随笔分类 - 红队
摘要:信息收集 port scanning sudo nmap --sT --min-rate 10000 -p- 10.10.11.203 -oA nmap/agile sudo nmap -sT -sC -sV -pxx 10.10.11.203 -oA nmap/detial banner tell
阅读全文
摘要:信息收集 端口扫描 nmap -sT --min-rate 10000 -p- 10.129.64.95 -oA nmap/ports 由于端口比较多所以需要对端口进行详细服务的扫描 字符操作 grep namp/ports | awk -F '/' '{print $1 }' | paste -s
阅读全文
摘要:前言: 修改目标计算机或用户账户的msDS-KeyCredentiallink属性的域内权限维持技术 这个属性能够设置原始公钥.当试图用pkinit进行预认证时,KDC将检查认证用户是否知道匹配的私钥,匹配的话会发送TGT,实现对目标对象的持久和隐蔽的访 攻击思路 获取高权限用户,通过目标用户添加s
阅读全文
摘要:POST /upload-labs/Pass-01/index.php HTTP/1.1Host: 127.0.0.1:8081User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox
阅读全文
摘要:再去的了域林中某个子域的控制权先后,如何通过子域横向移动到林根域进而控制整个域林? 实验如下 xie.com 林根域 shanghai.xie.com和beijing.xie.com都是xie.com的子域。shanghai.xie.com域内有个主机win2008R2,beijing.xie.co
阅读全文
摘要:由于ntlm认证郭晨和kerberos认证过程都是使用用户密码的ntlm hash进行加密,因此当获取到了用户密码的ntlm hash而没有解出明文时,可以利用该ntlm hash进行pth,对内网其他机器进行hash碰撞。通过135ldap或者445横向移动到是用该密码的其他机器上。win2012
阅读全文
摘要:在域中,不同的域控之间,默认每隔15min就会进行一次域数据同步。当一个额外的域控想从其他域控同步数据时,额外域控会像其他域控发起请求,请求同步数据。如果需要同步的数据比较多,则会重复上述过程。DCSync就是利用这个原理,通过目录复制服务(Directory Replication Service
阅读全文
摘要:发生在ntlm认证的第三步,在response消息中存在net-ntlm hash ,当攻击者获取net-ntlmhash后,可以重放ntlm hash进行中间人攻击 客户端 攻击者 服务端 negotiate -> | -> negotiate challenge <- | <- challeng
阅读全文
摘要:原理 1. 攻击者通过提供一个正常的域用户密码进行身份认证。KDC再验证账户和密码的有效性后,返回一个TGT。用于ST请求 2.攻击者使用获取到的TGT请求针对制定SPN的ST。请求票据的TGS-REQ过程中,指定其支持的加密类型为RC4_HMAC_MD5(ARCFOUR-HMAC-MD5),因为加
阅读全文
摘要:原理:请求包Cname对应的额值是用户名。用户名存在密码正确和密码错误两种情况的asrep返回包不一样。 密码喷洒和普通的爆破的区别在于 普通爆破利用固定的用户名爆破密码。密码喷洒用于 同一个密码爆破不同用户不触发账号锁定策略 工具使用 kerbrute 密码喷洒命令 kerbrute_window
阅读全文
摘要:在无域内有效凭证的情况下,枚举出域内存在的用户名,在对其进行密码喷洒获得域内有效凭证 利用原理:kerberos认证的as-req阶段,请求包cname对应的值是用户名。当用户状态分别为 1.用户存在且启用 KDC_ERR_PREAUTH_REQUIRED 2.用户存在但禁用 KDC_ERR_CLI
阅读全文
摘要:start of namp it's bannber tells us it's apache also running debian and more importatntly we get a php session cookie id back so chances are this is g
阅读全文
摘要:web broswer CURL tool visit web with 443 port curl -X POST 'https://streamio.htb/admin/?debug=master.php' -k -b 'PHPSESSID=xxxxx;' -d 'include=http://
阅读全文
摘要:常规进行信息收集以及开放端口 访问80进行探测 主页有一个html2pdf的功能 探测一下正常业务看看是否存命令执行等 正常业务下载好文件后,利用exiftools查看该pdf的信息发现发现power by pdfkit v8.6.0 存在CVE-2022-25765 PDFKit.new("htt
阅读全文
摘要:主机发现 nmap -sV -sC -oN flight 10.10.11.187 88端口开放所以是一个域环境 tips:在域环境中,只要与kerberos相关的事情,必须要与域环境中的时间一致 域环境smbenum主机头 由于开放了445端口,首先用cme枚举445端口 cmd --help 枚
阅读全文
摘要:主机发现 nmap --min-rate 1000 -p- 10.10.10.151 发现80 和445端口 端口探测 首先利用smbclient 进行端口探测 smbclient -L //10.10.10.151 连接错误 (后面发现是因为本地smb配置错误导致的) 切换方向 访问80端口发现是
阅读全文
摘要:主机发现 nmap -sV -sC -O -p22,80 10.10.11.200 -oN ports 访问80页面,主页面是这样的 再访问一下index.php或者index.html 发现是404错误, 有可能是里面隐藏了一些api我们可以查看到搜索看看有没有类似的api泄露 利用f12查看js
阅读全文
摘要:主机发现与爆破 nmap -sT --min-rate 10000 10.10.10.78 nmap -sT -sV -sC -O -p22,21,80 10.10.10.78 发现有ftp匿名登陆 └─$ ftp 10.10.10.78 Connected to 10.10.10.78.220 (
阅读全文
摘要:手工枚举 查看网络 sudo -l 查看当前用户以root身份执行的东西 getcap -r / 2>/dev/null echo $PATH 环境变量 env ps -ef | ps ax(没有连接到终端)j(显示进程数)f | ps -a(显示所有用户进程)u(显示启动进程的用户)x top命令
阅读全文
摘要:主机发现 sudo nmap -sT --min-rate 10000 -p- xx.xx.xx.xx -oA nmapscan/ports 只有一个端口开放 sudo nmap -sT -sV -sC -O -p xx.xxx.xx.xx -oA nmapscan/detail sudo nmap
阅读全文
浙公网安备 33010602011771号