HVV红队面试
不出网
socks隧道、CS直接上线、
域内委派
域委派是指将域内用户的权限委派给服务账户,使得服务账号能够以用户的权限在域内展开活动
协议层面讲,用户A委派DM$访问WEB服务,那么用户会将TGT缓存在DM的lsass中,DM再模拟这个用户去访问服务。
dpapi机制
DPAPI是Windows系统级对数据进行加解密的一种接口,无需自实现加解密代码,微软已经提供了经过验证的高质量加解密算法,提供了用户态的接口,对密钥的推导,存储,数据加解密实现透明,并提供较高的安全保证。
DPAPI提供了两个用户态接口,'CryptProtectData'加密数据,'CryptUnprotectData'解密数据,加密后的数据由应用程序负责安全存储,应用无需解析加密后的数据格式。
程序可以使用DPAPI来对自己敏感的数据进行加解密,也可持久化存储,程序或系统重启后可解密密文获取原文。
fastjson不出网
本地反序列化
常见的回显方式有三种:一种是直接将命令执行结果写入到静态资源文件里,如html、js等,然后通过http访问就可以直接看到结果。通过dnslog进行数据外带,但如果无法执行dns请求就无法验证了。直接将命令执行结果回显到请求Poc的HTTP响应中。
打点一般会用什么漏洞
优先以java反序列化这些漏洞像shiro,fastjson,weblogic,用友oa等等进行打点,随后再找其他脆弱性易打进去的点。
因为javaweb程序运行都是以高权限有限运行,部分可能会降权。
fastjson漏洞利用原理
在请求包里面中发送恶意的json格式payload,漏洞在处理json对象的时候,没有对@type
字段进行过滤,从而导致攻击者可以传入恶意的TemplatesImpl类
,而这个类有一个字段就是_bytecodes
,有部分函数会根据这个_bytecodes
生成java实例,这就达到fastjson
通过字段传入一个类,再通过这个类被生成时执行构造函数。
横向渗透命令执行手段
psexec,wmic,smbexec,winrm,net use共享+计划任务+type命令
域内攻击方法
MS14-068、Roasting攻击离线爆破密码、委派攻击,非约束性委派、基于资源的约束委派、ntlm relay
外围打点的基本流程?
五个步骤,分别是靶标确认、信息收集、漏洞探测、利用漏洞和获取权限,最终要得到的是获取靶标的系统权限进而获得关键数据。
CDN识别
使用ping命令看回显
使用nslookup查询域名解析,看域名解析情况
使用超级ping工具,像Tools,all-toll.cn等
判断靶标站点是windows系统还是Linux系统?
通过ping靶机,看返回的TTL值,Windows大于100、Linux小于100的
看大小写,Linux区别大小写,Windows则不分。