记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华利用Web应用程序漏洞窃取NTLM哈希值新姿势
介绍NTLM身份验证在很多使用 Windows 系统的企业的网络中是非常常见的一种身份验证方式。有许多我们都听说过的本地攻击的方法就是利用了 Windows 执行自动 NTLM 身份验证的方式,滥用此功能无疑是每个渗透测试人员和红队成员喜欢做的事情。在Blaze Information Security安全团队,我们最近花了一些时间研究如何使用远程向量滥用此功能,尤其是从Web应用程序漏洞的角度来看。我们的目标是讨论如何将服务器端请求伪造(SSRF)和跨站点脚本(XSS)等漏洞武器化后用来窃取Net-NTLM哈希值,这对于进一步访问内部网络非常有用。本文假设读者熟悉此处阐述的一些概念,并将跳过关于NTLM身份验证内部工
通过电子邮件远程获取NTLM哈希
介绍几个月前,CERT/CC的Will Dormann发表了一篇博文 [1],描述了一种技术,即对手可能会滥用Microsoft Outlook和OLE对象,这是微软Windows早期的一个特性,迫使操作系统泄漏Net-NTLM哈希。去年我们撰写了一篇博文 [2],通过滥用常见的Web应用程序漏洞(如跨站点脚本(XSS)和服务器端请求伪造(SSRF))来阐述了NTLM哈希泄漏的一些内容,从而实现了同样的目标,获得我们都喜欢且珍惜的系统哈希。除非你熟悉Windows单点登录如何在公司网络中进行身份验证,否则我们建议你先阅读我们之前发布的文章,然后再继续。在Blaz Information Securi
滥用COM注册表结构:CLSID,LocalServer32和InprocServer32
TL; DR· 一些供应商因在其产品中包括或遗留了可能被攻击者用来进行横向移动、规避杀软查杀、绕过和持久性的注册表而臭名昭着。· 可以枚举CLSID子项(LocalServer32和InprocServer32)来发现遗留的没有用的二进制引用。· 有趣的是,可以使用以下命令调用('调用')CLSID:rundll32.exe -sta {CLSID}· 防御性建议:删除后清除一些软件配置项(例如unregister),监视可疑事件(例如rundll32.exe的使用情况),并实施强大的应用程序白名单(AWL)策略规则。背景以前,我在博客中介绍了一种DCO
使用Linux容器迅速搭建渗透测试环境(下篇)
在本文的上篇中,我们为读者介绍了如何配制宿主机和网络,在本文篇中,我们将为读者介绍容器的创建和启动等内容。创建我们的第一个容器lxc发行版附带了许多工具来帮助用户创建和管理容器。第一个是lxc-create,该工具可以通过模板为各种Linux平台创建最小化的安装。您可以通过查看/usr/share/lxc/templates目录来查看当前可用的模板。在我的Slackware 14.2宿主机上,我的模板目录如下所示。图2 已安装的LXC模板我可以选择部署其中的任何一种平台。关于如何在Linux上创建一个带有iptables的家庭路由器,网上可用的教程数不胜数,所以这里就不赘述了,同时,我觉得很多读者可能早就有这方面的经验
使用Linux容器迅速搭建渗透测试环境(上篇)
作为一名渗透测试人员,我经常需要搭建一些小型实验环境(有时候不是那么小),当然,这样做的原因是多方面的,例如在对客户的生产系统进行测试之前先做一下试验,或为了避免被检测到,或者只是为了练手。为此,我们可以用物理设备搭建一个测试环境。但是,如果公司员工很多是远程工作的话,那么,用起来也很不方便。当然,我们也可以通过VMware在自己的笔记本电脑上轻松安装一个完整的虚拟机(VM),但是这样还是可能遇到许多问题,例如耗尽系统的磁盘或内存空间,或者因为存储空间不足,无法保留将来需要再次使用的东西。当然,我们可以连接一些容量较大的外接驱动器,但它们又很难随身携带。随着技术的飞速发展,进入轻量级容器和高效的写入时拷贝文件系统(如B
一次利用 EMPIRE 和 CLOUDFRONT 的 DOMAIN FRONTING渗透测试记录
Domain fronting是一种新的渗透测试技术,可以混淆HTTP(S)流量的预期目标。这使得攻击者可以通过用“可信”域掩盖预期目的的来规避安全控制。在这篇博文中,我将设置AWS的CloudFront CDN服务来屏蔽到达我的Empire TeamServer的路径。免责声明本博客文章中的信息仅用于教育目的!HoldMyBeerSecurity.com/HoldMyBeer.xyz及其作者对博客帖子,讨论,活动或练习中提供的信息的任何滥用或损坏不承担任何责任。 什么是domain fronting?如Red-Team-Infrastructure-Wiki所述,“简而言之,流量使用受信任的服务提供商的DN
红蓝对抗中的对手弹性方法论介绍(三)
注意:这是两部分博客系列中的第三部分。本系列博客文章介绍了有关执行弹性方法的更具技术性和规范性的策略指导。适当时我将提供相关的上下文。对于完整的上下文,请参阅该系列博文中的第一篇博客文章。或点击阅读《红蓝对抗中的对手弹性方法论介绍(一)》,《红蓝对抗中的对手弹性方法论介绍(二)》介绍和背景在DEFCON 24大会上发布了BloodHound之后,我们几个人意识到虽然BloodHound对攻击者来说是一个很好的工具,但它作为防御工具的潜在应用更加引人注目。在第一篇博文中,我们介绍了如何解锁部分功能的高级策略,我们将其称为Active Directory 攻防对抗方法论。在这篇文章中,我们将展示如何使用Neo4j的Cyph
hunting Fileless Attack
·了解两种形式的无文件攻击及其工作方式·了解如何检测内存中的攻击·发现确定管理工具是否被攻击者使用的技术·实例样本分析最近黑客使用Fileless Attack(也称为非恶意软件(non-malware)或零指纹攻击( zero- footprint attacks))定向攻击目标系统的频率越来越高。 无文件攻击特别危险,因为没有可识别的恶意软件文件或可以位于硬盘驱动器上的恶意工具。 但是,我们有一些技术可以检测它们。0x00、两种无文件攻击的形式1.使用已存在于主机上的工具和应用程序通常,这些是管理工具或操作系统功能,不幸的是,这些功能通常比攻击者可能自行构建的任何自定义恶意软件更强大。一个非常流行的例子是Power
各种内网穿透方式总结
前言
水了好久的博客,本来说要经常更新文章,看来自己想多了,flag倒的很彻底,毕竟不怎么擅长写东西,以后应该会频繁起来。写的东西应该都是一些类似笔记一样的东西,或者是一些自己感兴趣的小东西,大佬们不要笑话我呀。
本地工具
proxychains4或者Proxifier。这边比较推荐的就是他俩。如果大佬们有更好用的可以推荐给我。
我日常渗透用的是MAC,并且我把一部分常用工具都搬到了我的OSX下,在我实际做渗透的时候发现更多情况下proxychains4要比Proxifier好用。
有些时候在用一些Python脚本(比如F-NAScan)通过代理扫描的时候Proxifier会全部误报,并且Proxifier在我的MAC上没办法正确代理MSF的流量,所以我一般选择的都是proxychains4。不知道有没有别的
发布时间:2018-06-05 18:45 |
阅读:56525 | 评论:0 |
标签:内网渗透
内网只开135端口如何横向移动?
在一次渗透时,我通过GPP漏洞拿到一个本地管理员组的账户跟密码,我计划是准备撞号攻击(使用同一账户密码,在内网批量登录),批量登录主机之后使用mimikatz抓取lsass.exe进程的明文密码及hash,拖回本地看看是否域管理员存在。远程执行命令方式既然要抓密码,肯定需要远程执行命令,首先我们在看看远程登录WIN主机执行命令有几种方式。· IPC$+AT· PSEXEC· WMI· Winrm远程执行命令需要条件我们来看这些命令的方式,都需要哪些端口。IPC$+AT 445PSEXEC 445WMI
域渗透——利用SYSVOL还原组策略中保存的密码
0x00 前言
在之前的文章《域渗透——Local Administrator Password Solution》对LAPS的利用进行了分析。使用LAPS最大的优点是能够确保每台域内主机有不同的密码,并且定期更换。
那么,如果域内未配置LAPS,如何批量设置域内主机的本地管理员密码呢?这其中又存在哪些可被利用的地方呢?
本文将要介绍如何利用SYSVOL还原组策略中保存的密码,分析技术细节,最后给出防御建议
0x01 简介
本文将要介绍以下内容:
域内共享文件夹SYSVOL介绍
域管理员批量修改域内主机本地管理员密码的方法
组策略中可被利用的地方
实际测试
防御建议
0x02 域内共享文件夹SYSVOL介绍
在域中,存在一个默认的共享路径:
<DOMAIN>SYSVOL<DOMAIN>
域渗透——Pass The Hash的实现
0x00 前言
在之前的文章《域渗透——Pass The Hash & Pass The Key》曾介绍过kb2871997对Pass The Hash的影响。本文将站在另一个角度,介绍Pass The Hash的相关实现
0x01 简介
本文将要介绍以下内容:
Pass The Hash的原理
常用工具
mimikatz中的Pass The Hash
mimikatz中的Pass The Ticket
0x02 Pass The Hash的原理
可参考Wikipedia的介绍,地址如下:
https://en.wikipedia.org/wiki/Pass_the_hash
提取出关键信息:
在Windows系统中,通常会使用NTLM身份认证
NTLM认证不使用明文口令,而是使用口令加密后的ha
渗透技巧——如何逃逸Linux的受限制shell执行任意命令
0x01 前言今早在刷twitter的时候看到了一篇文章(https://www.exploit-db.com/docs/english/44592-linux-restricted-shell-bypass-guide.pdf?rss),介绍了如何在受限制的shell中执行任意命令,实现交互。其相应的利用场景是说当我们通过一些手段拿到当前Linux机器的shell时,由于当前shell的限制,很多命令不能执行,导致后续的渗透无法进行,在这篇文章中,就介绍了一些常见的绕过方法,同时在文章末尾提供了一个线上的练习环境。我就该文章提到的相应技术细节进行复现,同时附带上一些自己的思考,于是便有了本文。如有谬误,还望各位师傅斧
红蓝对抗中的对手弹性方法论介绍(二)
有关运行SharpHound的详细信息,请参阅本系列博客文章中的“阶段1:枚举攻击路径”部分。阶段2:分析攻击路径弹性方法论全部都是关于减少Active Directory中的攻击面,而BloodHound有助于你分析针对任何节点所传入的攻击路径。如果你需要保护一套特定的系统,你可以这样做。如果你需要减少域之间的攻击路径,你也可以这样做。你的分析阶段应该由你的弹性目标是什么所驱动。为了演示该方法论,我们将选择任何组织都会拥有的非常普遍的通用目标:减少导致Domain Admin用户帐户受到攻击的攻击途径。首先,我们将收集一些关于能够渗透到域管理员路径的计算机和用户数量的统计信息。有关如何生成这些统计信息的详细信息,请参
红蓝对抗中的对手弹性方法论介绍(一)
注意:这是本系列博客文章中的第一部分。这篇文章涵盖了红蓝对抗过程中对手弹性方法论的一个更高层次的策略。在第二部分中,我们将把这种方法付诸于实践,并向您展示如何完成本文所涵盖的所有内容的基本技术细节。背景和介绍在DEFCON 24,Will Schroeder,Rohan Vazarkar和我发布了BloodHound。从那个时候开始,BloodHound已经被众多的渗透测试人员或红军团队以及部分安全公司使用,并且一个很棒的BloodHound用户社区已经聚集在BloodHound Slack中。该社区成员对它的反馈很不错。如果你不熟悉BloodHound,请查看“ BloodHound介绍 ”博客文
发布时间:2018-05-09 12:20 |
阅读:33589 | 评论:0 |
标签:内网渗透
如何使用RDP中间人攻击进行横向渗透
远程桌面协议(RDP)被管理员广泛地用于内部网络。RDP允许系统所有者和管理员远程管理Windows环境。然而,RDP同样也可以给攻击者提供各种机会进行攻击,这些攻击可以用于red团队场景中的横向渗透。下面的攻击可以让red团队获得凭证,以劫持其他用户的RDP会话,并向远程系统执行任意代码,这些远程系统将使用RDP作为被感染工作站的身份验证机制。RDP中间人实现中间人攻击通常会导致凭据捕获。中间人在对RDP会话进行攻击的同时,攻击者可以获得一个用于横向渗透的域名帐户的明文密码。Seth是一种可以使RDP中间人攻击自动化的工具,而不管网络级别的身份验证(NLA)是否启用。这次攻击的实施需要四个参数:· 以太网接
发布时间:2018-04-27 12:20 |
阅读:59008 | 评论:0 |
标签:内网渗透
公告
关注公众号hackdig,学习最新黑客技术