不排版了,知识点速览,比较深化的东西后面更新
*内网爆破
1.railgun
2.fscan -h -p -nobr -nopoc -np
3.ntlm hash爆破 cme -rdp/winrm/smb
windows*信息收集
查看凭据:cmdkey /list
票据:klist
进程:tastlist /svc
登入日志
linux信息收集
cat ~/.bash_history 执行的命令
cat ~/.ssh/know_hosts 连接的主机
ls -alh ~/.ssh 私钥
文件收集
获取低权限可写目录:accesschk
软件收集
wmic product get 。。。。。。。。。。。。。。。。。。。。
wmic /namespace:\rootsecuritycenter2 path antivirusproduct get /value
tasklist /svc
数据库信息收集
pass pwd字段
添加用户 create user tempuser identified by “password1”;
设置密码 alter user scott identified by abcd1234;
数据库管理员 grant dba to scott;
数据传输:
scp-无人使用的vps-sshpass预设密码
公开的传输平台加密
http服务:
云对象存储:accesskey
python https服务
下载:
vbs
启动:
wmic启动-wmiprvse.exe
计划任务启动
schtasks /ru指定权限
服务启动
sc create myservicename binpath 管理员权限
applocker安全功能
使用accesschk查找program file具有写权限的子目录便可执行-uwdqs
较强组策略:
白名单机制
ads启动-写入正常数据流-通过wmic创建进程运行
白加黑:procmon-文件名字修改-导出函数修改(dllhijackexporttest)
amsi:
powershell关闭
父进程检测:
windows资源管理器运行可执行文件
下载后执行
wixtooltest打包-msiexec
通道构建
socks代理本地-不在目标上执行命令-避免传工具
出网反代,不出网正向代理
tcp:443
https: 伪造sni的方法绕过特定拦截
udp:liunx nc监听 windows nslookup
icmp:ping过滤icmp包-pingtunnel
dns:53端口
反向代理
frp:tcp/udp
vps - frps -开放socks端口
目标 - frpc
udp -kcp
tls_enable - tls加密-握手标记0x17
icmp+frp
vps:frps+icmp监听
目标:icmp转发+frpc连接icmp监听
spp-icmp
stowaway多级网络
主节点 vps -目标-use 0 socks1080
次节点连接主节点
主节点连接次节点
端口转发 backward
反向dns隧道
vps-dns解析-目标连接vps-iodine工具
正向代理
neo-regeroy
--skip隐藏自身行为
端口分流端口复用
protoplex分流 --socks5 转发端口 --https 转发端口 -b监听端口
goproxy socks5代理
http转发至监听端口
ssh隧道代理
内网连接vpsssh,ssh映射vps,vps建立连接打开socks5
主机密码
1.内存密码和散列值:sekurlsa::logonpasswords exit
2.注册表离线
3.lsa服务使用的内存中抓取密码散列值
4.3389密码
5.注册表离线导出sam
6.lsass进程dump 猕猴桃读取密码{给lsass注册ssp读取,绝对路径}
7.windows凭据管理器密码抓取
8.管理器凭据:猕猴桃手动获取内存中的masterkey和sharpdpapi获取guid-sharpdpapi解密
9.lsass进程注入ssp模块记录登入用户的密码
10.xshell xts解密 xdecrypt.py
11.sql server密码
12.ssh strace 后门记录密码
13.ssh蜜罐记录密码 vps 222 端口映射到docker 22端口
14.webshell 修改登入页面的脚本记录密码:1.目标不出网access.log2.动态插入script标签绕过同源策略
权限提升windows
uacbypass
sigcheck查询管理权限程序-查询特定程序注册表值-修改注册表
sharpbypassuac
uacme
烂土豆提权-本地用户服务权限
迫使具有system权限的进程主动向exp开放端口发起认证然后重放
rpc-ntml-api-alpc-lsass
hot土豆
高级权限-ntlm认证-中继到本地smb监听器 攻击失败:耗尽udp端口号
juicy土豆
可信任服务路径:空格二进制
容易受到攻击的服务漏洞:服务二进制文件
alwaysinstallelevated策略设置项漏洞
错误配置一件检测:powerspilt
cve
linux
snap提权-提供的rest api身份鉴别存在问题
本地内核提权-ptrace_traceme父进程具有高权限
sudo缓冲区提权
polkit本地权限提升漏洞-修改环境变量诱使pkexec执行任意代码
overlayfs提权漏洞-安装一个允许未授权挂载overlayfs修补程序
dirtpipe提权-
自动检测
sudo错误配置:sudoers sudo免密
检查工具配置错误
suid属性配置错误
windows横向移动
ipc创建服务
wmi:135/445/49154
scshell 无文件无端口依赖协议
hash传递横向:修改注册表关掉remote uac 3389 mssql
135端口:rpc服务注册wmi事件
5985端口:winrm
winrs:开启服务并信任主机
msf横向操作
注册表关闭受限管理模式
上传本地远程控制程序
开启rdp
抓密码 hashdump load kiwi load mimikatz
数据库横向
mysql udf
mssql
xp_cmdshell
sp_oacreate-重定向到文件、
sharpsqltools 开启clr 加密shellcode 解密注入新的进程
mssql流量转发
redis主从复制写入exe/dll/lnk文件
cs横向
1.make token
2.pth
3.steal_token [域管进程]
4.beacon正向
5.beacon smb - link管道
windows权限维持
启用guest账户添加到管理员组
创建服务exe或者dll
系统自带服务:
已有服务xblgamesave
服务加载的dll cdpsvc-cdpsghims.dll注入到其他进程
打印程序加载:spooler dll文件名写入注册表项
替换任务计划的exe文件:谷歌升级dll劫持
隐藏任务计划
setacl修改注册表权限 reg delete删除注册表项
wmi
事件过滤器和事件消费者
注册表
load userinitial explorer
shell扩展处理程序
右键触发-regsvr32 xxx.dll
锁屏以后的权限维持
shift+放大镜后门
使用驱动程序隐藏文件:
easyfilelocker配置完成后删除相关程序-管理程序
linux权限维持
crontab配置文件横向
服务配置文件
自启动配置文件:系统启动-登入-退出
ssh免密登入-公私钥
openssh pam-密码认证的位置修改逻辑-修改文件时间戳
sshd软连接指定端口:ln -sf
隐藏
libprocessshider:process_to_filter需要修改
文件枷锁chattr
windows痕迹清理
wevtutil
wmic
猕猴桃
suspendorresumetidex 系统日志抑制
注册表关闭日志记录进程创建执行的命令
sysmon致盲(system权限)
linux痕迹清理
ssh公钥指纹/命令记录
sed删除包含登入ip
文件修改日期
脚本
域渗透
ldap:389/636/445
只知道有域无法进入域:收集域用户名、域IP地址
smb net爆破域账号
ldap 389/636
在域中 smb net 收集信息 net group “domain xxxx”/domain
spn信息 setspn -q */*
ldap adfind
dsquery
sharpadidnsdump域外获取dns信息
域控制器分析
gpp-ipc连接-策略组cpassword解密-hash碰撞
普通管理-多台机器-
关键机器-用户对应的密码
现有用户-登入哪些机器
域管理登入过哪些机器
哪些用户登入过目前机器
委派获取权限
约束委派,非约束委派,基于资源的约束委派
kerberos
c-as获取tgt和加密key给到客户端,客户端对tgt进行加密给套tgs,tgs生成票据给到客户端,然后访问ss
非约束委派
a+tgt---b+tgt 服务b保存
b+tgt访问a服务
假设a为域控 b为域机器 非约束委派
约束委派
机器账户票据获取被委派的服务票据并导入访问服务
资源委派
加域账号写权限配置添加账户修改可被替代属性
组用户获取主机权限
acl配置攻击
对用户拥有写权限
对用户拥有完全控制权限
域内用net user 修改账号密码
域外dsmod修改密码 ldap admin 636端口
禁止修改密码:域内seyspn注册服务获取客人kbr5btgs账号散列值,哈希爆破,域外targetedkeroast远程获取账号散列值
adcs配置问题
certipy查询配置问题-esc-修改备份模板templatename-申请证书 -ca-证书认证
域漏洞
netlogon
随机challenge和全0向量iv进行aes-cfb8运算
密码置空-dcsync-导出注册表-导出注册表中ntlmhash-还原ntlmhash
域内提权
没有对域内机器账户的名字做完整性校验,kdc自动尾部添加$,
a-tgt-重命名-a$存在申请服务票据
windows域提权漏洞
有权限certutil查找证书服务
没有权限ldap查找证书服务
创建机器账户记录名称密码
账户属性删除修改dnshostname
申请证书
认证
域信任
SIDHistory 版黄金票据
通过如下命令获取信任账号的NTML值,当前域和目标域的SID值。
.mimikatz.exe "privilege::debug" "lsadump::lsa /patch /user:pentest$" "lsadump::trust /patch" exit创建信任票据,格式如下:
mimikatz.exe “Kerberos::golden /domain:当前域名 /sid:当前SID /sids:目标SID-519 /rc4:信任秘钥 /user:任意用户名 /service:krbtgt /target:目标域 /ticket:pentest.kirbi" exit首先向TGS申请票据,命令如下。
asktgs.exe ./pentest.kirbi CIFS/pentest.pentest.lab通过如下命令导入票据。
.kirbikator.exe lsa .CIFS.pentest.pentest.lab.kirbi用无约束委派和 MS-RPRN 获取信任林权限
ntlm中继
ntlm:
协商协议版本
发送消息
8位随机数
账号密码hash运算
smb签名问题
取消签名:取消设置的签名标志
ldap签名
epa
mic:--remove-mic绕过
smb-ldap:删除mic 删除版本字段
exchang认证信息 acl写权限
基于资源约束委派
触发回连
llmnr dns解析
wpad协议代理服务器引诱目标输入账号密码
dhcp
ms-rprn打印机协议
ms-efsr rpc函数efsrpcopenfileraw 备份还原
exchange中继 acl权限 使用户有dcsynca权限
--escalate-user 445端口
rbcd -ldap 设置约束委派 先获取服务票据 后导出hash
adcs -http petitpotam触发回连 获取目标证书 申请tgt 换取服务票据 导出hash
域管分析
ntdsutil vssaddmin 获取ntds.dit
数据同步请求 secretsdunp -just-dc-ntlm
登入日志 powershell
离线分析evtx
域分发管理
用户:本地创建login.vbs 判断uac
域外权限不足,通过C盘共享复制目录
软件分发:
testmsi
组策略分发:新建一个组策略连接所有域对象 只能链接到组织单元
域后门
可逆存储密码策略
多元策略:用户修改以后可导出明文密码
查询修改密码用户,强制用户下一次登入时修改密码,抓取密码
acl后门
adminsdhold后门 admod为普通用户添加此权限,修改注册表同步时间
sidhistory后门
dcshadow后门:关闭防火墙,同步域信息sidhistory
黄金票据
-user
-sid
-aes256
白银票据
-domin-sid whoami /all
-nthash
-spn
-xx
exchang权限分析
proxylogon:ssrf-owa-管理员权限-任意文件写入或者分序列化漏洞
proxyshell:ssrf-legacydn+sid-ews调用-伪造认证-任意文件写入
proxynotshell:普通域账号密码-ssrf请求接口-powershell接口实现远程代码执行 html编码 &之前的内容转义
添加用户邮箱权限
ntlm hash无法解密获取邮件
原文始发于微信公众号(SQ安全渗透):内网+域渗透知识速览
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论