Fly_鹏程万里

AD简介AD(Active Directory)即活动目录，微软的基础件。微软的很多产品如：Exchange Server，Lync Server，SharePoint Server，Forefront Servert等都与其高度集成，形成一整套的微软解决方案。所以要想在企业中成功布署微软的产品，活动目录是必须建立的，并且至关重要，活动目录的稳定与否也直接影响到企业中其他微软产品的布署。故本节主要...

域环境搭建 准备： DC: win2008 DM: win2003 DM: winxpwin2008(域控) 1、修改计算机名：2、配置固定ip: 其中网关设置错误，应该为192.168.206.2，开始默认的网管3、服务器管理器---角色：4、配置域服务: dos下面输入dcpromoPs：这里可能会因为本地administrator的密码规则不合要求，导致安装失败，改一个强密码5、设置林根域：...

0x01 前言说起内网定位，无论针对内网查找资料还是针对特殊人物都是非常实用的一项技术。这里把目前能够利用的手段&工具都一一进行讲解。0x02 服务器（机器）定位收集域以及域内用户信息收集域内域控制器信息收集域控上域用户登录日志信息收集域内所有用户名以及全名、备注等信息收集域内工作组信息收集域管理员帐号信息收集域内网段划分信息收集域内组织单位信息常用收集域信息命令：Ipconfig /al...

Empire和BloodHound这两个Github项目极大程度地简化了针对活动目录（AD）的渗透测试过程，至少在我当前所遇到的95%的环境中是这样的。随着年月的积累，我发现很多事情都是自己一直在重复地做着，因此我打算将它们通过自动化的方式来实现。毕竟，通过“即发即弃”的脚本来自动化获取域管理员权限（Domain Admin）是大家都想实现的一个目标，没错吧？幸运的是，前人已经帮我们完成了很多非常...

Smbexec V 2.0是一款基于psexec的域渗透测试工具，并配套Samba工具特性枚举登陆的域管理员抓取hash释放缓存令牌 (基于cachedump)远程登录认证抓取明文认证信息Pop shells包括smbexec.shinstaller.shpatches to compile binariessource for samba-3.6.9 and winexe-1.0...

1. Empire简介Empire is a pure PowerShell post-exploitation agent built on cryptologically-secure communications and a flexible architecture. Empire implements the ability to run PowerShell agents withou...

导语：当我们在谈论基于ACL的攻击时，我们特指的是访问控制条目（ACE），它填充了自由访问控制列表（DACL）。访问控制条目描述了Active Directory中针对安全对象的其他主体的允许和拒绝的权限。简介和背景2014年，Emmanuel Gras和Lucas Bouillot在“ 信息通信技术研讨会”（Symposium on Information and Communications）...

导语：简介和背景 在今年二月，我发布了一个名为“ PowerPath ” 的POC脚本，它整合了Will Schroeder的PowerView和Justin Warner的本地管理员衍生工具，图形理论以及Jim Truher（@jwtruher）为证明可以自动执行Active Directory域。简介和背景在今年二月，我发布了一个名为“ PowerPath ” 的POC脚本，它整合了Will ...

ipconfig /all ------ 查询本机IP段，所在域等 net user ------ 本机用户列表 net localhroup administrators ------ 本机管理员[通常含有域用户] net user /domain ...

最近在整理资料时发现一些渗透笔记，于是翻开看看，原来有一个老外的内部网还没有拿下。当时已经给内网的一台机器种植了木马，反正闲着没事就拿它来练练手吧。打开远程居然肉鸡还在，废话就不多说了，下面开始吧。首先来看看已经控制的这台电脑在内网中充当什么角色，并收集一些常规的信息。执行ipconfig /all(如图1)从 这里我们可以看出，此计算机名为abimaq6，ip地址是172.16.16.139。子...

前期准备：1. 使用Veil生成免杀PAYLOAD2. 有一个外网IP的服务器，安装好metasploit，方便操作一．Shell反弹meterpreter上传免杀的PAYLOAD到SHELL（有时候会碰到EXE文件上传不了，可以使用powershell的meterpreter模块“XX.bat格式”来实现），然后在菜刀或者WEBSHELL下面运行，反弹成功。 二．提权反弹成功后第一步就是getu...

0x00 前言在之前的文章《导出当前域内所有用户hash的技术整理》曾介绍过通过Volume Shadow Copy实现对ntds.dit文件的复制，可用来导出域内所有用户hash。本文将尝试做系统总结，总结多种不同的方法。0x01 简介本文将要介绍以下内容：多种实现方法比较优缺点0x02 通过Volume Shadow Copy获得域控服务器NTDS.dit文件测试系统：Server 2008 ...

0x00 前言在之前的文章《域渗透——Pass The Hash & Pass The Key》曾介绍过kb2871997对Pass The Hash的影响。本文将站在另一个角度，介绍Pass The Hash的相关实现0x01 简介本文将要介绍以下内容：Pass The Hash的原理常用工具mimikatz中的Pass The Hashmimikatz中的Pass The Ticket...

域用户默认可以登录域内所有计算机，为什么默认情况下所有的域用户可以登录所有的域成员机器呢？因为域管理员在新增用户时 该域用户默认就会存在域用户组中（domain users），而默认加入域的域成员机器其本地的user组中包含了全局的domain users 组成员，而域成员机器本地组策略中 允许在本地登陆 属性中包含了本地users组。 所以域管理员为了安全通常会限制域用户只能登陆指定计算机。第一...

域渗透——利用SYSVOL还原组策略中保存的密码0x00 前言在之前的文章《域渗透——Local Administrator Password Solution》对LAPS的利用进行了分析。使用LAPS最大的优点是能够确保每台域内主机有不同的密码，并且定期更换。那么，如果域内未配置LAPS，如何批量设置域内主机的本地管理员密码呢？这其中又存在哪些可被利用的地方呢？本文将要介绍如何利用SYSVOL还...

导语：本文的内容描述了一种方法，通过该方法，攻击者可以在拿到域管理级别的权限约5分钟后，就可持久的对Active Directory的管理进行访问。这篇文章将探讨攻击者如何利用计算机帐户凭据来持久的访问和控制企业内网，以及企业如何缓解这类潜在的安全问题。计算机帐号加入Active Directory（AD）的每台计算机在AD中都有一个关联的计算机帐户。AD中的计算机帐户是一个安全主体（与用户帐户和...

在渗透测试过程中，我们经常会遇到以下场景：某处于域中的服务器通过路由做端口映射，对外提供web服务，我们通过web脚本漏洞获得了该主机的system权限，如果甲方有进一步的内网渗透测试需求，以证明企业所面临的巨大风险，这个时候就需要做内网的域渗透。通常，我们是以获得域控制器的权限为目标，因为一旦域控制器沦陷，整个内网就尽在掌握中了，在学习域渗透之前，我们需要了解一些基础知识，本期“安仔课堂”，IS...

大家好！我们在这个write up 里讲下几个不同的入侵 windows domian 时的横向操作。 内容不会过于深入，而会介绍一些基本技巧和流程. 为了保证测试客观性所以我将使用我们的测试对象 lock domain “REDHOOK”. 希望这会成为我们第一个关于 windows domian 的系列教程. 如果你要具体了解某些细节（比如kerberos 的 tickets）欢迎发email...

之前写过一篇内网当中域渗透的简单文章。好久没遇到忘得差不多了。前几天做项目，正好碰到了域环境，正好有时间，再回顾一下原来的知识，另外把新补充的知识再记录一下。域相关知识什么是域域英文叫DOMAIN——域(Domain)是Windows网络中独立运行的单位，域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后，2个域之...