在内网渗透的过程中,最重要的就是信息搜集,但是在极端情况下我们找不到能够横或者跨域的机器,那么这时候我们就可以尝试做一个水坑,来尝试获取hash。当然这只是理想情况,在愈发强调对抗的当下,利用水坑钓鱼也变得不是那么简单。
在 Linux 做自动化其实非常方便,不会像windows一样受制于系统的配置以及桌面环境。Linux 完全没有这些负担,一个 Bash 就搞定了。
链路本地多播名称解析(LLMNR)是一个基于域名系统(DNS)数据包格式的协议,使得 IPv4 和 IPv6 的主机可以通过此协议对同一本地链路上的主机执行名称解析,例如:如果路由器出现故障,从而网络上的所有 DNS 服务器切断了子网时,则支持 LLMNR 的子网上的客户端可以继续在对等基础上解析名称,直到网络连接还原为止。
微软发布了KB4551762安全更新,修复了在微软服务器消息块3.1.1(SMBv3)中发现的Windows 10 RCE漏洞。在2020年3月补丁星期二活动日披露了关于该漏洞的细节,两天后公布安全更新。
腾讯云 DNSPod 已全面支持 DNSSEC啦~ (域名&DNS 双向支持) 腾讯云 DNSPod 更有贴心特性 腾讯云注册域名:支持一键开通,无需手动添加 DS 记录 开关保护:智能检测 DS 记录,避免影响解析服务 想了解更多,就看下去吧! 前往DNSPod控制台 (文末有抽奖不要错过哦!) DNSSEC如何添加DS记录 01 如何开启DNSSEC? 第一步:DNSPod 控制台开启 DNSSEC 服务。 [控制台] - DNS 解析 - 我的域名 - 域名设置 - DNSSEC ,点
在看 Net-NTLM Relay Attack 之前,需了解一下攻击原理是怎样实现的。
在拿下一台机器后一般都是直接抓取密码,其实我们可以通过一些域内水坑攻击了获取更多的哈希值。
利用burp编码爆破Basic Authorization认证、smb连接的多种方法、windows用户的NTLM值破解方法、evil-winrm的运用、windows主机信息收集工具、msf运行powershell脚本、远程运行powershell脚本、PrintNightmare漏洞提权等多个知识点。
笔者的环境中有几台Linux的服务器,在上传文件的时候通常都是用ssh进行上传。但是文件上传比较慢,而且每次都需要登录ssh。就想着能不能用windows那样,方便快捷呢?Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件。
可以看出这是一台 winserver2008 R2 服务器 并且开放了445端口。
早在2013年9月,蜘蛛实验室( Spider Labs)就发表过一篇题为“SpiderLabs在你内网中获取域管的五大方式”的文章。这篇文章是我继该文的,应该说是非官方的“Part 2”部分。
NTLM 中继是渗透测试期间一种流行的攻击策略,而且执行起来非常简单。只需在客户站点上卷起,将您的笔记本电脑插入 LAN,启动响应器和 ntlmrelayx,然后您就可以离开了。
Extensions—>Templates,然后选择随意一个模板进入—>New File
Samba最大的功能就是可以用于Linux与windows系统直接的文件共享和打印共享,Samba既可以用于windows与Linux之间的文件共享,也可以用于Linux与Linux之间的资源共享,由于NFS(网络文件系统)可以很好的完成Linux与Linux之间的数据共享,因而 Samba较多的用在了Linux与windows之间的数据共享上面。
当开启general log为on时,所执行的sql语句都会出现在stu1.log文件中。那么,如果修改generallogfile的值,那么所执行的sql语句就会对应生成对应的文件中,进而getshell。所以为了get shell,我们将general log设为on,将general log file设为C:/phpStudy/WWW/test.php
近期看了一篇不错的横向移动的文章,觉得不错就简单翻译了一下(谷歌翻译哈哈哈哈!) 原文地址:https://posts.specterops.io/offensive-lateral-movement-1744ae62b14f
通过控制内网主机发送 NTLM 请求,我们可以使用 responder 等工具截获主机用户的 Net-NTLMHash,此 Hash 虽然不能进行哈希传递,但是有了Net-NTLM Hash之后,我们可以对 Net-NTLM Hash进暴力破解、或重放,从而实现内网的横向渗透
之前介绍了Linux下Samba服务器部署,这里简单总结下Samba服务参数的配置说明: Samba服务的主配置文件是smb.conf,默认在/etc/samba/目录下。smb.conf含有多个段,每个段由段名开始,直到下个段名。每个段名放在方括号中间。每段的参数的格式是:名称=指。配置文件中一行一个段名和参数,段名和参数名不分大小写。除了[global]段外,所有的段都可以看作是一个共享资源。段名是该共享资源的名字,段里的参数是该共享资源的属性。Samba安装好后,使用testparm命令可以测试smb
下面关于配置文件的详解内容来自:http://yuanbin.blog.51cto.com/363003/115761。
红帽官方samba讲解 Samba 是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。
Impacket 工具包是红队人员内网横向使用频率最多的工具包之一,而Impacket 是一个标准 Python 类库,用于对 SMB1-3 或 IPv4 / IPv6 上的 TCP、UDP、ICMP、IGMP,ARP,IPv4,IPv6,SMB,MSRPC,NTLM,Kerberos,WMI,LDAP 等协议进行低级编程访问。在 impacket 工具包中用到最多的协议就是 smb 协议,SMB 是一种网络协议,也称为服务器消息块协议,它被用于在客户端和服务器之间进行通信,它 还可以用来共享文件,打印机和其他一些网络资源。其次就是 MSRPC,MSRPC 或 Microsoft 远程过程调用是 DCE / RPC 的修改版本,它是由 Microsoft 创建的,用于在 Windows 中无缝创建客户端/服务器模型,Windows Server 域协议完全基于 MSRPC。
注意: 安全界别:share:不需要密码可以访问 #在samba4中share已弃用,改为user
原作者 MalwareTech 编译 CDA 编译团队 本文为 CDA 数据分析师原创作品,转载需授权 前言 上周全球爆发电脑勒索病毒,“疫情”已波及 99 个国家。包括中国、俄罗斯、英国、美国在内的众多国家,都被该病毒搅得鸡犬不宁。 除英国国家医疗服务体系(NHS)、美国联邦快递、西班牙电信公司外,俄罗斯内政部的1000 多台电脑也纷纷“中招”,受到严重影响。而据俄罗斯RT新闻网报道,最新的数据统计显示,全球范围内已有超过 10 万台电脑被攻击。 但就在这场损伤巨大的全球“浩劫”中,一位“意外的英雄
2、个人执行的工作:某个用户定期要做的工作,例如每隔10分钟检查邮件服务器是否有新信,这些工作可由每个用户自行设置
在内网渗透时,一个WebShell或CobaltStrike、Metasploit上线等,只是开端,更多是要内网横向移动,扩大战果,打到核心区域。但后渗透的前提是需要搭建一条通向内网的“专属通道”,才能进一步攻击。可实战中因为网络环境不同,所利用的方式就不同。
在日常的内网横向过程中,对于SMB、Mysql、SSH、Sqlserver、Oracle等服务的弱口令爆破是常用手段,重复的红队攻防比赛使得这些服务的弱口令越来越少了。所以在平时,ABC_123也会关注一些其它服务的弱口令提权方法,有时候会在内网横向中收到奇效。本期就分享一个在内网渗透中,遇到的PostgreSQL数据库提权案例,过程非常艰辛,但是收获不少。
SMB(Server Messages Block,信息服务块)是一种在局域网上共享文件和打印机的一种通信协议,它为局域网内的不同操作系统的计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器型协议,客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。
在index.php文件里包含1.txt,而1.txt的内容是phpinfo(),include函数包含1.txt,就会把1.txt的内容当成php文件执行,不管后缀是什么。1.txt也好,1.xml也好,只要里面是php代码,然后有被include函数包含,那么就被当成PHP文件执行。
基本信息 # 网络信息 $ ipconfig /all # 查询网络配置信息 # 系统信息 $ systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本" # 查询操作系统和软件信息 $ systeminfo # 查看补丁列表 $ wmic qfe get Caption,Description,HotFixID,InstallOn # 查看安装在系统的补丁 # 服务信息 $ wmic service list brief # 查询本机服务信息 $
总结与反思: 1.收集信息要全面 2.用snmp-check检查snmp目标是否开启服务 3.smbmap尝试匿名用户anonymous来枚举目标的共享资源,可能会枚举成功 4.使用smbclient连接到smb进行命令操作 5.使用ole来分析宏 6.使用mssqlclient.py来连接MSSQL 7.mssqlclient.py开启Windows Authentication参数来,保证正常登录 8.使用mssqlclient.py开启cmd_shell 9.利用Responder窃取服务器的凭证 10.利用 | 、less 、\+关键词 快速查找内容 11.使用hashcat破解NetNTLMv2密码 12.使用john破解NetNTLMv2密码 13.利用mssql来执行cmd命令 14.使用PowerShell攻击框架里的Invoke-PowerShellTcp.ps1脚本反弹shell 15.使用powershell远程下载反弹shell脚本执行 16.使用 rlwrap 来解决shell中输出不正常问题(删除,方向键是字符问题) 17.使用cmd远程下载提权信息收集脚本PowerUp.ps1 18.使用smbmap(TheNETBIOS connection with the remote host timed out)的时候需要通过-d添加域的名字 19.利用域内获取的账号密码尝试使用psexec进行命令执行
对每个人而言,真正的职责只有一个:找到自我。然后在心中坚守其一生,全心全意,永不停息。所有其它的路都是不完整的,是人的逃避方式,是对大众理想的懦弱回归,是随波逐流,是对内心的恐惧 ——赫尔曼·黑塞《德米安》
表示 root 用户每天凌晨 1:00 进入到 /etc/data_rsync 文件夹执行 python 脚本
netwox 是由 lauconstantin 开发的一款网络工具集,适用群体为网络管理员和网络黑客,它可以创造任意的 TCP、UDP 和 IP 数据报文,以实现网络欺骗,并且可以在 Linux 和 Windows 系统中运行。
一、简介 Samba是一个能让Linux系统应用Microsoft网络通讯协议的软件,而SMB是Server Message Block的缩写,即为服务器消息块 ,SMB主要是作为Microsoft的网络通讯协议,后来Samba将SMB通信协议应用到了Linux系统上,就形成了现在的Samba软件。后来微软又把 SMB 改名为 CIFS(Common Internet File System),即公共 Internet 文件系统,并且加入了许多新的功能,这样一来,使得Samba具有了更强大的功能。
因为要搭建一个内网环境,因此需要将虚拟机与外网隔绝,在VMware中可以通过虚拟机设置中的网络适配器来设置。
横向移动是从一个受感染的宿主移动到另一个宿主的过程。渗透测试人员和红队人员通常通过执行 powershell.exe 在远程主机上运行 base64 编码命令来完成此操作,这将返回一个信标。问题在于攻击性 PowerShell 不再是一个新概念,即使是中等成熟的商店也会检测到它并迅速关闭它,或者任何半体面的 AV 产品都会在运行恶意命令之前将其杀死。横向移动的困难在于具有良好的操作安全性 (OpSec),这意味着生成尽可能少的日志,或者生成看起来正常的日志,即隐藏在视线范围内以避免被发现。这篇博文的目的不仅是展示技术,但要显示幕后发生的事情以及与之相关的任何高级指标。我将在这篇文章中引用一些 Cobalt Strike 语法,因为它是我们主要用于 C2 的语法,但是 Cobalt Strike 的内置横向移动技术是相当嘈杂,对 OpSec 不太友好。另外,我知道不是每个人都有 Cobalt Strike,所以在大多数示例中也引用了 Meterpreter,但这些技术是通用的。
上一章我们讲了NFS,可实现Linux间的文件共享,我们知道windows之间也有共享的功能,但是不同操作系统之间的共享,如:Linux与windows之间互访共享资源就需要samba服务来实现了。
虽然国内SaaS已经取得了长足的发展,但实际上与国外SaaS的差距却是越来越大,这不免让国内的SaaS创业者心生焦虑。
渗透测试通常情况下是以功能为导向的。一组协议通常能支持、实现一种功能。本文浅谈一下针对 RDP 协议的几种测试方法,也就是针对远程桌面这种功能的利用。本人水平有限,但仍希望对大家能有帮助。
导语 这个国庆假期互联网最大的新闻就是某不存在的公司 Facebook 全线业务宕机了 7 个小时,这其中有一个不起眼但是很关键的原因是其权威 DNS 节点在检测到部分网络异常(可以理解为控制面异常)后进行自我剔除操作,所有 DNS 节点“集体自杀”,从而导致 Facebook 自身及其他使用其权威 DNS 服务的业务全线异常。这里会简单聊聊腾讯云 DNSPod权威 DNS 的控制面异常时是如何处理的,包括曾经的思考与当前的实践经验,如何保障在出现类似问题的情况下尽量保障 DNS 服务的连续性,最终方案其实
链路本地多播名称解析(LLMNR)是一个基于域名系统(DNS)数据包格式的协议,IPv4和IPv6的主机可以通过此协议对同一本地链路上的主机执行名称解析。
其实很多小白在对利用msf进行ms17010攻击的时候总是不成功,其实这都是因为网上大部分的文章都是写的内网对内网(192.168.1.2–>192.168.1.3)这样的案例,今天写了一下利用公网的MSF直接攻击其他服务器内网的案例。
判断当前服务器是否在域内 RDS 如果目标服务器远程桌面服务开启,可尝试进行连接,若在用户名和密码栏下还有一个登录到(L)选项,下拉选项栏如果除了计算机名(此计算机)选项外还有其他选项,则此服务器可能位于域中,且选项名即为域名; net time /domain 执行该命令,有三种情况:第一种如果存在域会从域控返回时间,并在第一行返回域控及域名;第二种如果当前当前服务器在域内但当前用户非域用户,则会返回System error 5就表示权限不够;最后一种就是返回“找不到域WORKGROUP的域控制器
“抄袭”事件 前段时间,于正又双叒叕上热搜了,但这次不是因为抄袭他人,而是因为旗下艺人造型被抄袭了?! 7月30日下午,于正发布微博,质疑TFBOYS的七周年黑色羽毛造型写真抄袭自己2015年拍摄的《半妖倾城》演员造型。 但“抄袭”事件爆出后,舆论并没有靠向本次的“受害人”于正,反而网友群起而攻之:抄袭?不存在的!纷纷力证他这是要蹭TFBOYS的热度。 的确,使用黑色羽毛作为视觉造型的并非只有TFBOYS,早在1994年,伊能静在专辑《圣女传说》中就使用了黑羽造型。而国内外更是不乏相似造型
在某些情况下,有时需要有可能查看客户的用户屏幕以制作一些经过验证的屏幕截图或访问一个打开的 GUI 应用程序窗口,其中包含横向移动的秘密,同时合法用户通过 RDP 与您连接不想把他们踢出会议。
本篇继续阅读学习《内网安全攻防:渗透测试实战指南》,是第二章内网信息收集,主要介绍了当前主机信息搜集、域内存活主机探测、域内端口扫描、域内用户和管理员权限的获取、如何获取域内网段划分信息和拓扑架构分析等,并介绍了域分析工具BloodHound的使用(本篇笔记没记该工具)
注意:您有一个不能用的DNS域ilt.example.com,这个域中所有172.25.254.0/255.255.255.0的子网都在这个域中。XX for locahost number
经过上期的操作,我们已经搭建了带内网穿透的树莓派家用服务器;《树莓派4B家庭服务器搭建指南》刷Ubuntu Server 20.04,绑定公网域名,对公网提供http服务,SSH登录服务 https://www.v2fy.com/p/2021-10-01-pi-server-1633066843000/
来源:ToBeSaaS|作者:戴珂 ---- 腾讯SaaS加速器 三期40席项目招募 报名方式 腾讯SaaS加速器,作为腾讯产业加速器的重要组成部分,旨在搭建腾讯与SaaS相关企业的桥梁,通过资金、技术、资源、商机等生态层面的扶持,从战略到场景落地全方位加速企业成长,从而助力产业转型升级。 三期招募正式开始,扫描 二维码 立刻报名 (或点击文末 “阅读原文”,直达报名入口) 详情介绍:SaaS行业英雄集结令再发,腾讯SaaS加速器三期开启招募 国内SaaS的商业化困局 xx赛道好不好
本次多层网络域渗透项目旨在模拟渗透测试人员在授权的情况下对目标进行渗透测试, 从外网打点到内网横向渗透, 最终获取整个内网权限的过程.
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
实时音视频
