记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华另辟蹊径:利用活动目录的复制元数据检测域内恶意活动
随着 BloodHound 最近发布的 ACL 攻击路径更新,以及@wald0和我自己对活动目录中的 DACL 后门的研究(请点击这里查阅白皮书) ,我开始从防御的角度研究基于 ACL 的攻击路径。 Sean Metcalf 在活动目录威胁检测方面做了一些很棒的工作(参见他在2017年 BSides Charm上的"Detecting the elive: Active Directory Threat Hunting"的演讲) ,在本文中我想展示复制元数据如何帮助检测这种类型的恶意活动。此外,在这篇文章起草之后,Grégory LUCAND 向我指出了他在同一主题领域写的一篇广泛的文章(法语) ,
高级域渗透技术之再谈Kerberoast攻击
Rebeus是一个用C#编写Kerberos 滥用工具包,最初是由@gentilkiwi 编写的 Kekeo 工具包中的一个端口,这个工具包从那时起就在不断发展。要了解更多关于 Rubeus 的信息,请查看"从 Kekeo 到 Rubeus"这篇文章后续的"Rubeus ——Now With More keo"或最近修订的 Rubeus README.md。我最近对 Rubeus 做了一些改进,其中包括重新审查了它的 kerberos 实现。 这导致了对 Rubeus 的 Kerberoast 方法的一些修改,也解释了我们之前在这个领域看到的一些"奇怪"的行为
红蓝对抗基础设施架构设计Wiki(下)
(接上文)有效载荷和Web重定向在提供有效载荷和Web资源时,我们希望最小化事件响应者查看文件的能力,并增加成功执行有效载荷的机会,无论是建立C2还是收集情报。Jeff Dimmock写的关于 Apache Mod_Rewrite的用法和示例:· 使用 Apache mod_rewrite 模块加强你的网络钓鱼方法· 使用Apache mod_rewrite模块设置无效的 URI 重定向· 使用 Apache mod_rewrite模块创建基于操作系统的重定向· 使用 Apache mod_rewrite 模块对抗安全事件响应人员· 使用 Apache RewriteM
高级域渗透技术之传递哈希已死-LocalAccountTokenFilterPolicy万岁
高级域渗透技术之传递哈希已死-LocalAccountTokenFilterPolicy万岁来源:https://posts.specterops.io/pass-the-hash-is-dead-long-live-localaccounttokenfilterpolicy-506c25a7c167大约三年前,我写了一篇名为"传递哈希已死: 长久的哈希传递方法介绍"的文章,详细阐述了微软 KB2871997补丁的一些操作含义。 在安全建议中有一句特别的话,"这个功能的改变包括: 防止网络登录和使用本地帐户远程交互登录到加入域的机器… …"使我相信(在过去
红蓝对抗基础设施架构设计Wiki(上)
此Wiki的目的是为渗透测试人员提供用于设置弹性Red Team基础架构的资源。这是为了补充Steve Borosh(@424f424f)和Jeff Dimmock(@bluscreenofjeff) BSides NoVa 2017演讲“Doomsday Preppers:强化你的红队基础设施”的议题 (点此下载PPT)。如果你有想要添加的内容,请提交Pull Request或在repo上提交问题。感谢本维基中引用内容的所有作者以及所有人!目录设计注意事项功能隔离使用重定向器样例设计更多资源域名域名分类和黑名单检查资源网络钓鱼轻松的发起基于Web的网络钓鱼Cobalt Strike 网络钓鱼网络钓鱼框架重定向器SMT
域渗透之在活动目录中搜寻: 不受限制的委派和林信任
在这篇文章中,我将针对威尔的文章中解释的攻击变量提供初步的侦查指导,主要关注一些通常由强制机器帐户认证方法生成的安全事件。 我还会提供一些具体的指标,说明 Rubeus 监控 TGTs 所产生的 Windows 安全事件,以及 Lee Christensen 开发的唯一公开的概念验证代码 SpoolSample ("printer bug")的执行情况。 SpoolSample 用于强制授权到一个无约束的服务器。 还有数百台 RPC 服务器尚未进行分析,比如 SpoolSample 代码中使用的 打印机服务器。 因此,我们不能假设攻击者总是使用 RPC 打印机服务器来执行这种攻击。 此外,重要的是要
网络红军部队建设指南
0x00、Red Team建设目标在平时听新闻联播,军事解决当中,我们都会听到红蓝军对抗,在信息安全行业与军方的一些相似性,网络世界Red Team就是攻击者的一方。安全能力的提升,在安全威胁没有挖掘出来之前,只能通过攻防对抗的形式体现出来。Red Team主要专注对不同系统的渗透测试以及各种安全水平的安全程序。他们可以检测,预防和消除漏洞。Red Team模仿可能袭击公司或组织的现实攻击,并执行攻击者将使用的所有必要步骤。通过承担攻击者的角色,他们向组织展示可能是后门或可利用的漏洞,这些漏洞对他们的网络安全构成威胁。一种常见的做法是雇用组织外部的人员进行红色团队合作 – 有人掌握了利用安全漏洞的知识,但却
域渗透技巧:MachineAccountQuota的利用
MachineAccountQuota(MAQ)是一个域级别的属性,默认情况下允许非特权用户将最多10台计算机连接到Active Directory(AD)域。我第一次接触MAQ是在我作为网络管理员的时候。当时我被分配了一个将远程主机加入AD的任务。在添加了十台计算机后,当我再次尝试添加新机器时弹出了下面的错误消息: 搜索错误消息后,我发现了ms-DS-MachineAccountQuota这个页面。网页显示的细节信息与我提供的无特权AD访问是一致的。我联系了一位管理员并解释了情况。他不熟悉如何增加我帐户的配额。相反,他为我提供了一个域管理员帐户来继续完成我的工作。Powermad2017年末,我发布了Pow
论C#作为攻击语言的操作挑战(下)
操作挑战 – 便利性自一个多月前发布SharpSploit以来,有两个开源项目已经尝试解决便利性这个操作挑战。SharpSploitConsole和SharpAttack都试图以类似但不同的方式解决这个问题。它们都可以作为一个独特的控制台应用程序,并可以与SharpSploit中包含的许多不同的方法进行交互。SharpSploitConsole利用了Costura,而SharpAttack利用的是ILMerge。这两个应用程序都接受了参数作为命令行参数,参数指定了要执行的SharpSploit方法及其参数。这些项目允许我们只编译一次控制台应用程序就可以访问SharpSploit的大部分功
域渗透——利用GPO中的计划任务实现远程执行(命令行实现原理与脚本细节)
0x00 前言在上篇文章《域渗透——利用GPO中的计划任务实现远程执行》介绍了利用GPO中的计划任务实现远程执行的方法,分析利用思路,通过命令行实现了GPO和计划任务的创建、修改和删除。这篇文章将要详细介绍命令行实现的原理和脚本的开发细节,记录定位问题和解决问题的过程。0x01 简介本文将要介绍以下内容:· 定位问题· 解决思路· 脚本实现细节0x02 定位问题· 测试环境:Windows Server 2008 R2· domain:test.com测试1:通过Group Policy Management Console (GPMC) 创建GPO,添加计划任务(Immediate Ta
论C#作为攻击语言的操作挑战(上)
在渗透测试领域,攻击工具集的选择继续向着以使用C#作为漏洞后期利用的攻击语言的方向发展,我觉得尤其是与使用PowerShell相比,去考虑一些使用C#作为攻击语言有关的操作挑战是非常有用的。
域渗透——利用GPO中的计划任务实现远程执行
0x00 前言在之前的文章《渗透基础——Windows下计划任务的使用》曾介绍过计划任务的用法。而在域环境中,通过组策略(Group Policy Object)同样能够实现计划任务的远程执行,本文将要对这个方法进行介绍,分析利用思路。0x01 简介本文将要介绍以下内容:· GPO中的计划任务简介· 通过Group Policy Management Console (GPMC) 实现计划任务的远程执行· 通过命令行实现计划任务的远程执行· 新建GPO实现远程执行· 修改已有的GPO,实现远程执行· GPO的常用操作0x02 简介值得阅读的资料:http://www.h
渗透测试技巧:绕过SQL Server登录触发器限制
在渗透测试中,对直接连接到SQL Server数据库的双层桌面应用程序进行渗透测试是很常见的一种情况。偶尔我们会遇到一个SQL Server后端,但它只允许来自预先定义好的的主机名或应用程序列表的连接。一般来说,这些限制是通过登录触发器强制执行的。在这篇博文中,我将展示如何通过使用鲜为人知的连接字符串属性欺骗主机名和应用程序名称来绕过这些限制。本文有两个示例,分别是SSMS和PowerUpSQL。这可能对于使用传统桌面应用程序的渗透测试人员和开发人员非常有用。什么是登录触发器?登录触发器本质上是一个存储过程,在连接SQL Server成功验证后执行,但在登录会话创建之前,实际上已经完全建立了登录触发器。它们通常用于以编
滥用PowerShell DSC进行内网渗透
利用DSC渗透内网的简要描述PowerShell所需状态配置(DSC)允许用户直接使用WMI直接执行资源。使用DSC WMI类,攻击者可以通过滥用内置脚本资源来实现远程PowerShell代码执行。利用这个技巧进行内网渗透的好处如下:1.PowerShell代码会在WMI服务二进制文件 – wmiprvse.exe的上下文中执行。从逃避入侵检测的角度(至少在发布此博客文章之前)来看,这种办法可以称为比调用Win32_Process的Create方法从wmiprvse.exe生成子进程然后执行命令行更为有益的一种渗透技巧。2.有效载荷的每个组件都只通过WMI。3.不需要配置DSC服务的配置(甚至不需要了解DS
发布时间:2018-11-07 12:20 |
阅读:72228 | 评论:0 |
标签:内网渗透
红队渗透测试实验室架构设计(一)
我对我的笔记本电脑配置有很多疑问, 比如“是选择Windows还是Mac?”,以及是否“得有一个首选的以太网网卡芯片组”。实际上,除了第一个问题是“非必须”考虑的之外,大多数情况下电脑配置都会有所不同。本文不是谈论具体的硬件或版本选择,我要谈论的是环境搭建的架构; 在后续的文章中,我将讨论如何实现我设计的基础架构来支持渗透测试的具体方法,但是本文我们将专注于高级别的环境搭建。这种设计对于某些攻击者来说是合理安全,快速且极其灵活的。配置要求让我们从评估笔记本电脑的一些基本要求开始。· 合理且安全· 细粒度的网络控制· 可以访问评估目标公司的域或内部资源,同时可以访问客户端系统· 可
.NET框架漏洞后期利用工具——SharpSploit功能详解
今天,我发布了SharpSploit,这是我过去几个月以来一直在用C#开发的一系列攻击工具中的第一个。SharpSploit是一个用C#编写的.NET框架漏洞后期利用库,目的是为了突出.NET的攻击面,并使red teamers更容易的使用和攻击.NET框架。SharpSploit的部分名称是对PowerSploit项目的致敬,这也是一款我个人最爱的攻击工具!虽然SharpSploit确实移植了PowerSploit的某些功能,但我的目的并不是创建一个完全一样的PowerSploit。SharpSploit将是一个独立的项目,尽管它与PowerSploit的目标是相似的。C#的吸引力在将现有PowerShell工具集移
公告
关注公众号hackdig,学习最新黑客技术