m0_64481831的博客

通过webshell或其他方式拿下一台机器，并且存在内网环境，这个时候就在准备进行内网渗透，而在内网渗透之前需要对本地机器进行信息收集，才能够更好的进行内网渗透。

假设我们已拿到的域内所有账户的hash，包括krbtgt账户，此时你失去了域管理员权限但拥有一个普通域用户权限，碰巧管理员在域内加固时忘记重置krbtgt密码，基于此条件，我们还能利用该票据重新获得域管理员权限，利用krbtgt的hash值可以伪造生成任意的TGT，能够绕过对任意用户的账号策略，让用户成为任意组的成员，可用于kerberos认证的任何服务。4. 如果有权限，则给Client访问Server的权限Ticket，也叫ST，这里的ST是用Server自身的Server NTLM进行加密的。

在已经进入内网的情况下，需要进一步利用现有的资源尝试获取更多的凭据、更高的权限，进而达到控制整个网段、获取最高权限的目的。在很多时候，内网渗透的起点往往是通过一台存在漏洞缺陷的主机作为跳板，横向渗透的目标就是找到突破口不断扩大再本段内的结果。进入内网维持权限之后接下来要做的就是对当前网络信息进行全面的信息收集，包括所处网络位置、计算机信息、横向资产、服务端口、敏感数据等。可以通过流量监听、端口扫描、CS嗅探、Mimikatz抓取密码等。本篇为学习笔记，参考大佬链接。

CVE-2020-1472是继永恒之蓝漏洞之后又一个好用的内网提权漏洞，影响Windows Server2008R2至2019的版本。只要攻击者能够访问到目标域控并且知道域控计算机名即可利用该漏洞。该漏洞不要求当前计算机在域内，也不要求当前计算机操作系统为Windows，该漏洞的稳定利用方式为重置目标域控的密码，然后利用域控凭证进行DC Sync获取域管权限后修复域控密码。漏洞利用过程中会重置域控存储在域中的凭证，而域控存储在域中的凭证域本地的注册表中的凭证不一致时，会导致目标域控脱域，所以在。

Docker是一个开源的引擎，可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器。

JBOSS是一个基于J2EE的开放源代码应用服务器，也是一个管理EJB的容器和服务器，默认使用8080端口监听。JBOSS未授权访问漏洞介绍漏洞原理JBOSS未授权漏洞在默认情况下无需账号密码就可以直接访问后台管理控制台页面（），导致攻击者可以获取网站信息、上传webshell，获取服务器权限等。

前面总结了linux和Windows的提权方式以及Mysql提权，这篇文章讲讲SQL Server数据库的提权。

提权依然要查看一些条件，最简单的办法就是直接尝试提权，能成功就成功，因为现实的环境都是很复杂的。

所谓提权就是指将低权限的账户转换为高权限账户，通过获取高权限账户去做需要高权限才能做的事情。对于Linux内核提权，有一些内核漏洞需要使用到本地用户去提权，有些漏洞可以无视任何权限都可以进行提权。

检测数据库的存在（探测端口）获取到数据库的权限密码查看数据库的类型分类读取网站的配置文件读取数据库备份文件下的库中的表的信息，例如MySQL数据库在mysql_user表中存储账户密码，使用cmd5-mysql5解码暴力破解账户密码，需要支持外联（mysql默认不支持）。可以使用密码脚本在本地爆破，也可以使用工具如msf的scanner mysql_login模块MySQL数据库提权方式主要有三种使用sqlmap的--os-shell。

SSRF往往是因为没有对目标地址进行过滤或限制SSRF相关的危险函数：file_get_contents()、fsockopen()、curl_exec()SSRF相关危险协议：file://、dict://、http://、万精油gopher://SSRF几大绕过：利用[::]绕过、利用@或。绕过、利用短地址绕过、利用IP地址转换绕过、利用一些特殊符号绕过SSRF判断方法分为有回显、半回显、无回显情况，无回显情况利用DNS带外测试。

Redis是一款内存高速缓存的数据库，是一款K-V型数据库，它的所有键值都是用字典来存储的。其中它的value支持多种数据类型，包括String、List、Set、Zset和Hash。Redis默认情况下绑定在127.0.0.1:6379，在没有进行采用相关的策略，如添加防火墙规则避免其他非信任来源ip访问，就会将Redis服务暴露在公网上；并且Redis默认情况是空密码连接在服务器以root身份运行Redis时这将导致任意用户可以访问目标服务器下未授权访问Redis以及读取Redis数据。