记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华滥用PowerShell DSC进行内网渗透
利用DSC渗透内网的简要描述PowerShell所需状态配置(DSC)允许用户直接使用WMI直接执行资源。使用DSC WMI类,攻击者可以通过滥用内置脚本资源来实现远程PowerShell代码执行。利用这个技巧进行内网渗透的好处如下:1.PowerShell代码会在WMI服务二进制文件 – wmiprvse.exe的上下文中执行。从逃避入侵检测的角度(至少在发布此博客文章之前)来看,这种办法可以称为比调用Win32_Process的Create方法从wmiprvse.exe生成子进程然后执行命令行更为有益的一种渗透技巧。2.有效载荷的每个组件都只通过WMI。3.不需要配置DSC服务的配置(甚至不需要了解DS
发布时间:2018-11-07 12:20 |
阅读:21544 | 评论:0 |
标签:内网渗透
红队渗透测试实验室架构设计(一)
我对我的笔记本电脑配置有很多疑问, 比如“是选择Windows还是Mac?”,以及是否“得有一个首选的以太网网卡芯片组”。实际上,除了第一个问题是“非必须”考虑的之外,大多数情况下电脑配置都会有所不同。本文不是谈论具体的硬件或版本选择,我要谈论的是环境搭建的架构; 在后续的文章中,我将讨论如何实现我设计的基础架构来支持渗透测试的具体方法,但是本文我们将专注于高级别的环境搭建。这种设计对于某些攻击者来说是合理安全,快速且极其灵活的。配置要求让我们从评估笔记本电脑的一些基本要求开始。· 合理且安全· 细粒度的网络控制· 可以访问评估目标公司的域或内部资源,同时可以访问客户端系统· 可
.NET框架漏洞后期利用工具——SharpSploit功能详解
今天,我发布了SharpSploit,这是我过去几个月以来一直在用C#开发的一系列攻击工具中的第一个。SharpSploit是一个用C#编写的.NET框架漏洞后期利用库,目的是为了突出.NET的攻击面,并使red teamers更容易的使用和攻击.NET框架。SharpSploit的部分名称是对PowerSploit项目的致敬,这也是一款我个人最爱的攻击工具!虽然SharpSploit确实移植了PowerSploit的某些功能,但我的目的并不是创建一个完全一样的PowerSploit。SharpSploit将是一个独立的项目,尽管它与PowerSploit的目标是相似的。C#的吸引力在将现有PowerShell工具集移
Powershell入门必备(四)
介绍随着我们这个系列文章的逐步深入,我们就越能发现powershell的强大之处,而这种强大只会越来越明显。在本篇文章中,我们会探索如何使用powershell来操作模块。这对我们来说是学习PowerShell的一个非常有趣和重要的部分,因为它在许多任务和操作的自动化方面将会为我们提供许多帮助。使用powershell模块正如我们在前面的文章中看到的,模块是PowerShell里一个非常强大的概念。现在我们会来学习在渗透测试中如何创建和利用它们,特别是用于自动化日常任务。首先,让我们记住模块的定义。Microsoft对模块的描述定义是这样的:· “模块是包含PowerShell命令的包,例如cmdlets,提供程序,函
利用Web应用程序漏洞窃取NTLM哈希值新姿势
介绍NTLM身份验证在很多使用 Windows 系统的企业的网络中是非常常见的一种身份验证方式。有许多我们都听说过的本地攻击的方法就是利用了 Windows 执行自动 NTLM 身份验证的方式,滥用此功能无疑是每个渗透测试人员和红队成员喜欢做的事情。在Blaze Information Security安全团队,我们最近花了一些时间研究如何使用远程向量滥用此功能,尤其是从Web应用程序漏洞的角度来看。我们的目标是讨论如何将服务器端请求伪造(SSRF)和跨站点脚本(XSS)等漏洞武器化后用来窃取Net-NTLM哈希值,这对于进一步访问内部网络非常有用。本文假设读者熟悉此处阐述的一些概念,并将跳过关于NTLM身份验证内部工
通过电子邮件远程获取NTLM哈希
介绍几个月前,CERT/CC的Will Dormann发表了一篇博文 [1],描述了一种技术,即对手可能会滥用Microsoft Outlook和OLE对象,这是微软Windows早期的一个特性,迫使操作系统泄漏Net-NTLM哈希。去年我们撰写了一篇博文 [2],通过滥用常见的Web应用程序漏洞(如跨站点脚本(XSS)和服务器端请求伪造(SSRF))来阐述了NTLM哈希泄漏的一些内容,从而实现了同样的目标,获得我们都喜欢且珍惜的系统哈希。除非你熟悉Windows单点登录如何在公司网络中进行身份验证,否则我们建议你先阅读我们之前发布的文章,然后再继续。在Blaz Information Securi
滥用COM注册表结构:CLSID,LocalServer32和InprocServer32
TL; DR· 一些供应商因在其产品中包括或遗留了可能被攻击者用来进行横向移动、规避杀软查杀、绕过和持久性的注册表而臭名昭着。· 可以枚举CLSID子项(LocalServer32和InprocServer32)来发现遗留的没有用的二进制引用。· 有趣的是,可以使用以下命令调用('调用')CLSID:rundll32.exe -sta {CLSID}· 防御性建议:删除后清除一些软件配置项(例如unregister),监视可疑事件(例如rundll32.exe的使用情况),并实施强大的应用程序白名单(AWL)策略规则。背景以前,我在博客中介绍了一种DCO
使用Linux容器迅速搭建渗透测试环境(下篇)
在本文的上篇中,我们为读者介绍了如何配制宿主机和网络,在本文篇中,我们将为读者介绍容器的创建和启动等内容。创建我们的第一个容器lxc发行版附带了许多工具来帮助用户创建和管理容器。第一个是lxc-create,该工具可以通过模板为各种Linux平台创建最小化的安装。您可以通过查看/usr/share/lxc/templates目录来查看当前可用的模板。在我的Slackware 14.2宿主机上,我的模板目录如下所示。图2 已安装的LXC模板我可以选择部署其中的任何一种平台。关于如何在Linux上创建一个带有iptables的家庭路由器,网上可用的教程数不胜数,所以这里就不赘述了,同时,我觉得很多读者可能早就有这方面的经验
使用Linux容器迅速搭建渗透测试环境(上篇)
作为一名渗透测试人员,我经常需要搭建一些小型实验环境(有时候不是那么小),当然,这样做的原因是多方面的,例如在对客户的生产系统进行测试之前先做一下试验,或为了避免被检测到,或者只是为了练手。为此,我们可以用物理设备搭建一个测试环境。但是,如果公司员工很多是远程工作的话,那么,用起来也很不方便。当然,我们也可以通过VMware在自己的笔记本电脑上轻松安装一个完整的虚拟机(VM),但是这样还是可能遇到许多问题,例如耗尽系统的磁盘或内存空间,或者因为存储空间不足,无法保留将来需要再次使用的东西。当然,我们可以连接一些容量较大的外接驱动器,但它们又很难随身携带。随着技术的飞速发展,进入轻量级容器和高效的写入时拷贝文件系统(如B
一次利用 EMPIRE 和 CLOUDFRONT 的 DOMAIN FRONTING渗透测试记录
Domain fronting是一种新的渗透测试技术,可以混淆HTTP(S)流量的预期目标。这使得攻击者可以通过用“可信”域掩盖预期目的的来规避安全控制。在这篇博文中,我将设置AWS的CloudFront CDN服务来屏蔽到达我的Empire TeamServer的路径。免责声明本博客文章中的信息仅用于教育目的!HoldMyBeerSecurity.com/HoldMyBeer.xyz及其作者对博客帖子,讨论,活动或练习中提供的信息的任何滥用或损坏不承担任何责任。 什么是domain fronting?如Red-Team-Infrastructure-Wiki所述,“简而言之,流量使用受信任的服务提供商的DN
红蓝对抗中的对手弹性方法论介绍(三)
注意:这是两部分博客系列中的第三部分。本系列博客文章介绍了有关执行弹性方法的更具技术性和规范性的策略指导。适当时我将提供相关的上下文。对于完整的上下文,请参阅该系列博文中的第一篇博客文章。或点击阅读《红蓝对抗中的对手弹性方法论介绍(一)》,《红蓝对抗中的对手弹性方法论介绍(二)》介绍和背景在DEFCON 24大会上发布了BloodHound之后,我们几个人意识到虽然BloodHound对攻击者来说是一个很好的工具,但它作为防御工具的潜在应用更加引人注目。在第一篇博文中,我们介绍了如何解锁部分功能的高级策略,我们将其称为Active Directory 攻防对抗方法论。在这篇文章中,我们将展示如何使用Neo4j的Cyph
hunting Fileless Attack
·了解两种形式的无文件攻击及其工作方式·了解如何检测内存中的攻击·发现确定管理工具是否被攻击者使用的技术·实例样本分析最近黑客使用Fileless Attack(也称为非恶意软件(non-malware)或零指纹攻击( zero- footprint attacks))定向攻击目标系统的频率越来越高。 无文件攻击特别危险,因为没有可识别的恶意软件文件或可以位于硬盘驱动器上的恶意工具。 但是,我们有一些技术可以检测它们。0x00、两种无文件攻击的形式1.使用已存在于主机上的工具和应用程序通常,这些是管理工具或操作系统功能,不幸的是,这些功能通常比攻击者可能自行构建的任何自定义恶意软件更强大。一个非常流行的例子是Power
各种内网穿透方式总结
前言
水了好久的博客,本来说要经常更新文章,看来自己想多了,flag倒的很彻底,毕竟不怎么擅长写东西,以后应该会频繁起来。写的东西应该都是一些类似笔记一样的东西,或者是一些自己感兴趣的小东西,大佬们不要笑话我呀。
本地工具
proxychains4或者Proxifier。这边比较推荐的就是他俩。如果大佬们有更好用的可以推荐给我。
我日常渗透用的是MAC,并且我把一部分常用工具都搬到了我的OSX下,在我实际做渗透的时候发现更多情况下proxychains4要比Proxifier好用。
有些时候在用一些Python脚本(比如F-NAScan)通过代理扫描的时候Proxifier会全部误报,并且Proxifier在我的MAC上没办法正确代理MSF的流量,所以我一般选择的都是proxychains4。不知道有没有别的
发布时间:2018-06-05 18:45 |
阅读:74052 | 评论:0 |
标签:内网渗透
内网只开135端口如何横向移动?
在一次渗透时,我通过GPP漏洞拿到一个本地管理员组的账户跟密码,我计划是准备撞号攻击(使用同一账户密码,在内网批量登录),批量登录主机之后使用mimikatz抓取lsass.exe进程的明文密码及hash,拖回本地看看是否域管理员存在。远程执行命令方式既然要抓密码,肯定需要远程执行命令,首先我们在看看远程登录WIN主机执行命令有几种方式。· IPC$+AT· PSEXEC· WMI· Winrm远程执行命令需要条件我们来看这些命令的方式,都需要哪些端口。IPC$+AT 445PSEXEC 445WMI
域渗透——利用SYSVOL还原组策略中保存的密码
0x00 前言
在之前的文章《域渗透——Local Administrator Password Solution》对LAPS的利用进行了分析。使用LAPS最大的优点是能够确保每台域内主机有不同的密码,并且定期更换。
那么,如果域内未配置LAPS,如何批量设置域内主机的本地管理员密码呢?这其中又存在哪些可被利用的地方呢?
本文将要介绍如何利用SYSVOL还原组策略中保存的密码,分析技术细节,最后给出防御建议
0x01 简介
本文将要介绍以下内容:
域内共享文件夹SYSVOL介绍
域管理员批量修改域内主机本地管理员密码的方法
组策略中可被利用的地方
实际测试
防御建议
0x02 域内共享文件夹SYSVOL介绍
在域中,存在一个默认的共享路径:
<DOMAIN>SYSVOL<DOMAIN>
域渗透——Pass The Hash的实现
0x00 前言
在之前的文章《域渗透——Pass The Hash & Pass The Key》曾介绍过kb2871997对Pass The Hash的影响。本文将站在另一个角度,介绍Pass The Hash的相关实现
0x01 简介
本文将要介绍以下内容:
Pass The Hash的原理
常用工具
mimikatz中的Pass The Hash
mimikatz中的Pass The Ticket
0x02 Pass The Hash的原理
可参考Wikipedia的介绍,地址如下:
https://en.wikipedia.org/wiki/Pass_the_hash
提取出关键信息:
在Windows系统中,通常会使用NTLM身份认证
NTLM认证不使用明文口令,而是使用口令加密后的ha
公告
关注公众号hackdig,学习最新黑客技术