- 博客(48)
- 收藏
- 关注
RSS订阅原创 域渗透- MS14-068域提权
微软在Windows平台上对Kerberos协议进行了一些扩充,其中最重要的扩充就是增加了认证过程中的权限认证,也就是在协议中增加了PAC(Privilege Attribute Certificate),特权属性证书在一个域中,通过User的SID和所在组Group的SID来确定该用户所拥有的权限。所以PAC包含Client的User的SID、Group的SID。PAC为了保证自身的合法性,还包含2个签名。
2025-04-07 18:07:09
592
原创 域渗透-哈希传递攻击进阶二
首先我们在Kali里边开启MSF之前我们的Windows7是由域管理员进行登录的现在我们切换用户,切换成我们的普通账户运行这个木马程序,使其上线上线成功正常情况下,如果我们要获取域控权限,首先得获取到域控的Hash那么MSF里面如何获取Hash1、使用kiwi模块首先使用如下命令,加载mimikatz,默认情况下是没有加载的提示告诉我们mimikatz已经被kiwi取代所以我们加载kiwiload liwi然后使用如下命令creds_all告诉我们需要用系统权限运行。
2025-04-07 12:50:26
571
原创 域渗透-哈希传递攻击进阶一
如果使用如下命令的话,本质还是在我们Windows7上的命令行去访问这个程序,这个命令最终还是在WIndows7上执行,但我们想要在Windows2008上执行,所以这种命令不对,不符合我们的要求。上线之后我们可以打印它的进程列表(Process List)看看,没有出现域管理员Administrator的进程,列表里的User都是当前系统本地的账号或者后台服务等等。第一个就是PsExec,我们可以使用如下这条命令,将Windows2008的命令行返回给我们的WIndows7,然后运行木马程序即可。
2025-04-07 10:44:16
484
原创 域渗透-哈希传递攻击PTH
在使用NTLM身份验证的系统或服务上,用户密码永远不会以明文形式通过网络发送。Windows上的应用程序要求用户提供明文密码,然后调用LsaLogonUser类的API,将该密码转换为一个或两个哈希值(LM或NTLM hash),然后将其发送到远程服务器进行NTLM身份验证。由于这种机制,我们只需要哈希值即可成功完成网络身份验证,而不需要明文密码。于是当我们获取到任意用户的Hash值就可以针对远程系统进行身份验证并模拟该用户,从而获取用户权限。
2025-04-06 21:17:01
461
原创 域渗透-Windows认证机制
基本介绍NTHM是NTLAN Manager的缩写,NTLM是指telnet的一种验证身份方式,即询问/应答身份验证协议,是Windows NT早期版本的标准安全协议,Windows 2000支持NTLM是为了保持向后兼容。WIndows 2000内置三种基本安全协议之一Windows早期的认证方式,目前所采用的是Kerberos认证认证过程NTLM使用在Windows NT和Windows 2000 server(or later)工作组环境中(Kerberos用在域模式下)。
2025-04-06 11:21:54
514
原创 域渗透-域环境信息采集与利用
当进入内网后,我们首先需要对当前环境进行判断,要考虑如下两个问题:1、我是谁?(确定当前机器的角色)2、位于何处?(当前机器所处的环境)为了解决这些问题,以及进一步扩大战果,我们需要进行信息收集。
2025-04-04 12:21:06
594
原创 JSONP跨域访问漏洞
当在list-json.html页面中,直接构造以下Payload,则会导致弹窗如果payload是这样的话,也会给我们进行弹窗,说明存在XSS漏洞基于这个XSS漏洞,我们就可以去利用这个漏洞我们可以试着去让它弹出当前页面的Cookie,成功弹出Cookie我们也可以让它做一个登录,成功登录然后我们再通过XSS漏洞将Sesssion ID弹出来,说明它并没有对当前的Cookie设置http-only的属性,让我们的JavaScript是可以读取到的。
2025-04-02 23:18:56
654
原创 域渗透-域环境操作与组策略
首先先进入windows7确认一下是否在域环境中也就是说我们在windows7里面拥有了双重登录的账号域账号可以进行登录,zhangsan也可以进行登录如果我们创建了李四这个用户,那么李四也可以去登这台windows7所以整个域环境是没有隐私可言的我们用域控administrator进行登录这个时候我们就用管理员的身份登录进去了,我们就拥有了这台主机的完全控制权了,因为域管理员账号拥有所有主机的完全控制权因为我们是administrator,所以我们可以看张三的任意数据,其他文件也可以看。
2025-04-01 19:03:56
853
原创 域渗透-AD域环境安装与配置
活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及Windows Datacenter Server的目录服务Active Directory不能运行在Windows Web Server上,但是可以通过它对运行Windows Web Server的计算机进行管理Active Directory存储了有关网络对象的信息。并且让管理员和用户能够轻松地查找和使用这些信息。
2025-04-01 14:43:20
800
原创 Java与代码审计-Java面向对象
介于类与接口之间的一种类型,使用abstract class来定义:类是可以实现实例化,抽象类不可以实例化,只能继承,抽象类中的方法可以实现,抽象类中也可以定义成抽象方法abstract void function(),则不能被实现。接口是一种极端情况下的抽象类,不能实例化,且接口中的方法不能被实现,全部转换为抽象方法。final关键字的意思是:本类不能被继承,是最低层的类,不能充当父类。关于String的equals方法,研究一下父类和子类对应的方法。可以使用父类声明,子类实例化的方式。
2025-03-31 16:56:54
186
原创 Java与代码审计-Java基础语法
关于==与equals的注意事项:==比较的是数据的地址和值,equals只比较值,不比较地址。第一种方式,点击运行,找到编辑配置,然后在程序实参那儿添加我们的参数即可。这次我们在后面加上参数,分别是woniu 123456 chengdu。然后再点击运行,发现已经有参数了,并且成功遍历了我们所提供的参数。有两种方式将参数传给args。第二种方式是在终端上实现的。但是下面那个没有参数。
2025-03-30 20:33:23
213
原创 DNS隧道
DNS隧道,是隧道技术中的一种。当我们的HTTP、HTTPS这样的上层协议、正反向端口转发都失败的时候,可以尝试使用DNS隧道。DNS隧道虽然很难防范,因为平时的业务也好,使用也罢,难免会用到DNS协议解析,所以防火墙大多对DNS的流量是放行状态。这时候,如果我们在不出网机器构造一个恶意的域名(xxx.yyy.zz),本地的DNS服务器无法给出回答时,就会以迭代查询的方式通过互联网定位到所查询域的权威DNS服务器。
2025-03-30 15:49:23
633
原创 内网渗透-ICMP隧道
ICMP隧道简单实用,是一个比较特殊的协议。在一般的通信协议里,如果两台设备要进行通信,肯定需要开放端口,而在ICMP协议下就不需要。最常见的ping命令就是利用的ICMP协议,攻击者可以利用命令行得到比回复更多的ICMP请求。在通常情况下,每个ping命令都有相应的回复与请求。
2025-03-29 11:59:55
900
原创 内网渗透-模拟DLL劫持技术
DLL劫持的原理:在一个DLL文件中植入木马(DLL文件的免杀效果较好),将其模拟成一个被别的应用程序(有数字签名)调用的函数名(通过逆向、文档等获取到原始DLL得函数名和参数)。然后我们换成申请内存加载的方式来加载ShellCode,使用代码混淆,也就是对ShellCode进行异或处理,将处理过后的ShellCode放进去,然后再进行解密,这样就不会有静态特征被火绒等杀毒软件给提示了。编译发现没有错误,我们将之前的MyDLLDemo.dll进行一个替换,这次火绒没有给我们提醒,已经达到了免杀的效果。
2025-03-28 14:59:44
236
原创 内网渗透-DLL和C语言加载木马
DLL:Dynamic Link library,动态链接库,是一个无法自己运行,需要额外的命令或程序来对其接口进行调用(类方法、函数)。(1)在DevCpp中创建一个DLL项目(2)在dllmain.c中定义源代码函数接口(3)在dll.h的头文件中声明函数接口(4)在Python中调用DLL函数接口没有编译之前都是源代码当我们点击编译发现编译无错误,编译成功编译一旦成功,这里就会生成一个DLL文件由于DLL只是供别人调用的一个函数库,所以自己本身是不能运行的。
2025-03-27 22:05:34
962
原创 内网渗透-网络分离免杀
但是360扫出来了,是因为我们那个python代码中有注释代码,说不定注释代码的里面就有一些木马的特征,然后被360发现,所以才扫出来了,我们将注释过的代码全部删除,发现360无法扫描出来。在本地用火绒扫描一下,发现成功达到免杀的效果,因为我们的python代码只有5行,没有任何的木马特征,所以应该是无法扫出来的。我们先在根目录下创建一个名为payload.txt的文件,将我们的paylaod放入进去,记住是双引号里面的数据,不加双引号。网络分离免杀,既然已经分离了,所以加不加密原则上是无所谓的。
2025-03-27 18:09:40
263
原创 内网渗透-CS免杀与应用开发
再做上面那一步的操作之前,我们先将这段加载器代码放到我们的csshellenc.py里面,将csshellenc.py里面的加密代码先给注释了,看看可不可以上线,也就是看看加载器代码有没有区别。然后在Kali启动我们的客户端,打开cobaltstrike的界面,建立与我们的公网服务器的来连接,端口是50050,用户名随便输,密码是我们刚刚启动teamserver的密码。代码我们已经搞定了,我们该如何去包装一下这个木马,把这个木马包装到正儿八经的应用程序当中去,然后再去做分发。
2025-03-27 16:48:50
797
1原创 内网渗透-ShellCode加载上线
然后将监听的Payload改为64位的,不然监听不到,然后开始运行pyth木on和run,木马上线成功。前面先引入ctypes这个库,然后加上我们生成的shellcode,最后加上这一段代码即可。我们也可以去确认一下18104是不是对应这个Python的进程。同样的方式我们可以来一下64位的Shellcode。然后使用下面的命令去生成一个shellcode。然后去查看生成的payload,生成的内容如下。进入到/home/kali/Muma目录中。接下来我使用老师的电脑进行实验。然后再使用64位的加载器。
2025-03-26 17:42:07
156
原创 SQL-查询漏洞
3、使用order by来确定主查询数目,order by本质上是一个排序的语法,但是order by有个条件,就是排序必须建立在正确的主查询条数上。所以在注入中用order by并不是为了排序,而是为了确认主查询的条数,确保union select的查询数与主查询一致。上述查询主要针对MySQL数据库,如果针对Oracle数据库,需要学习Oracle的语法,如果是SQLServer等其他数据库,也一样。1、通过and 1=1,and 1=2的输入,来判断是否存在注入点。id=1 and 1=1 和?
2025-03-25 22:13:11
946
原创 内网渗透-端口映射
接下来我们去配置内网客户端frpc.ini,在客户端的配置文件里面要指明服务器端的IP和服务器端的通信端口,表示让这个客户端用7000端口(公网服务器的)去和我们的公网进行连接。在这台公网服务器看到的是218.88.23.123的42328端口来连接我们。内网来连外部的公网IP的7000端口当然是没有问题的,也不违法。这样我们就启动了一个当前公网的7000端口的通信通道。218.88.23.123是我们的出口的公网IP。这个时候我们的客户端就会去连接我们的服务器。我们使用内网里面的centos。
2025-03-24 20:35:30
240
原创 内网渗透-内网隧道
内网穿透神器EarthWorm,(简称EW)是一套轻量便携且功能强大的网络穿透工具,基于标准C开发,具有socks5代理、端口转发、端口映射三大功能。相较于其他穿透工具,如reGeorg等,EarthWorm可以穿透更复杂的内网环境同时也不需要跳板机运行web服务,也可以支持多平台间的转接通讯,如Linux、Windows、MacOS、Arm-linux等。
2025-03-24 19:45:39
420
原创 内网渗透-隧道通信
Neo-reGeorg是常见的http正向隧道工具,是reGeorg工具的升级版。增加了很多特性,例如像内容加密、避免被检测、请求头定制、响应码定制、支持py3等等,https://github.com/L-codes/Neo-reGeorg打开windows2016跳板机上的Web服务开启之后在kali上确认是可以进行访问的进入到Neo-reGeorg。
2025-03-24 16:52:36
1171
原创 内网渗透-内网代理
通过内网的路由再配合着代理就可以实现了,添加路由的目的:做了代理,攻击机kali借助windows2016这个代理服务器实现访问内网,但是呢,如果只有代理没有路由的话,流量只能出去不能回来,无法形成闭环,所以也就无法进行访问,因为Kali可以通过windows2016这个跳板机去访问windows7.但是windows7是无法去访问Kali的。它告诉我们没有代理可以找到,但是我们的浏览器可以进行访问,浏览器能够访问的原因是我们在浏览器本身上配置了代理,所以是可以进行正常访问的。
2025-03-23 19:44:41
318
原创 内网渗透-端口转发
(1)先在Windows7上启动一个Xampp的,服务(80)端口或者其他服务(2016可以进行访问,kali不能访问)(2)在Windows2016服务器上,运行以下命令,完成端口转发。
2025-03-23 14:52:30
692
原创 Windows系统提权
从扫描结果可以看出,目标主机开放了80、445、3306和3389等端口,也就意味着有很多漏洞可以利用,但是本次实验,我们只拿MySQL开刀,不去利用其他漏洞,完成MySQL提权后,创建一个新的账号用于登录3389远程桌面,如登录成功,则实验成功。使用蚁剑进行连接,发现那个目录下没有lib目录,所以这就是出现错误的原因,不是因为权限,而是因为没有这个目录,所以我们无法写入,接下来我们手动添加目录即可。既然我们有写文件的权限,我们可以写入一句话木马,通过蚁剑进行连接,看看到底是什么原因导致的。
2025-03-22 14:00:46
799
原创 SQL-登录漏洞-实现原理
上述代码一共发现6个漏洞1、welcome.php页面谁都可以访问,没有进行登录判断(中)2、在登录页面输入'作为用户名,报错信息存在login.php的绝对路径,暴露了系统后台的敏感信息(低)3、保存用户信息的数据表中,密码字段是明文保存,不够安全(中)4、登录页面可以进行SQL注入,进而轻易实现登录(高)5、login.php页面中使用了万能验证码(中)6、登录功能可以被爆破,没有进行爆破防护(中)
2025-03-20 11:05:04
1232
原创 XSS获取Cookie实验
攻击者服务器:192.168.112.183,将获取到Cookie数据保存到该服务器的数据库中,运行PHP代码暴露一个接收Cookie的URL地址。正常Web服务器:192.168.112.188,用于正常的用户访问的目标站点,用户可以在上面阅读或者发表文章。用户浏览器:192.168.112.1,Windows环境,使用Chrome浏览器。攻击者浏览器:192.168.112.1,Windows环境,使用Firefox浏览器。
2025-03-19 20:21:04
1382
原创 内网渗透-网络实验配置
利用各种隧道技术,以防火墙允许的协议,绕过网络防火墙的封锁,实现访问被封锁的目标网络(1) 端口转发:将发往外网某个端口的数据完全转发给内网,是外网到内网的单向通信(2) 端口映射:将内网IP的某个端口映射到公网IP的某个端口,实现通过公网IP+端口直接正向访问内网,端口映射实现双向通信。
2025-03-18 16:05:55
419
原创 Mimikyu综合靶场训练
打开这个题目,给我们这样的提醒发现查看源代码无法查看,我们可以使用F12进行查看,发现flag就在源代码中同时我们可以使用bp进行抓包,然后发送到Repeater,回显的内容里面也存在flag本题的flag如下:flag{xxccvvbbnn}
2025-03-17 16:17:07
518
原创 PHP弱类型比较漏洞原理
二、Hash比较 MD5加密后为0e开头的字符串 五、极值比较缺陷 八、练习对这段代码进行代码审计,我们必须满足两个条件才能够得到flag第一个条件是我们必须传入一个参数,不能传入空值或为空值第二个条件是我们传入的值必须满足if语句中的限制条件所以允许我们传入的参数是s155964671a
2025-03-17 15:23:47
199
原创 基于Redis提权实战
首先去看一下redis的配置文件requirepass,默认是没有密码的bind,直接将bind 127.0.0.1 -::1给注释掉,不仅仅由本地可以登录,还允许其他远程进行登录。
2025-03-17 11:56:26
518
原创 入侵检测和与防御系统
网络安全的各类产品,都有软件和硬件的存在形式,可以使用纯硬件的解决方案,也可以使用纯软件的解决方案。(1)IDS:Intrusion Dedection System (检测恶意攻击行为并进行预警)第一类:基于交换机或服务器流量(NIDS,基于网络流量的IDS),关注通信流量,对加密流量存在检测难题第二类:基于操作系统文件或日志(HIDS,基于主机的IDS),不关心网络通信,只关心行为与日志信息(2)IPS:Intrusion Protection System(不仅检测攻击,并且可以防御)
2025-03-16 19:22:27
356
原创 DVWA中CSRF高级
过关方案的核心在于要发送请求给http://10.37.129.2/DVWA/vulnerabilities/csrf/页面,然后从响应中取得Token(通过正则表达式可以提取出来的),取得后再将Token和新密码一起发送给http://10.37.129.2/DVWA/vulnerabilities/?user_token=TOKEN&password_new=123456&password_conf=123456&Change=Change页面完成密码修改。
2025-03-15 23:27:10
822
原创 SSRF+Redis内网渗透二
需要满足Gopher的协议要求,其数据格式为:gopher://ip:port/_TCP/IP数据流,比如针对Redis的操作,协议需要gopher://127.0.0.1:6379/_开头,后面跟上基于TCP协议的原始数据包。在这一点上,Dict协议相对方便一些,但是两者有很大差别,比如dict只支持Redis的单条命令,而Gopher可以很好地支持批量命令处理,在针对需要密码登录Redis的情况下,dict也无能为力而Gopher可以很好地完成。替换后的结果如下所示,然后将前面的\r\n给删除即可。
2025-03-15 20:42:31
880
原创 SSRF+Redis内网渗透一
因为上面的环境我们将密码给注释掉了,所以不会被密码所限制,如果有密码的话,我们只能够登录上去,如果还想继续做Redis的操作,就已经不顶事了,因为这是一个死循环,无论如何只能执行auth:admin123,而不能进行接下来的操作,这样的话,dict这种协议就没有办法啦,dict还可以登录记录那条有效的,我们可以用来爆破登录的密码。由于上面我们将密码给注释了,所以我们现在将密码的注释给删除,然后我们使用bp进行爆破密码,爆破成功,发现密码是admin123。
2025-03-15 12:30:50
601
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人