记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华Windows Service Tracing中的权限提升漏洞分析 CVE-2020-0668
在这篇文章中,我们将讨论Windows Service Tracing中的一个任意文件移动漏洞。在我们的测试过程中,该漏洞将影响从Windows Vista至Windows 10的所有版本操作系统,但是Windows XP也很有可能会受此漏洞影响,因为XP系统中也有这项功能。 Windows Service Tracing Service Tracing这项服务在Windows平台上历史悠久,早在XP就已经引入了这个功能。
发布时间:2020-03-07 16:14 |
阅读:41863 | 评论:0 |
标签:漏洞 系统安全 CVE-2020-0668 Windows Service Tracing 权限提升 漏洞分析 CVE
SQLi、权限提升和PowerShell Empire
介绍
为演示一些非常基本的SQL注入(SQLi)以及如何利用PowerShell Empire进行权限提升,我建立了一个小实验室。 演示将以网络上的未经身份验证的用户启动,并以目标Active Directory域的完全管理权限结束。
Use MSBuild To Do More(渗透中MSBuild的应用技巧)
最近Casey Smith@subTee更新了一系列关于”MSBuild”的研究进展,对我有很大启发。
本文将基于他公开的POC,并结合我的研究心得,介绍以下MSBuild的应用技
Linux内核通杀提权漏洞预警
Linux内核在处理内存写时拷贝(Copy-on-Write)时存在条件竞争漏洞,导致可以破坏私有只读内存映射。一个低权限的本地用户能够利用此漏洞获取其他只读内存映射的写权限,有可能进一步导致提权漏洞。
漏洞危害:低权限用户可以利用该漏洞修改只读内存,进而执行任意代码获取 root 权限。影响范围:
该漏洞影响所有 Linux Kernel >= 2.6.22 的版本。2.6.22 是 2007 年发布的版本,也就是说这个漏洞几乎影响 2007 以后的所有版本。
【漏洞预警】Joomla未授权创建账号/权限提升漏洞
Joomla是一个自由开源的内容管理系统,在10月25日Joomla 发布了3.6.4版本。其中修复了2个关键的安全问题和一个认证的bug。Joomla的安全团队确认了这个安全问题。
根据这两个漏洞的简短技术描述,其允许远程攻击者在Joomla网站创建具有提升权限的账号(即使在用户注册功能被禁用的情况下)。
发布时间:2016-10-27 07:55 |
阅读:118448 | 评论:0 |
标签:Web安全 CVE-2016-8869 CVE-2016-8870 Joomla Joomla漏洞 权限提升 账号创建
Windows提权基础
介绍
这篇文章是让你开始Windows权限提升的一个尝试。虽然它不是一个全面的指南,但会尽量涵盖所有的主要技术,给一个你可以建立的基础。
在这篇文章的底部有一个非常好的资源列表。
操作系统
让我们从一个受限的用户账号开始权限提升的过程。在这一点上,我们掌握很少(或者没有)关于系统功能的信息,比如谁会使用它,什么时候系统处于空闲状态,或者它连接到那台主机等。
确定操作系统的名字以及版本:
检查系统的体系结构:
注意:如果系统是32位,上面的命令将返回“x86”,如果是64位系统,它将返回“AMD64”。
撸掉隔壁工位的新员工引发的血案
正在测试新版glype(http://www.glype.com/)网络代理程序(我不得不说一下这款代理程序是游走内网必备神器,没有之一)的时候用NMAP对本地内网80端口做了个简单的扫描(nmap -T5 10.10.0.0/24 -p80 –open),但是人生处处有惊喜。最近隔壁小伙伴正在搭建它强大的社工裤,本地php环境采用默认安装,并且可以浏览目录,于是我原本纯洁的内心产生了邪恶的念头。
本地存在phpMyAdmin程序,使用默认口令root/root进入后台。
这里可能存在槽点,但请你记住:在内网中使用默认配置,默认口令的开发或者管理人员是安全的软肋。
Docker出漏洞:端口2375【附案例】
0x00 概述
最近提交了一些关于 docker remote api 未授权访问导致代码泄露、获取服务器root权限的漏洞,造成的影响都比较严重,比如
新姿势之获取果壳全
浅谈高级组合技打造“完美” 捆绑后门
0x00 简介
之前写过一篇关于客户端钓鱼的文章:《使用powershell Client进行有效钓鱼》中,在使用各个Client进行测试的过程中,个人发现CHM文件是最好用的一个,但是其缺点就是会弹黑框,这样就会让被攻击者察觉。那么怎么让他不弹黑框呢?那就是本文要介绍的内容啦~
0x01 CHM 简介
在介绍怎么使用CHM来作为后门之前,首先要知道CMH是什么东西。
CHM(Compiled Help Manual)即“已编译的帮助文件”。它是微软新一代的帮助文件格式,利用HTML作源文,把帮助内容以类似数据库的形式编译储存。
技术剖析Potato提权原理
* 原创作者:tahf(图文无关)0×00 前言前一阵子收录了一个名为Potato的提权工具,发现该工具提权的姿势与以往工具不太一样,而且与WPAD代理有关,于是展开测试和分析,主要通过分析其网络数据流量来研究该提权工具的独特姿势。分析中学到了不少东西,希望能把一些思考过的东西跟大家分享下。还请各位大牛批评指正!整个工程代码和程序在GitHub上。
某司SSL-VPN沙盒逃逸之旅
【0x01】
入口:nmap 扫描c段发现x.x.x.2开放不少端口
https(443)访问发现是个ssl-vpn登录口
按照经验,一般这种系统往往会存在测试帐号,比如test、Guest等等。
手工试一下:test::****,然后就进去了。
【0x02】
发现:进去后,对各个功能进行了熟悉和测试,发现了一个erp软件。打开后需要登录,测试了几个常用测试口令,进去了。
Adobe Reader及Acrobat Pro特权提升漏洞解析(CVE-2015-5090)
0×01 前言CVE-2015-5090是存在于Adobe Reader/Acrobat Pro中的一个bug,并且早在几个月前就已经被发现并提交至ZDI了。本文主要是讲这个bug的细节,并分享几种不同攻击方法。 AdobeARMService是Adobe的更新程序,是在Adobe Reader/Acrobat Pro安装程序上安装的系统服务。这个服务在注册表中创建了启动服务的控制管理,从而允许服务处理外部的控制请求。
Windows提权姿势之Hot Potato
Hot Potato是用于windows7,8,10,Server 2008,Server2012上的权限提升,是一种新颖的网络攻击方式。How it worksHot Potatok利用了windows中已有的一些问题,在windows默认配置下进行本地权限提升。实际是利用了NTLM重放(更确切的说是HTPP->SMB重放),和NBNS欺骗。这听起来似乎觉得有些熟悉,那是因为类似的技术Google Project Zero的伙计们也披露过link。事实上,我们的代码就借用了他们的poc中的代码,并进行了扩展。
通过旁注渗透拿下F国司法部
首先看了一下网站,没看出是什么程序写的,也没发现值得深入下手的地方。于是便旁注了,很快,拿到了一个旁站的shell。
这才发现,服务器支持asp,aspx,php,但是限制很多。
简单试了下没提权成功。反正拿服务器不是首要任务,首要任务是挂菊花聊天室,先挂上聊天室再提权(后来事实证明,还是先提权才能把主页挂上菊花的)。
Xsocks 反弹代理s5
About
XSOCKS is a reliable socks5 proxy server for windows and linux.
It has support forward and reverse mode.
More information about socks5 : RFC1928
Complier
Windows
devenv.exe build.sln /rebuild R
Windows server 2012 用户hash抓取方法研究(本地+域)
为避免文章过长,这里就不贴出详细测试过程了。经过我的测试,发现本地用户hash抓取的方法中,以下几种方式是可行的:
注册表导出+cain
Pwdump7.exe
QuarksPwDump.exe
mimikatz.exe
这几种方式都可以抓到本地用户hash,其中mimikatz.exe只能抓到登陆过的账户的hash值,
已经抓取不到明文的密码了,但是,有一些有意思的东西,直接上图:
仔细看图,可以发现,wdigest的内容为n.a. ,也就是没有抓取到明文密码。看来微软还是有一点改进的,注入lsass.exe进程已经抓不到明文了。
内网渗透:利用WMI代替psexec(WMIEXEC.vbs)
0x01 背景
内网渗透中经常用到psexec这个工具,可以很方便的得到一个半交互式的cmd shell。
但是psexec也有一些问题:psexec需要对方开启ADMIN$共享,而且需要安装服务;另外,psexec退出时有可能服务删除失败,这个情况只是偶尔,但是我碰到过。
安装服务会留下明显的日志,而且服务没有删除的风险更大,管理员很容易就会发现。
WMI可以远程执行命令,所以我就想用VBS脚本调用WMI来模拟psexec的功能,于是乎WMIEXEC就诞生了。基本上psexec能用的地方,这个脚本也能够使用。
MS15-051 修正版Exploit(Webshell可用)
MS15-051简介:Windows 内核模式驱动程序中的漏洞可能允许特权提升 (3057191) , 如果攻击者在本地登录并可以在内核模式下运行任意代码,最严重的漏洞可能允许特权提升。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。 远程或匿名用户无法利用此漏洞。
LAPS配置不当将暴露域内本地管理员明文密码
背景介绍
通常来说,管理本地管理员帐户的登录凭证是很难考虑周全的。从设置强密码到在多台机器上设置独特密码,我们很少看到能够正确做到所有这些安全措施的情况。在我们渗透测试的大多数例子中,我们看到大部分域内计算机都配置了相同的本地管理员登录凭证。对于网络攻击者来说这简直是美味佳肴,因为它向攻击者敞开了横向访问整个网络系统的大门。
之前微软的一个修复方案是将本地管理员密码存储在LDAP上,作为计算机账户的一个机密属性。这一点可以通过使用微软的工具来自动实现,并且本地密码的复杂度也可以得到增强(自动改变)。理论上,这确实是一个很不错的解决方案。
发布时间:2015-05-10 05:50 |
阅读:181830 | 评论:0 |
标签:内网渗透 cpassword Credential DomainController Get-LAPSPasswords
NTDS.dit密码提取工具
受不了NTDSXTract的龟速,于是用quarkspwdump改了个能读取system.hiv的离线版提取工具,顺便修复了个坑爹的BUG。
ntds.dit其实就是个esent数据库,微软本身就有一系列的文档化api能够操作这个数据库,其链接是:
https://msdn.microsoft.com/en-us/library/windows/desktop/gg294074.aspx
既然是windows api,那么效率自然不用提了:本地测试300M的ntds.dit,内含近万条HASH。
【内网渗透】域渗透技巧
前言
域管理进程转移,使得渗透测试人员能够模拟在互联网上的域名管理员账户进行操作。尽管如此,在渗透测试开始之前需要确认系统中进程是否运行。在这篇博文中,我讲介绍5个技巧来帮助大家去做这些事情。
本地检测
查询活跃的域控制器
扫描远程系统上运行的任务
扫描远程系统上NetBIOS信息
PSExec扫描远程系统上的身份验证令牌
获取域名管理员权限
在大多数情况下,本篇文章关注的焦点在于识别运行于域名管理进程的系统。
SQL Server Management Studio密码导出工具
在windows下保存密码无非就是两个位置:注册表和文件。于是用windbg打开查询分析器(版本为SQL Server Management Studio 2005 Express),下几个条件断点:bp kernel32!
Return-into-libc 攻击及其防御
本文首先分析了 return-into-libc 的攻击原理,分别介绍了在不同平台进行传统 return-into-libc 攻击的实验过程和结果。然后,本文进一步引入并解释了返回导向编程的攻击方式,这种攻击可以弥补传统 return-into-libc 攻击的不足,使得攻击更灵活、更有效。最后,本文给出了针对这些攻击方法的防御手段。本文可以帮助读者了解 return-into-libc 攻击以及如何在系统中防止攻击的发生。
前言
缓冲区溢出攻击是最常见的利用程序缺陷的攻击方法,并成为了当前重要的安全威胁之一。
在各种安全报告中,缓冲区溢出漏洞始终是其中很重要的一部分。
用Linux肉鸡渗透一个小型内网的思路
91ri.org注:本案例中的拿shell方法比较简单,篇幅有限我们只看主要的,从拿到权限开始讲述。
安装后门
进入系统后,我的RP是如此滴幸运,竟然是root权限。。。
从一次取证到反渗透
0x01 工作背景:
1、 某厅级部门政府站点被篡改
2、 上级主管部门安全通告
3、 配合该部门查明原因限期整改
0x02 工作记录:
1、 信息收集
A、首先到机
突破某些安全软件限制远程登录的计算机名
问题
某些服务器安全软件允许管理员指定可以登陆的计算机名(管理员电脑的计算机名),若登陆的计算机名并非管理员的,那么服务器安全软件将拦截对方的登陆行为。这种方法乍一看挺安全,但也只能拦住小白的入侵者。
用Powershell 批量dump内网token
在域渗透中有一种情况,就是知道一个用户名和密码通杀一定数量的机器,然后想通过这个用户名和密码去看看哪台机器有DA权限,然后获取。
以前WooYun Drops上也有文章讨论这些方法,这篇翻译和其中的5-ways-to-find-systems-running-domain-admin-processes。
比如这篇文章里就是上面 tasklist的方法。
可是这些方法都有一个问题是只是看是否有DA用户登录,并没有办法检测到是否有DA用户的Token存在。
SQL Server存储过程Hacking(II)之用户冒充
安全脉搏在之前提供了SQL Server存储过程Hacking系列的第一部《SQL Server存储过程Hacking(I)之可信数据库》,现在来翻译《SQL Server存储过程Hacking(II)之用户冒充》
应用开发者们经常使用SQL Server存储过程使得他们的代码看起来更模块化,并且有助于践行最小特权原则。
有时这些存储过程需要从应用程序的数据库访问外部资源。有时为了满足那个需求,开发人员使用模拟特权(IMPERSONATE privilege)和执行功能( EXECUTE AS function)来允许其他登录需求的模拟。
发布时间:2015-01-03 01:15 |
阅读:114576 | 评论:0 |
标签:安全文献 EXECUTE WITH IMPERSONATE privilege Invoke-SqlServer-Esc
Shell反弹不出来怎么办呢?
在渗透测试过程中,遇到shell无法反弹的情况,你是怎么处理的呢?
通常情况下,web服务器都放在了DMZ里面,那么就造成了数据的只进不出的情况,
数
【投稿】简单渗透某IDC机房实录【上】
由于最近的FQ的东西已死,想弄个机器去看youtube。就随手GOOGLE论坛,寻找目标,为什么找论坛呢,一般我都习惯搞上传,论坛当然是容易发表文章的地方。随便挑了一个目标,浏览了一下,发现是某论坛程序的。帖子基本更新很慢,既然更新这么慢,管理肯定很懒,说不定这程序补丁都还没打,甚至连服务都没打补丁,提权也希望也大一些。早些年的时候这论坛爆过EXP。弄了个某大大写的程序直接打上。好家伙,提示写入成功。尝试访问。结果悲剧的变成了下载文件。换了目录以后重新写。终于拿到了WEBSHELL。目测网站根目录来看应该该是个VPS之类的虚拟主机,无所谓,只要能做个代理FQ就行。