- 博客(82)
- 收藏
- 关注
RSS订阅原创 java 反序列化:手把手教你从 0 开始调试 cc 链
本文介绍了Apache Commons Collections 3.2.1反序列化漏洞的调试环境搭建与利用原理。主要内容包括:1)在JDK 1.8环境下搭建Maven项目,导入Commons Collections源码;2)分析利用链中关键类InvokerTransformer和ChainedTransformer的工作原理;3)通过反射机制动态调用Runtime.exec()方法实现命令执行。重点剖析了如何利用Transformer链绕过序列化限制,通过多级方法调用最终执行系统命令的过程。
2025-07-14 10:25:40
944
原创 NTLM 身份验证
摘要: NTLM(NT LAN Manager)是一种用于Windows系统的身份验证协议,支持SMB、HTTP等多种服务。其核心机制基于SSPI(安全服务接口)和SSP(安全服务提供者),完整会话分为身份验证和会话两个阶段。验证流程包含客户端与服务器的三次交互:协商消息、挑战消息和验证消息,涉及NTLM HASH计算、挑战值比对等步骤。域环境与工作组环境下的验证流程略有差异。此外,文章介绍了mic签名的生成与验证机制,以及通过Wireshark抓包分析NTLM认证实验的具体过程,展示了标志位、挑战值和Ne
2025-07-07 07:36:39
789
原创 ntlm relay 中继攻击
本文深入解析了NTLM Relay攻击流程及防御方法。通过实验展示了常规SMB协议Relay攻击过程,分析了MIC签名机制无法防御Relay攻击的原因。文章指出真正能阻止Relay攻击的是在会话阶段强制使用Session Key签名,并通过实验验证当服务器要求签名时攻击会失败。最后讨论了将攻击重定向到LDAP协议的情况,指出不同协议的签名要求差异:HTTP协议Relay到LDAP通常成功,而SMB协议Relay到LDAP会因签名要求而失败(可通过CVE-2019-1040漏洞绕过)。全文揭示了NTLM Re
2025-07-07 07:34:21
900
原创 CVE-2019-1040:ntlm mic 签名绕过
摘要: CVE-2019-1040漏洞允许攻击者通过NTLM认证中的MIC签名绕过机制,配合NTLM Relay攻击域控服务器。漏洞原理在于篡改协商请求包的标志位,禁用会话签名验证,使中间人能绕过安全机制。实验演示了利用该漏洞结合基于资源约束性委派的攻击流程:先创建机器账户,通过printerbug诱导域控认证,再利用NTLM Relay配置委派权限,最终获取域控的CIFS服务票据并执行命令。该漏洞影响NTLM认证协议的安全性,可导致域控权限提升。
2025-07-07 07:31:15
777
原创 XXE 使用参数实体带外
本文介绍了XXE(XML外部实体)攻击中的参数实体带外技术。当常规实体攻击被阻断时,参数实体可作为替代方案,其语法和作用域与常规实体不同,能在DTD内部使用。文章展示了参数实体带外测试的案例,比较了常规实体与参数实体的利用差异,并详细讲解了XXE盲注外带数据的实现方法,包括外部DTD的构造和嵌套解析过程。实验部分验证了参数实体引入外部DTD的成功利用,最终实现了敏感数据的带外传输。这种技术能绕过某些XML内容检测机制,具有更高的隐蔽性。
2025-07-07 06:52:50
620
原创 参数实体在 XXE 中的重要作用
在XXE攻击中,参数实体比通用实体更具优势。参数实体(%开头)仅在DTD内部使用,允许在解析阶段更早展开,能绕过某些安全限制。关键区别在于:参数实体可加载外部DTD实现嵌套攻击(外部DTD允许复杂嵌套,而内部DTD禁止),这对盲XXE和数据外带至关重要。解析器通常限制通用实体但可能允许参数实体引用外部资源,使攻击者能构造恶意DTD实现文件读取或数据泄露。这种灵活性使参数实体成为XXE攻击中的首选技术。
2025-07-07 06:45:29
583
原创 XXE 基础利用
本文介绍了XXE(XML外部实体)注入的基础利用方式,包括文件读取、SSRF攻击和盲注技术。通过靶场实验展示了如何利用XXE漏洞读取系统文件(如/etc/passwd和Windows hosts文件)、发起SSRF请求访问内部服务,以及在不回显数据时的盲注检测方法。文章提供了具体的XML payload示例和响应截图,说明XXE漏洞的危害性及其在渗透测试中的实际应用场景。
2025-07-07 06:40:28
296
原创 XXE 注入基本概念
摘要 XML外部实体注入(XXE)是一种利用XML解析漏洞的攻击方式,攻击者通过构造恶意外部实体引用,可读取服务器文件、发起SSRF攻击或带外泄露数据。XML实体分为内部和外部两类,外部实体通过URI引用外部资源。DTD定义了XML文档结构,支持自定义实体。XXE攻击常见场景包括:文件读取、SSRF攻击、盲测数据泄露等。防范措施包括禁用外部实体解析、输入过滤和使用安全XML解析器。
2025-07-07 06:31:42
208
原创 cors 劫持
摘要:同源策略是浏览器的安全机制,限制跨域访问资源。CORS(跨域资源共享)通过简单请求和预检请求两种方式实现跨域访问。简单请求满足特定条件时直接发送,而复杂请求需先发送OPTIONS预检请求。CORS劫持可利用反射的Access-Control-Allow-Origin头进行攻击,通过构造恶意脚本窃取用户数据。靶场示例展示了利用CORS漏洞结合XSS攻击窃取敏感信息的过程,需满足特定条件如跨域权限配置和用户会话状态。
2025-07-07 06:16:42
924
原创 面向安全产品测试的静态混淆型 Shellcode Loader 设计与对抗分析
近年来,随着 C2 框架广泛应用于安全对抗模拟,各大安全厂商也不断提升其检测能力,那么安全厂商自研的安全软件,是否能有效防御此类威胁?对于此疑问的好奇,我开始对安全软件和 C2 框架进行了深入的研究,于是此项目诞生了。此项目旨在模拟严苛的静态环境来测试安全软件对于 C2 框架的检测力度。此项目对于研究安全问题的伙伴,对于安全厂商以及对于研发安全产品的企业提供了关于 C2 框架检测相关的数据支持。
2025-06-30 17:23:21
909
原创 PortSwigger 的 CSRF 漏洞总结
本文所提供的关于 web 安全的相关信息、技术讲解及案例分析等内容,仅用于知识分享与学术交流目的,旨在提升读者对 web 安全领域的认知与理解。以下仅仅是作者对 PostSwigger Web 安全的知识整理和分享,严禁任何非法犯罪活动。限制 CSRF 的三种方式CSRF TokenSameSiteReferer。
2025-04-27 16:53:28
424
原创 frp 内网渗透案例:端口转发 + 二级代理(深入理解 frp 在内网渗透中的技巧)
本文使用 vulnstack7 靶场作为测试环境,解释 frp 内网渗透特殊使用姿势,通过此案例来提高内网渗透能力。接下来的演示环境只做了以下修改。攻击者 vps 的 ip 修改为:192.168.72.162。DMZ 区域的 ubuntu 的 ip1 修改为:192.168.72.129。先引入问题,当我们控制了 DMZ 的 ubuntu 并且拿到第二层网络的 ubuntu 的 rce 后,会出现以下两个问题。如何搭建隧道让 ubuntu 反弹 shell 给攻击者 vps?
2025-03-26 17:02:29
1330
原创 域渗透工具推荐:powerview.py(python 版本)
为用户 deandean 添加修改 administrator 密码的权限。# 移除 deandean 用户修改 administrator 密码的权限。# 查询 deandean 用户作为安全主体,域内安全对象的 acl 信息。# 设置上游服务为 COMP1$,下游服务为 WIN10-01$ 的委派。# 查询 deandean 用户作为安全对象的 acl 信息。# 查询 administrator 的 acl。# 查询 administrator 的 acl。
2025-03-26 15:27:15
930
原创 域渗透工具推荐:impacket
请求文件中所有用户的 tgt,如果该用户设置了"不需要 kerberos 预身份验证",那么它将返回此用户的 tgt,此脚本提取出 tgt 的 Login Session Key 进行离线爆破烤票攻击。# 如果你指定 spn 参数,生成的是这个 spn 白银票据 st,如果你没有指定,则生成黄金票据,且需要提供 krbtgt 凭据。# 使用此脚本可以批量请求 spn,如果你指定一个包含用户名文件,他将请求你指定的用户下的 spn 的 st。# 导出之后,使用 hashcat 进行离线烤票。
2025-03-20 18:10:29
1032
原创 恶意 SSP 注入收集密码
SSP 安全服务提供者,是微软提供的与安全有关的函数接口,用户可根据自己的需求调用 SSP 接口实现高度自定义的身份验证等安全功能。攻击者注入恶意的 SSP 接口覆盖微软默认的某些安全功能,导致用户一旦进行身份验证,恶意的 SSP 将保存用户输入明文密码。当用户登录时,恶意 ssp 触发,将明文密码写入 C:\Windows\System32\mimilsa.txt。
2025-03-01 20:25:49
295
原创 修改 AdminSDHolder 进行域维权
添加 hacker 用户对 AdminSDHolder 的完全控制权限,并篡改 AdminSDHolder 中 hacker 用户的 acl 配置。SDProp 进程每隔一段时间将 AdminCount 属性为 1 的用户的 acl 与 AdminSDHolder 中此用户下的 acl 进行对比,如果不相同,说明用户的 acl 被篡改,SDProp 进行将会修改用户的 acl 来确保与 AdminSDHolder 中的相关 acl 保持一致。# 将 hacker 用户加入 Domain Admins。
2025-03-01 20:21:05
341
原创 修改 DSRM 密码进行域维权
输入 " reset password on server null ",回车。输入 " set DSRM password ", 回车。修改注册表,使得 DSRM 账号可以网络登录域控。DSRM 账号就是域控机器的本地管理员账户。我重置的密码是:p-0p-0p-0p-0。输入两次新密码,回车,然后退出即可。# 重置 DSRM 密码。
2025-03-01 20:04:44
242
原创 SID History 域维权
根据微软的描述,SID History 属性是微软对域内用户进行域迁移的支持而创建的。每当对象从一个域移动到另一个域时,都会创建一个新的 SID,并且该新 SID 将成为 objectSID。先前的 SID 会添加到 SID History 属性中,以确保该用户迁移后仍然能访问迁移前能访问的资源。# 将 administrator 的 sid 添加到 deandean 的 SID History 属性中。
2025-03-01 20:00:42
331
原创 域内委派维权
为某个服务账户配置 krbtgt 用户的非约束性委派或基于资源的约束性委派。这里我的 krbtgt 的基于资源约束性委派我利用不了,所以使用的是域控的机器账户 dc01$ 进行维权。# 以 administrator 请求 cifs/dc01.HACK.com 票据。以 administrator 请求 cifs/dc01.HACK.com 票据。给机器账户 dc01$ 配置 machine$ 的基于资源的约束性委派。这里很多账号都是如下 hash,是因为他们的密码都是一样的。抓取所有 hash。
2025-03-01 19:53:28
249
原创 PTT 票据传递攻击
原理:获取某个服务账户的哈希后,使用普通域用户访问此服务后,使用获得的哈希解密 st 服务票据,然后给 pac 添加一个高权限用户,并使用此哈希伪造 PAC_SERVER_CHECKSUM 签名。而 PAC_PRIVSVR_CHECKSUM 签名伪造需要 krbtgt 的哈希,但是此签名可选且默认不开启,直接忽视。原理:获取 krbtgt 的哈希后,使用此哈希能离线生成任意域用户的 tgt,域管理员的 tgt 就是黄金票据。# 导出 administrator 用户的哈希。# 访问域控 DC01。
2025-02-21 17:27:22
884
原创 域内证书维权
使用其私钥签发其他证书,因为 CA 证书被根信任证书的私钥签了名,因此 CA 证书继承了根信任证书的信任。# 在 CA 机器上使用 mimikatz 执行如下命令导出机器证书,导出的.pfx 文件即包含 CA 的证书和私钥,该 pfx 文件的导出密码为mimikatz。那么如果我们获得 CA 证书的私钥,那么可以使用它伪造域用户证书链 ,这样我们获得域内所有用户凭据。在域环境下,域用户申请 User 模板的证书用于客户端身份验证,这类证书由 CA证书 签发,一般 CA 证书存放在所有域用户机器下的。
2025-02-21 17:14:16
906
原创 ESC8:NTLM Relay 中继到 Web 证书注册服务
因为Web证书注册服务默认使用NTLM协议进行身份认证,所以可以中继到访问Web证书注册服务的HTTP协议,然后就能利用目标用户的身份获得到此用户的身份验证证书。拿到此用户证书后,就拿到了此用户的凭据。NTLM Relay的常见攻击场景:攻击域控:域控机器账户有 DCSync 权限,可以到处域内任意用户 hash。攻击 Exchange 服务器:这个服务器的机器账户能用于远程连接登录,也可以配置 DCsync 权限。攻击域内普通机器:域内普通机器账号可以结合基于资源的约束性委派,获得管理员权限。
2025-02-21 17:11:49
1031
原创 ESC1-ECS7 证书模板配置错误
存在 ESC2 的模板属性存在如下条件:安全选项中给域用户注册权限。证书模板未设置批准程序,以确保注册证书不会被挂起来等待管理员批准。证书模板定义了 “任何目的” 类型的 EKU 或 “无” 类型的 EKU。“任何目的” 类型:此 EKU 指证书可以用于任何目的。“无” 类型:此 EKU 指该证书没有 EKU,相当于从属 CA 的证书。
2025-02-21 17:08:27
653
原创 CVE-2022-26923: dNSHostName 证书欺骗提权
但幸运的是,不论是机器账户的创建者还是机器账户本身的凭据,在域环境下都有权限来完成攻击,而且我们接下来使用的工具也都支持方法二,我们接下来攻击流程只演示方法一。# 如果你使用的是机器账户 HASH 来进行的攻击,使用 -p 参数指定机器账户的 HASH 即可。(我接下来演示的方法)攻击凭据:机器账户的创建者。# 如果你使用的是机器账户 HASH 来进行的攻击,使用 -p 参数指定机器账户的 HASH 即可。# 如果你使用的是机器账户 HASH 来进行的攻击,使用 -p 参数指定机器账户的 HASH 即可。
2025-02-21 17:04:22
962
原创 mimikatz 导出证书
此方法不能非法导出密钥。右键——>所有任务(K)——>导出(E)# 先转换为 certipy 可用的 pfx 文件。此方法能非法导出密钥。# 认证获得 hash。
2025-02-21 16:59:47
249
原创 申请证书和证书攻击
使用模板申请证书流程图如下:客户端生成密钥对。客户端生成证书签名请求(CSR,Certificate Signing Request),CSR 有密钥对的私钥签名,主要包含证书模板和密钥对的公钥。服务端检查模板是否允许,用户是否具有申请证书的权限。服务端生成证书,并用 CA 私钥进行数字签名。生成后,服务端发放证书给客户端。第 4 步中的 CA 私钥是颁发者信任证书的密钥对中的私钥。颁发者信任证书会成为所申请证书的证书链中的上一级证书。
2025-02-21 16:58:05
795
原创 域环境下的证书模板
是一种用于定义证书属性和行为的预配置模板。它决定了证书在域环境下的配置。:管理员可以通过模板快速创建满足特定需求的证书。:确保所有颁发的证书遵循统一的配置。:通过模板限定哪些用户或设备可以申请证书,以及证书的用途。管理员可以对证书模板执行以下操作:查看每个证书模板的属性。复制和修改证书模板。控制哪些用户和计算机可以使用此模板注册证书。其他。
2025-02-21 16:54:50
860
原创 ADCS证书服务
上面这句话是微软官方写的,这样的结果就是,使用证书进行 kerberos 认证时,kdc 返回的 tgt 和 st 中的 pac 信息会携带用户的 NTLM Hash。as-rep 中包含被 krbtgt 哈希加密的 tgt,还有证书公钥加密的 Logon Session key,往后的流程和正常的 kerberos 认证流程差不多。安装 adcs 证书服务后,将当前服务器提升为域内的根 CA,为域用户颁发证书,根 CA 证书则存放在域内每台机器的“受信任的根证书颁发机构”中。
2025-02-21 16:52:31
887
原创 基于 PKI 的数字证书身份认证体系
公钥基础设施(PKI)通过使用公钥技术和数字证书来提供系统信息安全服务,并负责验证数字证书持有者身份的一种体系。PKI基于非对称加密算法,其中公钥用于加密和解密数据,而私钥用于解密和签名数据。
2025-02-21 16:48:59
1004
原创 CVE-2021-42287: sAMAccountName spoofing 域内提权
域控 ip:192.168.72.21,hostname:dc01域内攻击者机器 ip:192.168.72.158,hostname:WIN10-01攻击者 kali 机器 ip:192.168.72.162。
2025-02-21 16:46:35
671
原创 Kerberos Bronze Bit(CVE-2020-17049)
域控机器账户:WIN-0V0GAORDC17域控 ip:192.168.72.163域内攻击者机器 ip:192.168.72.158,host:WIN10-01攻击者 kali 机器 ip:192.168.72.162微软允许我们通过添加如下设置,来阻止此用户被服务委派:用户设置为敏感用户,不允许被委派。用户被添加到 Protected Users 安全组内。上游服务的约束性委派设置了仅使用 kerberos。
2025-02-21 16:41:46
666
原创 CVE-2021-34527: PrintNightmare 域内提权
域控 ip:192.168.72.21,hostname:dc01域内攻击者机器 ip:192.168.72.158,hostname:WIN10-01攻击者 kali 机器 ip:192.168.72.162如果目标机器开启 Print Spooler 服务,那么此漏洞允许攻击者将代码注入到 Print Spooler 服务的进程 spoolsv.exe 中,以 system 权限执行。
2025-02-21 16:36:24
819
原创 NetLogon 权限提升漏洞
域控机器账户:WIN-0V0GAORDC17域控 ip:192.168.72.163域内攻击者机器 ip:192.168.72.158,host:WIN10-01攻击者 kali 机器 ip:192.168.72.162。
2025-02-21 16:30:21
785
原创 域林攻击详解
子域控 ip:192.168.72.155,host:WIN-OKJSS035GMG,domain:guangzhou.HACKER.com根域控 ip:192.168.72.163,host:WIN-0V0GAORDC17,domain:HACKER.com域内攻击者机器 ip:192.168.72.158,host:WIN10-01攻击者 kali 机器 ip:192.168.72.162。
2025-02-20 21:05:21
603
原创 定位用户登录的主机
域控机器账户:WIN-0V0GAORDC17域控 ip:192.168.72.163域内攻击者机器 ip:192.168.72.158,host:WIN10-01攻击者 kali 机器 ip:192.168.72.162横向或拿下域控的时候,要精确定位当前某些用户在哪台机器登录。
2025-02-20 20:20:30
1234
原创 PTH 哈希传递攻击
强制执行远程访问的本地帐户限制是由 LocalAccountTokenFilterPolicy 的值控制,当此值不存在或为 0 时,UAC 限制本地用户的远程连接,当设置 LocalAccountTokenFilterPolicy 为 1 时,就会禁用 UAC 远程连接限制,此时执行 PTH 攻击将会生效,这时本地管理员组用户均可以在远程连接时获得一个具有管理员权限的令牌。RDP 登陆后,目标机器会将用户的凭据存储在目标机器的内存中,导致如果目标机器被入侵,所有 RDP 登录过的用户凭据将盗。
2025-02-20 20:07:35
909
原创 ntlm 攻击引诱
域控机器账户:WIN-0V0GAORDC17域控 ip:192.168.72.163攻击者机器 kali 地址:192.168.72.162监听内网。
2025-02-20 19:46:54
721
原创 约束性委派攻击和非约束性委派攻击
WIN10-01 是 deandean 用户加入域的,所以有修改这个机器账户的 msDS-AllowedToActOnBehalfOfOtherIdentity 属性的权限,这是基于资源的约束性委派攻击的必要条件。在 WIN10-01 上配置 win10-02 的基于资源的约束性委派(基于资源的约束性委派配置在下游机器账户上, WIN10-01 属于下游机器, win10-02 属于上游机器)。# kekeo 将 S4U2Self 票据(短的)和 S4U2Proxy 票据(长的)保存到当前文件夹。
2025-02-20 19:35:31
799
原创 非约束性委派结合 SpoolSample 攻击
由于非约束性委派的机制,域控访问 win10-01 域控主机需要发送 tgt ,我们使用打印机漏洞之后会立刻获得一个 base64 编码的域控机器账户的 tgt。使用 Rubeus 将 base64 编码的 tgt 导入到会话中。使用 mimikatz dump 域内用户的 hash。攻击者触发打印机漏洞使得域控主机回连访问攻击者机器。域控机器账户:WIN-0V0GAORDC17。攻击者监听管理员发送的 tgt。攻击者机器:win10-01。
2025-02-20 19:15:17
696
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人