记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Windows Service Tracing中的权限提升漏洞分析 CVE-2020-0668

在这篇文章中,我们将讨论Windows Service Tracing中的一个任意文件移动漏洞。在我们的测试过程中,该漏洞将影响从Windows Vista至Windows 10的所有版本操作系统,但是Windows XP也很有可能会受此漏洞影响,因为XP系统中也有这项功能。 Windows Service Tracing Service Tracing这项服务在Windows平台上历史悠久,早在XP就已经引入了这个功能。该功能可以给分析人员提供当前正在运行的服务及模块的相关基本调试信息,任意本地用户都可以通过编辑注册表键值(HKLMSOFTWAREMicrosoftTracing)来对其进行配置。 在Windows中,每一个服务或模块都对应了一个注册表键,每一个键包含
发布时间:2020-03-07 16:14 | 阅读:21359 | 评论:0 | 标签:漏洞 系统安全 CVE-2020-0668 Windows Service Tracing 权限提升 漏洞分析 CVE

SQLi、权限提升和PowerShell Empire

介绍 为演示一些非常基本的SQL注入(SQLi)以及如何利用PowerShell Empire进行权限提升,我建立了一个小实验室。 演示将以网络上的未经身份验证的用户启动,并以目标Active Directory域的完全管理权限结束。 演示视频: 工具 演示中使用到的工具: Kali PowerShell Empire nmap sqlmap john 实验室设置 实验室包括以下服务器: 域控制器 – Windows Server 2012 R2 Web服务器 – Windows Server 2008 R2 SQL Server (SQL Express 2014) – Windows Server 2012 R2 Kali – Rolling Rele
发布时间:2016-11-14 20:30 | 阅读:353398 | 评论:0 | 标签:Web安全 Empire Kali mimikatz nmap powershell PowerUp sql injec

Use MSBuild To Do More(渗透中MSBuild的应用技巧)

最近Casey Smith@subTee更新了一系列关于”MSBuild”的研究进展,对我有很大启发。 本文将基于他公开的POC,并结合我的研究心得,介绍以下MSBuild的应用技巧: Execute PowerShell Commands Execute PE file Execute Shellcode VisualStudio Persistence 0x01 简介 MSBuild是Microsoft Build Engine的缩写,代表Microsoft和Visual Studio的新的生成平台 MSBuild可在未安装Visual Studio的环境中编译.net的工程文件 MSBuild可编译特定格式的xml文件 更多基本知识可参照以下链接: https://msdn.microsoft.com/e
发布时间:2016-10-29 18:20 | 阅读:149295 | 评论:0 | 标签:渗透技巧 权限提升 渗透测试

Linux内核通杀提权漏洞预警

Linux内核在处理内存写时拷贝(Copy-on-Write)时存在条件竞争漏洞,导致可以破坏私有只读内存映射。一个低权限的本地用户能够利用此漏洞获取其他只读内存映射的写权限,有可能进一步导致提权漏洞。 漏洞危害:低权限用户可以利用该漏洞修改只读内存,进而执行任意代码获取 root 权限。影响范围: 该漏洞影响所有 Linux Kernel >= 2.6.22 的版本。2.6.22 是 2007 年发布的版本,也就是说这个漏洞几乎影响 2007 以后的所有版本。 漏洞测试:读取 /proc/version 来获取 LinuxKernel 版本: ➜ ~ cat /proc/version Linuxversion 4.4.0-42-generic(buildd@lgw01-13)
发布时间:2016-10-29 18:20 | 阅读:136810 | 评论:0 | 标签:ShellCode&Poc linux渗透 权限提升 漏洞利用 网络安全 提权 漏洞

【漏洞预警】Joomla未授权创建账号/权限提升漏洞

Joomla是一个自由开源的内容管理系统,在10月25日Joomla 发布了3.6.4版本。其中修复了2个关键的安全问题和一个认证的bug。Joomla的安全团队确认了这个安全问题。 根据这两个漏洞的简短技术描述,其允许远程攻击者在Joomla网站创建具有提升权限的账号(即使在用户注册功能被禁用的情况下)。 漏洞详情 CVE-2016-8870 账号创建(Account Creation) 影响版本:3.4.4到3.6.3 描述:不严谨的检查允许用户在网站不允许注册的时候注册账号 详情:https://developer.joomla.org/security-centre/660-20161002-core-elevated-privileges.html CVE-2016-8869 权限提升(Elevat
发布时间:2016-10-27 07:55 | 阅读:106170 | 评论:0 | 标签:Web安全 CVE-2016-8869 CVE-2016-8870 Joomla Joomla漏洞 权限提升 账号创建

Windows提权基础

介绍 这篇文章是让你开始Windows权限提升的一个尝试。虽然它不是一个全面的指南,但会尽量涵盖所有的主要技术,给一个你可以建立的基础。 在这篇文章的底部有一个非常好的资源列表。 操作系统 让我们从一个受限的用户账号开始权限提升的过程。在这一点上,我们掌握很少(或者没有)关于系统功能的信息,比如谁会使用它,什么时候系统处于空闲状态,或者它连接到那台主机等。 确定操作系统的名字以及版本: 检查系统的体系结构: 注意:如果系统是32位,上面的命令将返回“x86”,如果是64位系统,它将返回“AMD64”。 查看所有环境变量: 查看计算机上所有用户的列表: 或查看某个用户的详细信息: 网络 查看系统的网络设置—基本网络、路由、防火墙等。 查看可用的网络接口: 查看路由表: 查看ARP缓存: 查看防火墙
发布时间:2016-09-19 13:30 | 阅读:162886 | 评论:0 | 标签:内网渗透 FTP shellcode VBS Windows提权 WMIC 工具 提权 权限提升 漏洞库 规则 路由表

撸掉隔壁工位的新员工引发的血案

正在测试新版glype(http://www.glype.com/)网络代理程序(我不得不说一下这款代理程序是游走内网必备神器,没有之一)的时候用NMAP对本地内网80端口做了个简单的扫描(nmap -T5 10.10.0.0/24 -p80 –open),但是人生处处有惊喜。最近隔壁小伙伴正在搭建它强大的社工裤,本地php环境采用默认安装,并且可以浏览目录,于是我原本纯洁的内心产生了邪恶的念头。 本地存在phpMyAdmin程序,使用默认口令root/root进入后台。 这里可能存在槽点,但请你记住:在内网中使用默认配置,默认口令的开发或者管理人员是安全的软肋。 在拿到WENSHELL后除了吃透本机“资源”,下一步要做的就是对内网其他WEB主机使用常规方法渗透,或许你能在某台机子上抓到域控密码
发布时间:2016-06-23 18:20 | 阅读:223761 | 评论:0 | 标签:渗透实例 内网渗透 权限提升 渗透测试 网络安全

Docker出漏洞:端口2375【附案例】

0x00 概述 最近提交了一些关于 docker remote api 未授权访问导致代码泄露、获取服务器root权限的漏洞,造成的影响都比较严重,比如 新姿势之获取果壳全站代码和多台机器root权限 新姿势之控制蜻蜓fm所有服务器 新姿势之获取百度机器root权限 【已公开】 因为之前关注这一块的人并不多,这个方法可以算是一个“新的姿势”,本文对漏洞产生的原因和利用过程进行简单的分析和说明,但因为时间和精力有限,可能会有错误,欢迎大家指出~ 0x01 起因 先介绍一些东西~ docker swarmdocker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集群的管理和扩展,由docker官方提供,具体的大家可以看官网介绍。
发布时间:2016-05-18 22:20 | 阅读:117192 | 评论:0 | 标签:本地溢出 权限提升 渗透测试 漏洞利用 漏洞

浅谈高级组合技打造“完美” 捆绑后门

0x00 简介 之前写过一篇关于客户端钓鱼的文章:《使用powershell Client进行有效钓鱼》中,在使用各个Client进行测试的过程中,个人发现CHM文件是最好用的一个,但是其缺点就是会弹黑框,这样就会让被攻击者察觉。那么怎么让他不弹黑框呢?那就是本文要介绍的内容啦~ 0x01 CHM 简介 在介绍怎么使用CHM来作为后门之前,首先要知道CMH是什么东西。 CHM(Compiled Help Manual)即“已编译的帮助文件”。它是微软新一代的帮助文件格式,利用HTML作源文,把帮助内容以类似数据库的形式编译储存。CHM支持 Javas cript、VBs cript、ActiveX、Java Applet、Flash、常见图形文件(GIF、JPEG、PNG)、音频视频文件(MID、WAV、AVI
发布时间:2016-04-03 02:50 | 阅读:123720 | 评论:0 | 标签:网络安全 权限提升 渗透测试 后门

技术剖析Potato提权原理

* 原创作者:tahf(图文无关)0×00 前言前一阵子收录了一个名为Potato的提权工具,发现该工具提权的姿势与以往工具不太一样,而且与WPAD代理有关,于是展开测试和分析,主要通过分析其网络数据流量来研究该提权工具的独特姿势。分析中学到了不少东西,希望能把一些思考过的东西跟大家分享下。还请各位大牛批评指正!整个工程代码和程序在GitHub上。https://github.com/foxglovesec/Potato貌似是foxglovesec和breenmachine两位大牛在Github上建立的代码库,需要VS2012及以上版本打开!0×01 初步测试首先是测试该程序的使用范围和实际效果:Potato的说明里写到可以在Windows 7,8,10, Server
发布时间:2016-03-10 15:55 | 阅读:170025 | 评论:0 | 标签:工具 系统安全 终端安全 Potato提权 Windows提权 权限提升 提权

某司SSL-VPN沙盒逃逸之旅

【0x01】   入口:nmap 扫描c段发现x.x.x.2开放不少端口 https(443)访问发现是个ssl-vpn登录口 按照经验,一般这种系统往往会存在测试帐号,比如test、Guest等等。 手工试一下:test::****,然后就进去了。 【0x02】   发现:进去后,对各个功能进行了熟悉和测试,发现了一个erp软件。打开后需要登录,测试了几个常用测试口令,进去了。 【0x03】   新发现:这个ssl-vpn同时提供了远程使用word、excel、ppt等等功能,想到利用宏执行命令(最后反思这种方法是不行的),还没来的及尝试,就有新的发现,那个erp软件有个推荐功能呢,点击发现调用了ie来打开链接! 看到ie就不由的想起了老外的那个渗透测试报告(https://www.offensi
发布时间:2016-02-19 00:15 | 阅读:112787 | 评论:0 | 标签:渗透实例 内网渗透 权限提升 渗透测试 网络安全

Adobe Reader及Acrobat Pro特权提升漏洞解析(CVE-2015-5090)

0×01 前言CVE-2015-5090是存在于Adobe Reader/Acrobat Pro中的一个bug,并且早在几个月前就已经被发现并提交至ZDI了。本文主要是讲这个bug的细节,并分享几种不同攻击方法。 AdobeARMService是Adobe的更新程序,是在Adobe Reader/Acrobat Pro安装程序上安装的系统服务。这个服务在注册表中创建了启动服务的控制管理,从而允许服务处理外部的控制请求。请求调度程序处理当前传进来的服务请求代码并合理分配请求;这些更新的程序或者armsvc有八个相关的函数允许从没有特权的触发,更多关于服务控制的信息可以看这里 0×02 漏洞说明Bug开始的服务代码
发布时间:2016-01-24 18:30 | 阅读:126400 | 评论:0 | 标签:漏洞 Adobe Reader CVE-2015-5090 权限提升

Windows提权姿势之Hot Potato

Hot Potato是用于windows7,8,10,Server 2008,Server2012上的权限提升,是一种新颖的网络攻击方式。How it worksHot Potatok利用了windows中已有的一些问题,在windows默认配置下进行本地权限提升。实际是利用了NTLM重放(更确切的说是HTPP->SMB重放),和NBNS欺骗。这听起来似乎觉得有些熟悉,那是因为类似的技术Google Project Zero的伙计们也披露过link。事实上,我们的代码就借用了他们的poc中的代码,并进行了扩展。利用这种技术,从最低权限提升到“NTAUTHORITYSYSYTEM”-windows机器上的最高级别。能进行权限提升这一点很重要。因为许多组织都依赖于windows账户权限来
发布时间:2016-01-24 03:15 | 阅读:103187 | 评论:0 | 标签:系统安全 windows 权限提升 提权

通过旁注渗透拿下F国司法部

首先看了一下网站,没看出是什么程序写的,也没发现值得深入下手的地方。于是便旁注了,很快,拿到了一个旁站的shell。 这才发现,服务器支持asp,aspx,php,但是限制很多。 简单试了下没提权成功。反正拿服务器不是首要任务,首要任务是挂菊花聊天室,先挂上聊天室再提权(后来事实证明,还是先提权才能把主页挂上菊花的)。 **************************好了,正文开始***************************** 很庆幸,这个vhost网站能跨站读取源码,但是权限不够,可以用webshell跨站读取一部分网站的源码,但是不能直接拷贝或者上传文件到目录 当然,意思就是不能直接对doj.xx这个网站的目录中写入文件或者修改文件代码 简单翻了一下网站目录,没有明显的后台登陆地址的标记 登
发布时间:2015-06-16 04:45 | 阅读:130487 | 评论:0 | 标签:渗透实例 权限提升 渗透测试

Xsocks 反弹代理s5

About XSOCKS is a reliable socks5 proxy server for windows and linux. It has support forward and reverse mode. More information about socks5 : RFC1928 Complier Windows devenv.exe build.sln /rebuild RELEASE Linux make Usage xsocks [-l port] [-t] [-p1 port] [-p2 port] [-s ip:port] [-r ip:port] [-u username] [-p password] Options -l Set forward mode
发布时间:2015-05-26 22:20 | 阅读:260302 | 评论:0 | 标签:渗透技巧 内网渗透 权限提升 渗透测试 网络安全

Windows server 2012 用户hash抓取方法研究(本地+域)

为避免文章过长,这里就不贴出详细测试过程了。经过我的测试,发现本地用户hash抓取的方法中,以下几种方式是可行的: 注册表导出+cain Pwdump7.exe QuarksPwDump.exe mimikatz.exe 这几种方式都可以抓到本地用户hash,其中mimikatz.exe只能抓到登陆过的账户的hash值, 已经抓取不到明文的密码了,但是,有一些有意思的东西,直接上图: 仔细看图,可以发现,wdigest的内容为n.a. ,也就是没有抓取到明文密码。看来微软还是有一点改进的,注入lsass.exe进程已经抓不到明文了。 但是,重点是!!!LM hash被抓出来了,而且完全是正确的!!! 当密码长度小于等于14位,只要有lm hash基本上都是秒破,我见过很多管理员的密码根本没有14位长。从vis
发布时间:2015-05-20 10:30 | 阅读:175978 | 评论:0 | 标签:渗透技巧 内网渗透 权限提升 渗透测试

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云