记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

内网只开135端口如何横向移动?

在一次渗透时,我通过GPP漏洞拿到一个本地管理员组的账户跟密码,我计划是准备撞号攻击(使用同一账户密码,在内网批量登录),批量登录主机之后使用mimikatz抓取lsass.exe进程的明文密码及hash,拖回本地看看是否域管理员存在。远程执行命令方式既然要抓密码,肯定需要远程执行命令,首先我们在看看远程登录WIN主机执行命令有几种方式。· IPC$+AT· PSEXEC· WMI· Winrm远程执行命令需要条件我们来看这些命令的方式,都需要哪些端口。IPC$+AT  445PSEXEC   445WMI   
发布时间:2018-05-25 12:20 | 阅读:3458 | 评论:0 | 标签:内网渗透 技术 WMI 移动

域渗透——利用SYSVOL还原组策略中保存的密码

0x00 前言 在之前的文章《域渗透——Local Administrator Password Solution》对LAPS的利用进行了分析。使用LAPS最大的优点是能够确保每台域内主机有不同的密码,并且定期更换。 那么,如果域内未配置LAPS,如何批量设置域内主机的本地管理员密码呢?这其中又存在哪些可被利用的地方呢? 本文将要介绍如何利用SYSVOL还原组策略中保存的密码,分析技术细节,最后给出防御建议 0x01 简介 本文将要介绍以下内容: 域内共享文件夹SYSVOL介绍 域管理员批量修改域内主机本地管理员密码的方法 组策略中可被利用的地方 实际测试 防御建议 0x02 域内共享文件夹SYSVOL介绍 在域中,存在一个默认的共享路径: <DOMAIN>SYSVOL<DOMAIN>
发布时间:2018-05-23 18:45 | 阅读:8268 | 评论:0 | 标签:内网渗透 技术控

域渗透——Pass The Hash的实现

0x00 前言 在之前的文章《域渗透——Pass The Hash & Pass The Key》曾介绍过kb2871997对Pass The Hash的影响。本文将站在另一个角度,介绍Pass The Hash的相关实现 0x01 简介 本文将要介绍以下内容: Pass The Hash的原理 常用工具 mimikatz中的Pass The Hash mimikatz中的Pass The Ticket 0x02 Pass The Hash的原理 可参考Wikipedia的介绍,地址如下: https://en.wikipedia.org/wiki/Pass_the_hash 提取出关键信息: 在Windows系统中,通常会使用NTLM身份认证 NTLM认证不使用明文口令,而是使用口令加密后的ha
发布时间:2018-05-22 18:45 | 阅读:8473 | 评论:0 | 标签:内网渗透 技术控

渗透技巧——如何逃逸Linux的受限制shell执行任意命令

0x01 前言今早在刷twitter的时候看到了一篇文章(https://www.exploit-db.com/docs/english/44592-linux-restricted-shell-bypass-guide.pdf?rss),介绍了如何在受限制的shell中执行任意命令,实现交互。其相应的利用场景是说当我们通过一些手段拿到当前Linux机器的shell时,由于当前shell的限制,很多命令不能执行,导致后续的渗透无法进行,在这篇文章中,就介绍了一些常见的绕过方法,同时在文章末尾提供了一个线上的练习环境。我就该文章提到的相应技术细节进行复现,同时附带上一些自己的思考,于是便有了本文。如有谬误,还望各位师傅斧
发布时间:2018-05-15 12:20 | 阅读:16917 | 评论:0 | 标签:内网渗透 渗透技巧

红蓝对抗中的对手弹性方法论介绍(二)

有关运行SharpHound的详细信息,请参阅本系列博客文章中的“阶段1:枚举攻击路径”部分。阶段2:分析攻击路径弹性方法论全部都是关于减少Active Directory中的攻击面,而BloodHound有助于你分析针对任何节点所传入的攻击路径。如果你需要保护一套特定的系统,你可以这样做。如果你需要减少域之间的攻击路径,你也可以这样做。你的分析阶段应该由你的弹性目标是什么所驱动。为了演示该方法论,我们将选择任何组织都会拥有的非常普遍的通用目标:减少导致Domain Admin用户帐户受到攻击的攻击途径。首先,我们将收集一些关于能够渗透到域管理员路径的计算机和用户数量的统计信息。有关如何生成这些统计信息的详细信息,请参
发布时间:2018-05-15 00:20 | 阅读:16177 | 评论:0 | 标签:内网渗透 CTF

红蓝对抗中的对手弹性方法论介绍(一)

注意:这是本系列博客文章中的第一部分。这篇文章涵盖了红蓝对抗过程中对手弹性方法论的一个更高层次的策略。在第二部分中,我们将把这种方法付诸于实践,并向您展示如何完成本文所涵盖的所有内容的基本技术细节。背景和介绍在DEFCON 24,Will Schroeder,Rohan Vazarkar和我发布了BloodHound。从那个时候开始,BloodHound已经被众多的渗透测试人员或红军团队以及部分安全公司使用,并且一个很棒的BloodHound用户社区已经聚集在BloodHound Slack中。该社区成员对它的反馈很不错。如果你不熟悉BloodHound,请查看“ BloodHound介绍 ”博客文
发布时间:2018-05-09 12:20 | 阅读:8411 | 评论:0 | 标签:内网渗透

如何使用RDP中间人攻击进行横向渗透

远程桌面协议(RDP)被管理员广泛地用于内部网络。RDP允许系统所有者和管理员远程管理Windows环境。然而,RDP同样也可以给攻击者提供各种机会进行攻击,这些攻击可以用于red团队场景中的横向渗透。下面的攻击可以让red团队获得凭证,以劫持其他用户的RDP会话,并向远程系统执行任意代码,这些远程系统将使用RDP作为被感染工作站的身份验证机制。RDP中间人实现中间人攻击通常会导致凭据捕获。中间人在对RDP会话进行攻击的同时,攻击者可以获得一个用于横向渗透的域名帐户的明文密码。Seth是一种可以使RDP中间人攻击自动化的工具,而不管网络级别的身份验证(NLA)是否启用。这次攻击的实施需要四个参数:· 以太网接
发布时间:2018-04-27 12:20 | 阅读:31892 | 评论:0 | 标签:内网渗透

域渗透测试指南之GPO和OU(下)

用BloodHound分析首先,确保你至少运行了BloodHound 1.5.1。其次,你需要拥有标准的SharpHound集合,但是这次你要选择执行“All”或“Containers”以及“ACL”收集方法,这将为你收集GPO ACL和OU结构:C:> SharpHound.exe -c All然后,像平时那样通过BloodHound接口导入得到的acls.csv,container_gplinks.csv和container_structure.csv。现在你已准备好开始针对对象来分析出站和入站的GPO控制。例如,让我们看看我们的“Alice Admin”用户。如果我们搜索此用户
发布时间:2018-04-16 12:20 | 阅读:20652 | 评论:0 | 标签:内网渗透 技术 内网参透

域渗透测试指南之GPO和OU详解(上)

介绍活动目录是由用户,计算机和用户组组成的庞大而复杂的环境,并且在这之间存在着复杂的交织权限和特权将它们连接起来。BloodHound的最初发布侧重于衍生本地管理的概念,然后BloodHound 1.3引入了基于ACL的攻击路径。现在,随着BloodHound 1.5的发布,测试人员和红军团队可以轻松找到包括滥用组策略控制的攻击路径以及这些组策略有效应用的对象。在本篇博文中,我将回顾GPO(组策略对象)执行的工作原理以及如何使用BloodHound查找基于GPO控制的攻击路径,并解释执行这些攻击的几种方法。之前所做的一些工作Lucas Bouillot和Emmanuel Gras在他们的开创性工作“Chemins de
发布时间:2018-04-07 12:20 | 阅读:27117 | 评论:0 | 标签:内网渗透

渗透技巧——通过SAM数据库获得本地用户hash

0x00 前言在渗透测试中,获得了Windows系统的访问权限后,通常会使用mimikatz的sekurlsa::logonpasswords命令尝试读取进程lsass的信息来获取当前登录用户的密码信息,但想要全面获取系统中的密码信息,还要对SAM数据库中保存的信息进行提取,导出当前系统中所有本地用户的hash。0x01 简介本文将要介绍以下内容:·通过SAM数据库获得用户hash的多种方法·原理分析0x02 通过SAM数据库获得用户hash的方法1、在线读取SAM数据库读取当前系统的SAM数据库文件,获得系统所有本地用户的hash(1) mimikatzprivilege::debugtoken::elevatels
发布时间:2018-03-26 17:20 | 阅读:43418 | 评论:0 | 标签:内网渗透 技术 hash 渗透技巧

域渗透——获得域控服务器的NTDS.dit文件

0x00 前言在之前的文章《导出当前域内所有用户hash的技术整理》曾介绍过通过Volume Shadow Copy实现对ntds.dit文件的复制,可用来导出域内所有用户hash。本文将尝试做系统总结,总结多种不同的方法。0x01 简介本文将要介绍以下内容:· 多种实现方法· 比较优缺点0x02 通过Volume Shadow Copy获得域控服务器NTDS.dit文件测试系统:· Server 2008 R2 x64· Server 2012 R2 x64Volume Shadow Copy Service:· 用于数据备份· 支持Windows Server 2003 及以
发布时间:2018-03-10 12:20 | 阅读:48030 | 评论:0 | 标签:内网渗透 技术 域控

Volume Shadow 服务在渗透测试中的几种利用姿势

什么是Vshadow?Vshadow( vshadow.exe )是用于管理卷影副本的命令行实用程序。此工具包含在Windows SDK中 ,并由微软签名(稍后会详细介绍)。Vshadow具有许多功能,包括执行脚本和调用支持卷影子快照管理的命令的功能。毫不奇怪,这些功能可能会被滥用于特权级的防御规避,权限持久性和文件提取。在这篇博文中,我们将讨论Vshadow命令执行,自动启动持久性以及使用Vshadow提取敏感文件副本并提取Active Directory(AD)数据库来进行离线HASH转储和密码破解。命令执行使用Vshadow执行命令取决于与影子复制操作的“成功”交互(例如,创建快照,
发布时间:2018-03-07 12:20 | 阅读:55484 | 评论:0 | 标签:内网渗透 安全工具

在非域内的机器上使用低权限域账户搜集域环境信息

适用场景 已恢复域的域用户凭据,但对任何目标都没有特权或交互的访问权限,也就是没有Domain Admin帐户或任何能够建立RDP会话的帐户。 介绍 在最近的一次渗透中,我正在对几个不可信的Windows域进行内部评估。 使用Kerberos域用户名枚举并随后执行S ...
发布时间:2018-02-23 17:22 | 阅读:81998 | 评论:0 | 标签:内网渗透 系统安全

小心DNS服务泄露了你的内网基础设施

反向解析公共IP – 这里没有问题 Tl; dr:有些域名名称服务器可能会在直接查询反向解析私有IP时暴露内部的IP地址和域名。用dig -x检查一下,或者使用privdns.py 检查一下。 一个简单的错误 我最近犯了一个很小且看似不重要的错误:我试图连接某个公 ...
发布时间:2018-02-05 12:20 | 阅读:89079 | 评论:0 | 标签:内网渗透 系统安全

域信任机制的攻击技术指南(六)

打造跨域信任票证 事实上,我们有可能通过伪造域间的信任票证来攻击信任关系。正如 Sean在“关于信任的一切”一文中所描述的那样,我将向你详细介绍他的一些文档来获取更多的操作细节,并且将涵盖这项技术的含义以及它如何适用于我们的信任攻击策略。 回想 ...
发布时间:2018-02-03 17:20 | 阅读:99968 | 评论:0 | 标签:内网渗透 系统安全

Windows 提权命令指南

介绍 特权升级总是被归结为适当的枚举。但要完成适当的枚举,你需要知道要检查和查找的内容。这通常需要伴随着经验的丰富而对系统非常熟悉。起初特权升级看起来像是一项艰巨的任务,但过了一段时间,你就开始过滤哪些是正常的东西,而哪些不是正常的东西 ...
发布时间:2018-02-02 12:20 | 阅读:105731 | 评论:0 | 标签:内网渗透 系统安全 Windows 提权 提权

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云