APT/红队/渗透

Shiro 权限绕过漏洞复现(CVE-2020-11989) 影响范围 Apache Shiro 1.5.3 弹簧框架中仅使用Shiro身份验证 环境搭建 1 git克隆 将项目导入想法，本地演示环境是Mac OS，并配置Maven: /USR/local/cellar/maven/3.6.3_1/libexec/conf/settings.xml 添加当地镜子： 1 2 3 4 5 6...

Flask SSTI 利用方式探索 python 语言基础 在Python中，对象类是Python中所有类的基类。如果在定义类时未指定要继承的类，则默认情况下将继承对象类。每个类具有的魔术变量class表示当前类。 1 打印（''.__ class__） 每个类都有一个base属性列出其基础类： 列出所有基础类：__bases __ 列出类的呼叫顺序：MRO...

010-110本文主要使用REDIS未获得授权或已知redis密码的前提 Redis 在渗透测试中常见的利用方式 条件： 已知的Web目录绝对路径 在此目录中拥有可写的权限 查看所有键，创建新键，关键值是Webshell，这是通过写给Phpinfo的演示。 因为创建一个新键来分配键将覆盖原始键值，所以您需要在分配时查看所有键，然后选择一个不存在的密钥来创建分配。 1 2 3 钥匙*...

SaltStack 远程命令执行漏洞复现（CVE-2020-11651） SaltStack 简介...

常见服务类漏洞 FTP 漏洞 FTP 协议介绍 FTP（文件传输协议）是TCP/IP协议组中的协议之一。...

域渗透之 Windows Access Token 攻击 Windows Access Token 简介 Windows Access Token 概念 微软的官方定义如下： 访问令牌是一个描述过程或线程的安全上下文的对象。令牌中的信息包括与过程或线程关联的用户帐户的身份和特权。...

NTLM Relay 1 前言 1.1 背景介绍 NTLM继电器，中间攻击或重播攻击是相同的。 B是SMB服务器，A用于身份验证。 B将A的身份验证信息转发给C。如果A的凭据成功地验证了C，则可以执行下一个操作，例如创建执行命令的服务。如果您控制域中的某些通用服务，例如Web...

获取 NTLM 1 相关背景 1.1 NTLM 的存储位置: 1。系统数据库SAM（安全客户经理） 2。DIT数据库 3。内存缓存 1.2 NTLM 的获取方式 1。从SAM获得 2。内存获取 3。DIT数据库采集 4。Wce，pwdump，mimikatz… 1.3 NTLM 的形式...

DCShadow 攻击 2018年1月24日，本杰明马云惹不起马云德尔比（Benjamin Delpy）（Mimikatz文物的作者）和Vincent le toux在Bluehhat Il Meeting dcshadow期间针对域活动目录发布了新的攻击技术 使用域管理员特权，攻击者可以创建假域控制器，并将预设对象或对象属性复制到运行域服务器...

DCSync 攻击 在2015年8月，本杰明马云惹不起马云德尔比（Benjamin Delpy）（文物Mimikatz的作者）和Vincent Le Toux发布了新版本的Mimikatz，并添加了DCSYNC功能。模仿域控制器DC，并从真实域控制器中请求数据，例如该帐户的密码哈希值。 在DCSYNC之前，您需要在域服务器上登录到域服务器上的代码。...

基于域委派的攻击 1 域委派相关定义 1.1 定义 身份委托是Active Direction Directoro Ry Federation Services（AD FS）的功能，允许管理员指定的帐户模仿用户。模拟用户的帐户称为删除门 对于许多分布式应用程序，此委托功能至关重要 存在许多实际情况，其中Web应用程序“前端”必须从更安全的“后端”中检索数据，例如连接到Microsoft...

基于域信任关系的域攻击 域信任 建立了域之间的信任关系，以便一个域的用户可以轻松地访问其他域中的资源，并促进域网络的管理和维护。尽管该模型带来了便利，但也有许多地方可以被恶意攻击者利用。 域信任关系可以是单向\双向信任，可通过\非传递信任，内部\外部信任，交叉链接信任等。例如，两个域之间存在单向可转移的外部信任关系。同一森林内的域信任关系通常是在双向及时的内部信任关系中隐含的。 部署：...

VulnStack ATTCK 2 靶场 环境 信息收集 nmap 端口扫描 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55...

VulnStack ATTCK 1 靶场 环境 信息收集 端口探测 只有80、3306开放 目录扫描 访问端口80，发现主页是PHP探测器： 目录扫描： 发现phpmyadmin。 漏洞挖掘 phpmyadmin尝试使用密码登录： root:Root登录成功。 有很多方法可以在phpmyadmin背景 让我们首先看一下定期选择的淘汰赛：...

通过替换 cobaltstrikes 中自带 loader 进行免杀 原因 对于由CobaltStrike生成的工件，我们常用的方法是生成shellCode，然后实现一个加载程序以您自己加载shellcode。当我阅读钴型代码以生成工件时，我认为该方法非常有趣。作者首先写了一个加载程序，然后通过将生成的壳码修补到加载程序中来生成工件。...

CVE-2020-1938 Apache Tomcat AJP 文件包含漏洞复现 漏洞复现 环境搭建 docker-compose.yml 1 2 3 4 5 6 7 版本:'2' 服务: TOMCAT: Image: Vulhub/Tomcat:9.0.30 端口: '8080:8080' '8009:8009' 开始镜子： 1 Docker -compose -d POC 资料来源：...

域内横向移动分析 常用 Windows 远程连接和相关命令 IPC 1 NET使用\\ ip \ ipc $'密码' /user:Administrator IPC 的利用条件 开放端口139 管理员已启用默认共享 使用 Windows 自带的工具获取远程主机信息 dir 命令 1 dir \\ ip \ c $ tasklist 命令 1 任务列表/S IP /U管理员/P密码 计划任务...

权限提升防御分析 系统内核溢出漏洞提权 手动执行命令发现缺失补丁 1 2 SystemInfo WMIC QFE获取标题，描述，hotfixid，installedon 发现补丁编号 1 WMIC QFE获取标题，描述，HotFixID，安装| Findstr C:'KB3143141'C:/'KB976902' Windows Exploit Suggester...

内网信息收集 收集本机信息 手动信息搜集 查询网络配置信息 1 ipconfig /all 查询操作系统及软件的信息 查询操作系统和版本信息 1 2 SystemInfo | findstr /b /c:'os名称' /c:'os版本' SystemInfo | findstr /b /c:'os名称' /c:'os版本' 查询系统体系结构 1...

内网渗透流程 1 Initial Access 基本的Web漏洞（弱密码，文件上传，文件包含，RCE，挑战） 各种基本服务0/1/N Day RCE（VSFTPD，Samba，fastcgi） 个人机器（钓鱼和烹饪） 供应链攻击 VPN，VNC，电视等。 0/1天 1.1 网络位置判断 网络区域 DMZ 生产网络 办公网络 主机角色判断 操作和维护 行政 … 连通性判断 ICMP 1.2...