- 博客(74)
- 收藏
- 关注
RSS订阅原创 frp 内网渗透案例:端口转发 + 二级代理(深入理解 frp 在内网渗透中的技巧)
本文使用 vulnstack7 靶场作为测试环境,解释 frp 内网渗透特殊使用姿势,通过此案例来提高内网渗透能力。接下来的演示环境只做了以下修改。攻击者 vps 的 ip 修改为:192.168.72.162。DMZ 区域的 ubuntu 的 ip1 修改为:192.168.72.129。先引入问题,当我们控制了 DMZ 的 ubuntu 并且拿到第二层网络的 ubuntu 的 rce 后,会出现以下两个问题。如何搭建隧道让 ubuntu 反弹 shell 给攻击者 vps?
2025-03-26 17:02:29
1070
原创 域渗透工具推荐:powerview.py(python 版本)
为用户 deandean 添加修改 administrator 密码的权限。# 移除 deandean 用户修改 administrator 密码的权限。# 查询 deandean 用户作为安全主体,域内安全对象的 acl 信息。# 设置上游服务为 COMP1$,下游服务为 WIN10-01$ 的委派。# 查询 deandean 用户作为安全对象的 acl 信息。# 查询 administrator 的 acl。# 查询 administrator 的 acl。
2025-03-26 15:27:15
835
原创 域渗透工具推荐:impacket
请求文件中所有用户的 tgt,如果该用户设置了"不需要 kerberos 预身份验证",那么它将返回此用户的 tgt,此脚本提取出 tgt 的 Login Session Key 进行离线爆破烤票攻击。# 如果你指定 spn 参数,生成的是这个 spn 白银票据 st,如果你没有指定,则生成黄金票据,且需要提供 krbtgt 凭据。# 使用此脚本可以批量请求 spn,如果你指定一个包含用户名文件,他将请求你指定的用户下的 spn 的 st。# 导出之后,使用 hashcat 进行离线烤票。
2025-03-20 18:10:29
963
原创 恶意 SSP 注入收集密码
SSP 安全服务提供者,是微软提供的与安全有关的函数接口,用户可根据自己的需求调用 SSP 接口实现高度自定义的身份验证等安全功能。攻击者注入恶意的 SSP 接口覆盖微软默认的某些安全功能,导致用户一旦进行身份验证,恶意的 SSP 将保存用户输入明文密码。当用户登录时,恶意 ssp 触发,将明文密码写入 C:\Windows\System32\mimilsa.txt。
2025-03-01 20:25:49
257
原创 修改 AdminSDHolder 进行域维权
添加 hacker 用户对 AdminSDHolder 的完全控制权限,并篡改 AdminSDHolder 中 hacker 用户的 acl 配置。SDProp 进程每隔一段时间将 AdminCount 属性为 1 的用户的 acl 与 AdminSDHolder 中此用户下的 acl 进行对比,如果不相同,说明用户的 acl 被篡改,SDProp 进行将会修改用户的 acl 来确保与 AdminSDHolder 中的相关 acl 保持一致。# 将 hacker 用户加入 Domain Admins。
2025-03-01 20:21:05
301
原创 修改 DSRM 密码进行域维权
输入 " reset password on server null ",回车。输入 " set DSRM password ", 回车。修改注册表,使得 DSRM 账号可以网络登录域控。DSRM 账号就是域控机器的本地管理员账户。我重置的密码是:p-0p-0p-0p-0。输入两次新密码,回车,然后退出即可。# 重置 DSRM 密码。
2025-03-01 20:04:44
162
原创 SID History 域维权
根据微软的描述,SID History 属性是微软对域内用户进行域迁移的支持而创建的。每当对象从一个域移动到另一个域时,都会创建一个新的 SID,并且该新 SID 将成为 objectSID。先前的 SID 会添加到 SID History 属性中,以确保该用户迁移后仍然能访问迁移前能访问的资源。# 将 administrator 的 sid 添加到 deandean 的 SID History 属性中。
2025-03-01 20:00:42
308
原创 域内委派维权
为某个服务账户配置 krbtgt 用户的非约束性委派或基于资源的约束性委派。这里我的 krbtgt 的基于资源约束性委派我利用不了,所以使用的是域控的机器账户 dc01$ 进行维权。# 以 administrator 请求 cifs/dc01.HACK.com 票据。以 administrator 请求 cifs/dc01.HACK.com 票据。给机器账户 dc01$ 配置 machine$ 的基于资源的约束性委派。这里很多账号都是如下 hash,是因为他们的密码都是一样的。抓取所有 hash。
2025-03-01 19:53:28
218
原创 PTT 票据传递攻击
原理:获取某个服务账户的哈希后,使用普通域用户访问此服务后,使用获得的哈希解密 st 服务票据,然后给 pac 添加一个高权限用户,并使用此哈希伪造 PAC_SERVER_CHECKSUM 签名。而 PAC_PRIVSVR_CHECKSUM 签名伪造需要 krbtgt 的哈希,但是此签名可选且默认不开启,直接忽视。原理:获取 krbtgt 的哈希后,使用此哈希能离线生成任意域用户的 tgt,域管理员的 tgt 就是黄金票据。# 导出 administrator 用户的哈希。# 访问域控 DC01。
2025-02-21 17:27:22
852
原创 域内证书维权
使用其私钥签发其他证书,因为 CA 证书被根信任证书的私钥签了名,因此 CA 证书继承了根信任证书的信任。# 在 CA 机器上使用 mimikatz 执行如下命令导出机器证书,导出的.pfx 文件即包含 CA 的证书和私钥,该 pfx 文件的导出密码为mimikatz。那么如果我们获得 CA 证书的私钥,那么可以使用它伪造域用户证书链 ,这样我们获得域内所有用户凭据。在域环境下,域用户申请 User 模板的证书用于客户端身份验证,这类证书由 CA证书 签发,一般 CA 证书存放在所有域用户机器下的。
2025-02-21 17:14:16
867
原创 ESC8:NTLM Relay 中继到 Web 证书注册服务
因为Web证书注册服务默认使用NTLM协议进行身份认证,所以可以中继到访问Web证书注册服务的HTTP协议,然后就能利用目标用户的身份获得到此用户的身份验证证书。拿到此用户证书后,就拿到了此用户的凭据。NTLM Relay的常见攻击场景:攻击域控:域控机器账户有 DCSync 权限,可以到处域内任意用户 hash。攻击 Exchange 服务器:这个服务器的机器账户能用于远程连接登录,也可以配置 DCsync 权限。攻击域内普通机器:域内普通机器账号可以结合基于资源的约束性委派,获得管理员权限。
2025-02-21 17:11:49
991
原创 ESC1-ECS7 证书模板配置错误
存在 ESC2 的模板属性存在如下条件:安全选项中给域用户注册权限。证书模板未设置批准程序,以确保注册证书不会被挂起来等待管理员批准。证书模板定义了 “任何目的” 类型的 EKU 或 “无” 类型的 EKU。“任何目的” 类型:此 EKU 指证书可以用于任何目的。“无” 类型:此 EKU 指该证书没有 EKU,相当于从属 CA 的证书。
2025-02-21 17:08:27
592
原创 CVE-2022-26923: dNSHostName 证书欺骗提权
但幸运的是,不论是机器账户的创建者还是机器账户本身的凭据,在域环境下都有权限来完成攻击,而且我们接下来使用的工具也都支持方法二,我们接下来攻击流程只演示方法一。# 如果你使用的是机器账户 HASH 来进行的攻击,使用 -p 参数指定机器账户的 HASH 即可。(我接下来演示的方法)攻击凭据:机器账户的创建者。# 如果你使用的是机器账户 HASH 来进行的攻击,使用 -p 参数指定机器账户的 HASH 即可。# 如果你使用的是机器账户 HASH 来进行的攻击,使用 -p 参数指定机器账户的 HASH 即可。
2025-02-21 17:04:22
886
原创 mimikatz 导出证书
此方法不能非法导出密钥。右键——>所有任务(K)——>导出(E)# 先转换为 certipy 可用的 pfx 文件。此方法能非法导出密钥。# 认证获得 hash。
2025-02-21 16:59:47
191
原创 申请证书和证书攻击
使用模板申请证书流程图如下:客户端生成密钥对。客户端生成证书签名请求(CSR,Certificate Signing Request),CSR 有密钥对的私钥签名,主要包含证书模板和密钥对的公钥。服务端检查模板是否允许,用户是否具有申请证书的权限。服务端生成证书,并用 CA 私钥进行数字签名。生成后,服务端发放证书给客户端。第 4 步中的 CA 私钥是颁发者信任证书的密钥对中的私钥。颁发者信任证书会成为所申请证书的证书链中的上一级证书。
2025-02-21 16:58:05
757
原创 域环境下的证书模板
是一种用于定义证书属性和行为的预配置模板。它决定了证书在域环境下的配置。:管理员可以通过模板快速创建满足特定需求的证书。:确保所有颁发的证书遵循统一的配置。:通过模板限定哪些用户或设备可以申请证书,以及证书的用途。管理员可以对证书模板执行以下操作:查看每个证书模板的属性。复制和修改证书模板。控制哪些用户和计算机可以使用此模板注册证书。其他。
2025-02-21 16:54:50
748
原创 ADCS证书服务
上面这句话是微软官方写的,这样的结果就是,使用证书进行 kerberos 认证时,kdc 返回的 tgt 和 st 中的 pac 信息会携带用户的 NTLM Hash。as-rep 中包含被 krbtgt 哈希加密的 tgt,还有证书公钥加密的 Logon Session key,往后的流程和正常的 kerberos 认证流程差不多。安装 adcs 证书服务后,将当前服务器提升为域内的根 CA,为域用户颁发证书,根 CA 证书则存放在域内每台机器的“受信任的根证书颁发机构”中。
2025-02-21 16:52:31
813
原创 基于 PKI 的数字证书身份认证体系
公钥基础设施(PKI)通过使用公钥技术和数字证书来提供系统信息安全服务,并负责验证数字证书持有者身份的一种体系。PKI基于非对称加密算法,其中公钥用于加密和解密数据,而私钥用于解密和签名数据。
2025-02-21 16:48:59
750
原创 CVE-2021-42287: sAMAccountName spoofing 域内提权
域控 ip:192.168.72.21,hostname:dc01域内攻击者机器 ip:192.168.72.158,hostname:WIN10-01攻击者 kali 机器 ip:192.168.72.162。
2025-02-21 16:46:35
564
原创 Kerberos Bronze Bit(CVE-2020-17049)
域控机器账户:WIN-0V0GAORDC17域控 ip:192.168.72.163域内攻击者机器 ip:192.168.72.158,host:WIN10-01攻击者 kali 机器 ip:192.168.72.162微软允许我们通过添加如下设置,来阻止此用户被服务委派:用户设置为敏感用户,不允许被委派。用户被添加到 Protected Users 安全组内。上游服务的约束性委派设置了仅使用 kerberos。
2025-02-21 16:41:46
631
原创 CVE-2021-34527: PrintNightmare 域内提权
域控 ip:192.168.72.21,hostname:dc01域内攻击者机器 ip:192.168.72.158,hostname:WIN10-01攻击者 kali 机器 ip:192.168.72.162如果目标机器开启 Print Spooler 服务,那么此漏洞允许攻击者将代码注入到 Print Spooler 服务的进程 spoolsv.exe 中,以 system 权限执行。
2025-02-21 16:36:24
690
原创 NetLogon 权限提升漏洞
域控机器账户:WIN-0V0GAORDC17域控 ip:192.168.72.163域内攻击者机器 ip:192.168.72.158,host:WIN10-01攻击者 kali 机器 ip:192.168.72.162。
2025-02-21 16:30:21
724
原创 域漏洞:CVE-2019-1040 (ntlm mic 签名绕过)
攻击目标域控 ip:192.168.72.21,hostname:dc01备用域控 ip:192.168.72.22,hostname:WIN-GI7DV30V4DO攻击者 kali ip:192.168.72.162。
2025-02-21 16:20:10
943
原创 域林攻击详解
子域控 ip:192.168.72.155,host:WIN-OKJSS035GMG,domain:guangzhou.HACKER.com根域控 ip:192.168.72.163,host:WIN-0V0GAORDC17,domain:HACKER.com域内攻击者机器 ip:192.168.72.158,host:WIN10-01攻击者 kali 机器 ip:192.168.72.162。
2025-02-20 21:05:21
555
原创 定位用户登录的主机
域控机器账户:WIN-0V0GAORDC17域控 ip:192.168.72.163域内攻击者机器 ip:192.168.72.158,host:WIN10-01攻击者 kali 机器 ip:192.168.72.162横向或拿下域控的时候,要精确定位当前某些用户在哪台机器登录。
2025-02-20 20:20:30
950
原创 PTH 哈希传递攻击
强制执行远程访问的本地帐户限制是由 LocalAccountTokenFilterPolicy 的值控制,当此值不存在或为 0 时,UAC 限制本地用户的远程连接,当设置 LocalAccountTokenFilterPolicy 为 1 时,就会禁用 UAC 远程连接限制,此时执行 PTH 攻击将会生效,这时本地管理员组用户均可以在远程连接时获得一个具有管理员权限的令牌。RDP 登陆后,目标机器会将用户的凭据存储在目标机器的内存中,导致如果目标机器被入侵,所有 RDP 登录过的用户凭据将盗。
2025-02-20 20:07:35
828
原创 ntlm 攻击引诱
域控机器账户:WIN-0V0GAORDC17域控 ip:192.168.72.163攻击者机器 kali 地址:192.168.72.162监听内网。
2025-02-20 19:46:54
701
原创 约束性委派攻击和非约束性委派攻击
WIN10-01 是 deandean 用户加入域的,所以有修改这个机器账户的 msDS-AllowedToActOnBehalfOfOtherIdentity 属性的权限,这是基于资源的约束性委派攻击的必要条件。在 WIN10-01 上配置 win10-02 的基于资源的约束性委派(基于资源的约束性委派配置在下游机器账户上, WIN10-01 属于下游机器, win10-02 属于上游机器)。# kekeo 将 S4U2Self 票据(短的)和 S4U2Proxy 票据(长的)保存到当前文件夹。
2025-02-20 19:35:31
771
原创 非约束性委派结合 SpoolSample 攻击
由于非约束性委派的机制,域控访问 win10-01 域控主机需要发送 tgt ,我们使用打印机漏洞之后会立刻获得一个 base64 编码的域控机器账户的 tgt。使用 Rubeus 将 base64 编码的 tgt 导入到会话中。使用 mimikatz dump 域内用户的 hash。攻击者触发打印机漏洞使得域控主机回连访问攻击者机器。域控机器账户:WIN-0V0GAORDC17。攻击者监听管理员发送的 tgt。攻击者机器:win10-01。
2025-02-20 19:15:17
645
原创 域内的三种委派方式
非约束性委派配置在上游服务,上游服务使用用户发送的的可转发的 tgt 访问服务。约束性委派配置在上游服务的 msDS-AllowedToDelegateTo 属性中,此属性指明了合法的下游服务。基于资源的约束性委派配置在下游服务的 msDS-AllowedToActOnBehalfOfOtherIdentity 属性中,此属性指明了合法的上游服务。
2024-12-28 19:28:45
986
原创 Kerberoasting 离线爆破攻击
当域用户请求某个域内服务后,kdc 通常会返回一个加密的 st 服务票据,此 st 服务票据被服务 hash 加密,当我们将使用密码字典派生的多个 hash 值来尝试解密 st 服务票据,如果能够揭秘成功,则说明字典中存在目标服务账号的密码。
2024-12-24 16:29:24
486
原创 AS-REP Roasting离线爆破攻击
针对一个域内用户,其账户选项有个设置叫作 “不要求 kerberos 预身份验证”,它默认是关闭的。当 “不要求 kerberos 预身份验证” 选项被勾选,会出现以下效果:as-req 报文中不需要添加用户 hash 加密的时间戳,自动返回 as-rep 报文。如果用户能使用用户 hash 解密 as-rep 报文中的 Logon Session Key ,那么代表用户凭据正确。
2024-12-21 19:14:23
989
原创 Kerberos实验
客户端(机器账户win10):192.168.72.159用户:administrator抓包:开机登录win10,使用administrator域用户凭据登录。
2024-12-18 19:15:29
949
原创 NTLMv2 离线爆破
攻击者(kali):192.168.72.162受害者(administrator):192.168.72.163因为 NTLM 身份验证是通过计算正确的挑战值得出的,所以如果我们能获取域用户的 NTLM 认证某一服务的 Net-NTLM v2 Hash 就能保存下来,离线破解。
2024-12-18 19:10:30
690
原创 Kerberos身份验证
Kerberos是更现代化的身份验证协议,它比 NTLM 认证更安全,但域内某些服务仍支持 NTLM 认证。Kerberos 和 NTLM 认证一样,都是通过在 SSPI 接口实现的功能,这使得使用第三方协议(如:HTTP、SMB、LDAP)在访问服务之前,Kerberos 和 NTLM 一样,由身份验证阶段转为会话阶段。
2024-12-17 19:41:59
874
原创 vulnhub(16):sickos(两种打点方式)
可以看到没有设置安全路径,但udf提权还是失败了,因为将文件内容写入不了数据库,即使我们将需要写入的文件改为777权限,如下,raptor_udf2.so是恶意提权函数库。访问shell.php:http://192.168.72.154/wolfcms/public/shell.php。访问/cgi/,发现此目录下有exp.cgi,浏览器访问下,看到没有使用bash进行解析,而是直接当成文本返回了。正常访问到了80端口web界面,主页源代码页面只有个字符串:BLEHHH!
2024-10-27 20:36:44
987
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人