随笔分类 - 内网渗透
摘要:MSSQL结合RBCD提权 原理 这里使用中继的方式给他中继到ldap中去添加msDS-AllowedToActOnBehalfOfOtherIdentity属性。默认域控的ms-DS-MachineAccountQuota属性设置允许所有域用户向一个域添加10个计算机帐户,就是说只要有一个域凭据就
阅读全文
摘要:域内用户与机器用户 机器用户 打开ADExplorer查看域内 computer 看到属性computer 是user的子类,继承user类的属性。而域用户是user类的实例。域用户该有的属性,计算用户都有,可以说,机器用户就是一种域用户。 本地用户SYSTEM就对应于域内的机器用户,在域内的用户名
阅读全文
摘要:域内LDAP学习 Naming Context 微软将Active Directory划分为若干个分区(这个分区我们称为Naming Context,简称NC),每个Naming Context都有其自己的安全边界。 预设定的有三个Naming Context。 Configuration NC(C
阅读全文
摘要:BloodHound分析域结构 导出域结构 SharpHound.exe -c all #可指定all到处所有信息 SharpHound.exe -c session # 枚举会话 SharpHound.exe -c all --OutputDirectory C:\ #导入出到指定目录 Sharp
阅读全文
摘要:域内ACL攻防 windows 访问控制模型 在 Active Directory 中设置权限,其方式与在文件中设置权限的方式几乎相同。权限控制都是使用windows 访问控制模型。 windows 访问控制模型是由两部分组成。 访问令牌(Access Token) 包含用户的标识(User SID
阅读全文
摘要:域内委派攻击 委派 将域内用户的权限委派给服务账号,使得服务账号能以用户权限开展域内活动,接受委派的用户只能是服务账户或者主机账户。 域委派存在三种类型,非约束委派、约束委派、基于资源的约束委派。 Client 需要通过HTTP访问sqlserver 服务器,但HTTP并没有访问sqlserver的
阅读全文
摘要:AS-REP Roasting & Kerberoast Kerberos Kerberos 是一种基于加密 Ticket 的身份认证协议。Kerberos 主要由三个部分组成:Key Distribution Center (即KDC)、Client 和 Service Kerberos认证协议的
阅读全文
摘要:域渗透之Zerologon域提权漏洞 组件概述 Netlogon远程协议是一个远程过程调用(RPC)接口,用于基于域的网络上的用户和计算机身份验证。Netlogon远程协议RPC接口还用于为备份域控制器(BDC)复制数据库。 Netlogon远程协议用于维护从域成员到域控制器(DC),域的DC之间以
阅读全文
摘要:域渗透之MS14-68域提权漏洞 漏洞概述 漏洞可能允许攻击者将未经授权的域用户账户的权限,提权到域管理员的权限。 利用条件 域控机器没有打MS14-068的补丁(KB3011780) 需要一个域内用户和域内用户密码或hash,域内用户的suid 漏洞原理 服务票据是客户端直接发送给服务器,并请求服
阅读全文
摘要:不出网情况利用毒刺上线CS 毒刺 Pystinger上线不出网主机 上传proxy.jsp 和stinger_server.exe到目标机器上 这里根据作者提示,不要直接运行D:/XXX/stinger_server.exe,会导致tcp断连 start stinger_server.exe 0.0
阅读全文
摘要:域渗透之导出域Hash 前言 网上采集了一些域内导出NTDS.dit文件的方式 Hash 值存储在域控制器中(C:\Windows\NTDS\NTDS.DIT) Mimikatz Mimikatz有一个功能(dcsync),它利用目录复制服务(DRS)从 NTDS.DIT 文件中检索密码 Hash
阅读全文
摘要:域渗透之NTLM Relay 基础知识 LLMNR概述 链路本地多播名称解析(LLMNR)是一个基于协议的域名系统(DNS)数据包的格式,使得双方的IPv4和IPv6的主机来执行名称解析为同一本地链路上的主机。当局域网中的DNS服务器不可用时,DNS客户端会使用LLMNR本地链路多播名称解析来解析本
阅读全文
摘要:域渗透之 pre-auth用户枚举 适用场景与优点 适用于在域外对域用户进行用户枚举和爆破 使用Kerberos pre-auth bruteforcing的速度快,并且不会产生日志。 适用场景: 在没有域用户的口令,所以无法通过LDAP协议枚举出所有域用户,可以使用这种方式来验证用户是否存在 用户
阅读全文
摘要:0x00 前言 [手动滑稽][手动滑稽] 一天一靶机 生活充实而有趣,打算这几天把红日的几个靶机都给撸个遍。打起来还挺有意思。 0x01 环境搭建 至于网卡配置的话,可以直接看官方的讲解怎么去配,打靶机前要需要启动web服务,来到server 08 机器 也就是web的机器里面,进入目录 C:\Or
阅读全文
摘要:0x00前言 [滑稽][滑稽]又是我,我又来发水文了,这几天打靶机打上瘾了,再来更新篇靶机的文章 0x01 靶机渗透 配置好靶机后,这里需要打开win7,来到c盘目录下启动phpstudy 启动完成后,就可以开始了,这里的要求是从web打点打进去。这里发现用的phpstudy应该是有后门的,可以用,
阅读全文
摘要:0x00 前言 dll劫持的近期忙,没时间写,先给大家写个windows认证的水文。 0x01 windows认证协议 windows上的认证大致分为本地认证,ntlm协议,和Kerberos协议。 (1)本地认证 我们先来看到本地认证,本地认证是 Windows的本地认证是由 winlogon.e
阅读全文
摘要:最短时间来,打算把自己学习的东西都总结一遍,发到博客上面来。 带大家来了解windows访问令牌 0x00 acess token的作用 access token的作用说简单点就是为了系统的安全 0x01 access token 类型 access token 主要分为主令牌和模拟令牌 ,主令牌主
阅读全文