介绍创建域环境首先就是要创建域控主机。域控主机创建完成以后，需要把所有的计算机拉入域中，这样就形成了域控环境。也是全局编录服务器。他们各自存储着一份相同的活动目录数据库。当其中有域控出现故障的时候，依旧能够由其他的域控来提供服务。域控环境搭建单域环境。域树环境。windows 2008 R2 域功能级别的单域环境在vmware 安装部署好 windows server2008 R2 系统。

同样，各个域之间的账号也将更具被设置的访问控制要求，获得域树中各域间的访问权限{这个也是涉及到对子域的权限控制以及平行域的控制}，实现了更为有效的资源管理和共享调度。在域树中的域名和我们使用浏览器访问网站的域名是十分的相似，在浏览器访问的过程中，我们需要域名服务也就是DNS来实现域名和与之对应的IP之间的转换。它存储了当前域中的全部用户名，密码以及属性这个域的计算机列表信息，并利用这些信息对连入域中的主机域用户进行认证。可能会存在多个域控主机独立光纤的域，这些域就会形成域树，或者域森林。