推广 热搜： 行业机械设备杯系统教师经纪参数金蒸汽

教你小白到精通：内网安全攻防的知识仓库（收藏这一篇就够了）

日期：2024-11-10 移动：http://nhjcxspj.xhstdz.com/mobile/quote/63232.html

信息搜集
字典列表
密码生成
邮箱列表获取
泄露密码查询
对企业外部相关信息进行搜集
子域名获取
github
whois查询/注册人反查/邮箱反查/相关资产
google hacking
开源情报信息收集（OSINT）
创建企业密码字典
进入内网
基于企业弱账号漏洞
基于系统漏洞进入
网站应用程序渗透
无线Wi-Fi接入
隐匿攻击
Command and Control
Fronting
代理
内网跨边界应用
EW
Termite
代理脚本
内网跨边界转发
内网跨边界代理穿透
shell反弹
内网文件的传输和下载
搭建 HTTP server
内网信息搜集
端口扫描
内网拓扑架构分析
常见信息收集命令
常用端口扫描工具
1、用户列表
2、进程列表
3、服务列表
4、端口列表
5、补丁列表
6、本机共享
7、本用户习惯分析
8、获取当前用户密码工具
Windows
Linux
本机信息搜集
扩散信息收集
第三方信息收集
权限提升
内核溢出提权
计划任务
SUID
系统服务的错误权限配置漏洞
不安全的文件/文件夹权限配置
找存储的明文用户名，密码
BypassUAC
提权
常用方法
常用工具
Windows
Linux
权限维持
Windows
Linux
1、密码记录工具
2、常用的存储Payload位置
3、Run/Runonce Keys
4、BootExecute Key
5、Userinit Key
6、Startup Keys
7、Services
8、Browser Helper Objects
9、AppInit_DLLs
10、文件关联
11、bitsadmin
12、mof
13、wmi
14、Userland Persistence With Scheduled Tasks
15、Netsh
16、Shim
17、DLL劫持
18、DoubleAgent
19、waitfor.exe
20、AppDomainManager
21、Office
22、CLR
23、msdtc
24、Hijack CAccPropServicesClass and MMDeviceEnumerato
25、Hijack explorer.exe
26、Windows FAX DLL Injection
27、特殊注册表键值
28、快捷方式后门
29、Logon scripts
30、Password Filter DLL
31、利用BHO实现IE浏览器劫持
crontab
硬链接sshd
SSH Server wrapper
SSH keylogger
Cymothoa_进程注入backdoor
rootkit
Tools
系统后门
WEB后门
横向渗透
Bypass Applocker
bypassAV
信息搜集
获取域控的方法
获取AD哈希
AD持久化
其他
TIPS
相关工具
powerview.ps1
BloodHound
获取域内DNS信息
SYSVOL
MS14-068 Kerberos
SPN扫描
Kerberos的黄金门票
Kerberos的银票务
域服务账号破解
凭证盗窃
NTLM relay
Kerberos委派
地址解析协议
Zerologon
noPac
ADCS
CVE-2022-26923
活动目录持久性技巧
Security Support Provider
SID History
AdminSDHolder＆SDProp
组策略
Hook PasswordChangeNotify
Kerberoasting后门
AdminSDHolder
Delegation
黄金证书
域内主机提权
Exchange的利用
端口扫描
端口爆破
端口弱口令
端口溢出
常见的默认端口
1、web类(web漏洞/敏感目录)
2、数据库类(扫描弱口令)
3、特殊服务类(未授权/命令执行类/漏洞)
4、常用端口类(扫描弱口令/端口爆破)
5、端口合计所对应的服务
端口渗透
域渗透
在远程系统上执行程序
IOT相关
中间人
规避杀软及检测
痕迹清理
Windows日志清除
破坏Windows日志记录功能
metasploit
3389登陆记录清除

信息搜集

开源情报信息收集（OSINT）

github

Github_Nuggests（自动爬取Github上文件敏感信息泄露） :https://github.com/az0ne/Github_Nuggests
GSIL（能够实现近实时（15分钟内）的发现Github上泄露的信息） :https://github.com/FeeiCN/GSIL
x-patrol(小米团队的):https://github.com/MiSecurity/x-patrol

whois查询/注册人反查/邮箱反查/相关资产

站长之家:http://whois.chinaz.com/?DomainName=target.com&ws=
爱站:https://whois.aizhan.com/target.com/
微步在线:https://x.threatbook.cn/
IP反查:https://dns.aizhan.com/
天眼查:https://www.tianyancha.com/
虎妈查:http://www.whomx.com/
历史漏洞查询 :
在线查询:http://wy.zone.ci/
自搭建:https://github.com/hanc00l/wooyun_publi/

google hacking

创建企业密码字典

字典列表

passwordlist:https://github.com/lavalamp-/password-lists
猪猪侠字典:https://pan.baidu.com/s/1dFJyedz Blasting_dictionary（分享和收集各种字典，包括弱口令，常用密码，目录爆破。数据库爆破，编辑器爆破，后台爆破等）
针对特定的厂商，重点构造厂商相关域名的字典

密码生成

GenpAss（中国特色的弱口令生成器: https://github.com/RicterZ/genpAss/
passmaker（可以自定义规则的密码字典生成器）：https://github.com/bit4woo/passmaker
pydictor（强大的密码生成器）：https://github.com/LandGrey/pydictor

邮箱列表获取

theHarvester ：https://github.com/laramies/theHarvester
获取一个邮箱以后导出通讯录
linkedInt :https://github.com/mdsecactivebreach/linkedInt
Mailget：https://github.com/Ridter/Mailget

泄露密码查询

ghostproject: https://ghostproject.fr/
pwndb: https://pwndb2am4tzkvold.onion.to/

对企业外部相关信息进行搜集

子域名获取

Layer子域名挖掘机4.2纪念版
subDomainsBrute ：https://github.com/lijiejie/subDomainsBrute
wydomain ：https://github.com/ring04h/wydomain
Sublist3r ：https://github.com/aboul3la/Sublist3r
企查查：https://www.qcc.com/
天眼查：https://www.tianyancha.com/
site:target.com:https://www.google.com
Github代码仓库
抓包分析请求返回值(跳转/文件上传/app/api接口等)
站长帮手links等在线查询网站
域传送漏洞

Linux

Windows

GetDomainsBySSL.py :https://note.youdao.com/ynoteshare1/index.html?id=247d97fc1d98b122ef9804906356d47a&type=note#/
censys.io证书 :https://censys.io/certificates?q=target.com
crt.sh证书查询:https://crt.sh/?q=%25.target.com
shadon :https://www.shodan.io/
zoomeye :https://www.zoomeye.org/
fofa :https://fofa.so/
censys：https://censys.io/
dnsdb.io :https://dnsdb.io/zh-cn/search?q=target.com
api.hackertarget.com :http://api.hackertarget.com/reversedns/?q=target.com
community.riskiq.com :https://community.riskiq.com/Search/target.com
subdomain3 :https://github.com/yanxiu0614/subdomain3
FuzzDomain :https://github.com/Chora10/FuzzDomain
dnsdumpster.com :https://dnsdumpster.com/
phpinfo.me :https://phpinfo.me/domain/
dns开放数据接口 :https://dns.bufferover.run/dns?q=baidu.com

进入内网

基于企业弱账号漏洞

VPN（通过邮箱，密码爆破，社工等途径获取VPN）
企业相关运维系统（zabbix等）

基于系统漏洞进入

metasploit(漏洞利用框架):https://github.com/rapid7/metasploit-framework
漏洞利用脚本

网站应用程序渗透

SQL注入
跨站脚本（XSS）
跨站请求伪造（CSRF）
SSRF（ssrf_proxy）
功能/业务逻辑漏洞
其他漏洞等
CMS-内容管理系统漏洞
企业自建代理

无线Wi-Fi接入

隐匿攻击

Command and Control

ICMP :https://pentestlab.blog/2017/07/28/command-and-control-icmp/
DNS :https://pentestlab.blog/2017/09/06/command-and-control-dns/
DropBox :https://pentestlab.blog/2017/08/29/command-and-control-dropbox/
Gmail :https://pentestlab.blog/2017/08/03/command-and-control-gmail/
Telegram :http://drops.xmd5.com/static/drops/tips-16142.html
Twitter :https://pentestlab.blog/2017/09/26/command-and-control-twitter/
Website Keyword :https://pentestlab.blog/2017/09/14/command-and-control-website-keyword/
PowerShell :https://pentestlab.blog/2017/08/19/command-and-control-powershell/
Windows COM :https://pentestlab.blog/2017/09/01/command-and-control-windows-com/
WebDAV :https://pentestlab.blog/2017/09/12/command-and-control-webdav/
Office 365 :https://www.anquanke.com/post/id/86974
HTTPS :https://pentestlab.blog/2017/10/04/command-and-control-https/
Kernel :https://pentestlab.blog/2017/10/02/command-and-control-kernel/
Website :https://pentestlab.blog/2017/11/14/command-and-control-website/
WMI :https://pentestlab.blog/2017/11/20/command-and-control-wmi/
WebSocket :https://pentestlab.blog/2017/12/06/command-and-control-websocket/
Images :https://pentestlab.blog/2018/01/02/command-and-control-images/
Web Interface :https://pentestlab.blog/2018/01/03/command-and-control-web-interface/
Javascript :https://pentestlab.blog/2018/01/08/command-and-control-javascript/
…

Fronting

Domain Fronting
Tor_Fronting.

代理

VPN
shadowsockts :https://github.com/shadowsocks
HTTP :http://cn-proxy.com/
Tor

内网跨边界应用

内网跨边界转发

NC端口转发
LCX端口转发
nps -> 个人用觉得比较稳定～
frp
代理脚本

Tunna
Reduh

…

内网跨边界代理穿透

EW

正向 SOCKS v5 服务器:

反弹 SOCKS v5 服务器: a) 先在一台具有公网 ip 的主机A上运行以下命令：

b) 在目标主机B上启动 SOCKS v5 服务并反弹到公网主机的 8888端口

多级级联

lcx_tran 的用法

lcx_listen、lcx_slave 的用法

“三级级联”的本地SOCKS测试用例以供参考

Termite

使用说明:https://rootkiter.com/Termite/README.txt

代理脚本

reGeorg :https://github.com/sensepost/reGeorg Neo-reGeorg:https://github.com/L-codes/Neo-reGeorg pystinger(毒刺):https://github.com/FunnyWolf/pystinger ABPTTS:https://github.com/nccgroup/ABPTTS

shell反弹

bash

perl

python

php

ruby

java

nc

lua

内网文件的传输和下载

wput

wget

ariac2（需安装）

powershell

vbs脚本

执行：cscript test.vbs

Perl

执行：perl test.pl

Python

执行：python test.py

Ruby

执行：ruby test.rb

PHP

执行：php test.php

NC attacker

target

FTP

TFTP

Bitsadmin

Window 文件共享

SCP 本地到远程

远程到本地

rsync 远程rsync服务器中拷贝文件到本地机

本地机器拷贝文件到远程rsync服务器

certutil.exe

copy

WHOIS 接收端 Host B：

发送端 Host A：

WHOIS + TAR First:

PING 发送端:

接收端ping_receiver.py:

DIG 发送端:

接收端dns_reciver.py:

…

搭建 HTTP server

python2

python3

PHP 5.4+

ruby

Perl

busybox httpd

内网信息搜集

本机信息搜集

1、用户列表

windows用户列表分析邮件用户，内网[域]邮件用户，通常就是内网[域]用户

2、进程列表

析杀毒软件/安全监控工具等邮件客户端 VPN ftp等

3、服务列表

与安全防范工具有关服务[判断是否可以手动开关等] 存在问题的服务[权限/漏洞]

4、端口列表

开放端口对应的常见服务/应用程序[匿名/权限/漏洞等] 利用端口进行信息收集

5、补丁列表

分析 Windows 补丁第三方软件[Java/Oracle/Flash 等]漏洞

6、本机共享

本机共享列表/访问权限本机访问的域共享/访问权限

7、本用户习惯分析

历史记录收藏夹文档等

8、获取当前用户密码工具

Windows

mimikatz
wce
Invoke-WCMDump
mimiDbg
LaZagne
nirsoft_package
QuarksPwDump fgdump
星号查看器等

Linux

LaZagne
mimipenguin

浏览器

HackBrowserData
SharpWeb
SharpDPAPI
360SafeBrowsergetpass

其他

SharpDecryptPwd
Decrypt_Weblogic_Password
OA-Seeyou

扩散信息收集

端口扫描

常用端口扫描工具

nmap
masscan
zmap
s扫描器
自写脚本等
NC
…

内网拓扑架构分析

DMZ
管理网
生产网
测试网

常见信息收集命令

ipconfig:

net:

dsquery

第三方信息收集

NETBIOS 信息收集
SMB 信息收集
空会话信息收集
漏洞信息收集等

权限提升

Windows

BypassUAC

常用方法

使用IFileOperation COM接口
使用Wusa.exe的extract选项
远程注入SHELLCODE 到傀儡进程
DLL劫持，劫持系统的DLL文件
eventvwr.exe and registry hijacking
sdclt.exe
SilentCleanup
wscript.exe
cmstp.exe
修改环境变量，劫持高权限.Net程序
修改注册表HKCUSoftwareClassesCLSID，劫持高权限程序
直接提权过UAC

常用工具

UACME
Bypass-UAC
Yamabiko
…

提权

windows内核漏洞提权

检测类:Windows-Exploit-Suggester,WinSystemHelper,wesng

利用类:windows-kernel-exploits，BeRoot

服务提权

数据库服务，ftp服务等

WINDOWS错误系统配置
系统服务的错误权限配置漏洞
不安全的注册表权限配置
不安全的文件/文件夹权限配置
计划任务
任意用户以NT AUTHORITYSYSTEM权限安装msi
提权脚本

PowerUP,ElevateKit

Linux

内核溢出提权

linux-kernel-exploits

计划任务

SUID

寻找可利用bin：https://gtfobins.github.io/

系统服务的错误权限配置漏洞

不安全的文件/文件夹权限配置

找存储的明文用户名，密码

权限维持

系统后门

Windows

1、密码记录工具

WinlogonHack WinlogonHack 是一款用来劫取远程3389登录密码的工具，在 WinlogonHack 之前有一个 Gina 木马主要用来截取 Windows 2000下的密码，WinlogonHack 主要用于截取 Windows XP 以及 Windows 2003 Server。键盘记录器安装键盘记录的目地不光是记录本机密码，是记录管理员一切的密码，比如说信箱，WEB 网页密码等等，这样也可以得到管理员的很多信息。NTPass 获取管理员口令,一般用 gina 方式来,但有些机器上安装了 pcanywhere 等软件，会导致远程登录的时候出现故障，本软件可实现无障碍截取口令。Linux 下 openssh 后门重新编译运行的sshd服务，用于记录用户的登陆密码。

2、常用的存储Payload位置

WMI : 存储：

读取:

包含数字签名的PE文件利用文件hash的算法缺陷，向PE文件中隐藏Payload，同时不影响该PE文件的数字签名特殊ADS …

特殊COM文件

磁盘根目录

3、Run/Runonce Keys

用户级

管理员

4、BootExecute Key

由于smss.exe在Windows子系统加载之前启动，因此会调用配置子系统来加载当前的配置单元，具体注册表键值为：

5、Userinit Key

WinLogon进程加载的login scripts,具体键值：

6、Startup Keys

7、Services

创建服务

8、Browser Helper Objects

本质上是Internet Explorer启动时加载的DLL模块

9、AppInit_DLLs

加载User32.dll会加载的DLL

10、文件关联

11、bitsadmin

12、mof

管理员执行：

13、wmi

每隔60秒执行一次notepad.exe

14、Userland Persistence With Scheduled Tasks

劫持计划任务UserTask，在系统启动时加载dll

15、Netsh

后门触发：每次调用netsh

dll编写:https://github.com/outflanknl/NetshHelperBeacon

16、Shim

常用方式：InjectDll RedirectShortcut RedirectEXE

17、DLL劫持

通过Rattler自动枚举进程，检测是否存在可用dll劫持利用的进程使用：Procmon半自动测试更精准，常规生成的dll会导致程序执行报错或中断，使用AheadLib配合生成dll劫持利用源码不会影响程序执行工具：https://github.com/sensepost/rattler 工具：https://github.com/Yonsm/AheadLib

18、DoubleAgent

编写自定义Verifier provider DLL 通过Application Verifier进行安装注入到目标进程执行payload 每当目标进程启动，均会执行payload，相当于一个自启动的方式 POC : https://github.com/Cybellum/DoubleAgent

19、waitfor.exe

不支持自启动，但可远程主动激活，后台进程显示为waitfor.exe POC : https://github.com/3gstudent/Waitfor-Persistence

20、AppDomainManager

针对.Net程序，通过修改AppDomainManager能够劫持.Net程序的启动过程。如果劫持了系统常见.Net程序如powershell.exe的启动过程，向其添加payload，就能实现一种被动的后门触发机制

21、Office

劫持Office软件的特定功能:通过dll劫持,在Office软件执行特定功能时触发后门利用VSTO实现的office后门 Office加载项

Word WLL
Excel XLL
Excel VBA add-ins
PowerPoint VBA add-ins

参考1 ：https://3gstudent.github.io/Use-Office-to-maintain-persistence

参考2 ：https://3gstudent.github.io/Office-Persistence-on-x64-operating-system

22、CLR

无需管理员权限的后门，并能够劫持所有.Net程序 POC:https://github.com/3gstudent/CLR-Injection

23、msdtc

利用MSDTC服务加载dll，实现自启动，并绕过Autoruns对启动项的检测利用：向 %windir%system32目录添加dll并重命名为oci.dll

24、Hijack CAccPropServicesClass and MMDeviceEnumerato

利用COM组件，不需要重启系统，不需要管理员权限通过修改注册表实现 POC：https://github.com/3gstudent/COM-Object-hijacking

25、Hijack explorer.exe

COM组件劫持，不需要重启系统，不需要管理员权限通过修改注册表实现

26、Windows FAX DLL Injection

通过DLL劫持，劫持Explorer.exe对fxsst.dll的加载 Explorer.exe在启动时会加载c:WindowsSystem32fxsst.dll(服务默认开启，用于传真服务)将payload.dll保存在c:Windowsfxsst.dll，能够实现dll劫持，劫持Explorer.exe对fxsst.dll的加载

27、特殊注册表键值

在注册表启动项创建特殊名称的注册表键值，用户正常情况下无法读取(使用Win32 API)，但系统能够执行(使用Native API)。

《渗透技巧——"隐藏"注册表的创建》

《渗透技巧——"隐藏"注册表的更多测试》

28、快捷方式后门

替换我的电脑快捷方式启动参数 POC : https://github.com/Ridter/Pentest/blob/master/powershell/MyShell/Backdoor/LNK_backdoor.ps1

29、Logon scripts

30、Password Filter DLL

31、利用BHO实现IE浏览器劫持

Linux

crontab

每60分钟反弹一次shell给dns.wuyun.org的53端口

硬链接sshd

链接：ssh root@192.168.206.142 -p 2333

SSH Server wrapper

SSH keylogger

vim当前用户下的.bashrc文件,末尾添加

source .bashrc

Cymothoa_进程注入backdoor

rootkit

openssh_rootkit
Kbeast_rootkit
Mafix + Suterusu rootkit

Tools

Vegile
backdoor

WEB后门

PHP Meterpreter后门 Aspx Meterpreter后门 weevely webacoo …

横向渗透

端口渗透

端口扫描

1.端口的指纹信息（版本信息）
2.端口所对应运行的服务
3.常见的默认端口号
4.尝试弱口令

端口爆破

hydra

端口弱口令

NTScan
Hscan
自写脚本

端口溢出

smb

ms08067
ms17010
ms11058
…

apache ftp …

常见的默认端口

1、web类(web漏洞/敏感目录)

第三方通用组件漏洞: struts thinkphp jboss ganglia zabbix …

2、数据库类(扫描弱口令)

3、特殊服务类(未授权/命令执行类/漏洞)

4、常用端口类(扫描弱口令/端口爆破)

5、端口合计所对应的服务

域渗透

信息搜集

powerview.ps1

PowerView-2.0-tricks:

PowerView-3.0-tricks

BloodHound

获取某OU下所有机器信息

自动标记owned用户及机器

SyncDog

获取域内DNS信息

adidnsdump
域渗透——DNS记录的获取

获取域控的方法

SYSVOL

SYSVOL是指存储域公共文件服务器副本的共享文件夹，它们在域中所有的域控制器之间复制。Sysvol文件夹是安装AD时创建的，它用来存放GPO、script等信息。同时，存放在Sysvol文件夹中的信息，会复制到域中所有DC上。相关阅读:

寻找SYSVOL里的密码和攻击GPP（组策略偏好）
Windows Server 2008 R2之四管理Sysvol文件夹
SYSVOL中查找密码并利用组策略首选项
利用SYSVOL还原组策略中保存的密码

MS14-068 Kerberos

利用mimikatz将工具得到的TGT_domainuser@SERVER.COM.ccache写入内存，创建缓存证书：

SPN扫描

Kerberoast可以作为一个有效的方法从Active Directory中以普通用户的身份提取服务帐户凭据，无需向目标系统发送任何数据包。SPN是服务在使用Kerberos身份验证的网络上的唯一标识符。它由服务类，主机名和端口组成。在使用Kerberos身份验证的网络中，必须在内置计算机帐户（如NetworkService或LocalSystem）或用户帐户下为服务器注册SPN。对于内部帐户，SPN将自动进行注册。但是，如果在域用户帐户下运行服务，则必须为要使用的帐户的手动注册SPN。SPN扫描的主要好处是，SPN扫描不需要连接到网络上的每个IP来检查服务端口，SPN通过LDAP查询向域控执行服务发现，SPN查询是Kerberos的票据行为一部分，因此比较难检测SPN扫描。相关阅读 :

非扫描式的SQL Server发现
SPN扫描
扫描SQLServer的脚本

Kerberos的黄金门票

在域上抓取的哈希

Kerberos的银票务

黄金票据和白银票据的一些区别：Golden Ticket：伪造TGT，可以获取任何Kerberos服务权限银票：伪造TGS，只能访问指定的服务加密方式不同：Golden Ticket由krbtgt的hash加密 Silver Ticket由服务账号（通常为计算机账户）Hash加密认证流程不同：金票在使用的过程需要同域控通信银票在使用的过程不需要同域控通信相关阅读 :

攻击者如何使用Kerberos的银票来利用系统
域渗透——Pass The Ticket

域服务账号破解

与上面SPN扫描类似的原理 https://github.com/nidem/kerberoast 获取所有用作SPN的帐户

从Mimikatz的RAM中提取获得的门票

用rgsrepcrack破解

凭证盗窃

从搜集的密码里面找管理员的密码

NTLM relay

One API call away from Domain Admin
privexchange
Exchange2domain

用于主动让目标机器发起NTLM请求的方法：

printerbug
PetitPotam

Relay LDAP:

CVE-2019-1040-dcpwn

Relay AD CS/PKI:

AD CS/PKI template exploit

集成几个利用的工具：

Relayx

内网445端口转发：

PortBender

Kerberos委派

Wagging-the-Dog.html
s4u2pwnage
Attacking Kerberos Delegation
用打印服务获取域控
Computer Takeover
Combining NTLM Relaying and Kerberos delegation
CVE-2019-1040

地址解析协议

实在搞不定再搞ARP

Zerologon

1、利用Mimikatz check

exploit

dcsync

restore

2、利用impacket：

取目标主机名+IP
install 修改版本的impacket
Exp

获取到旧的密码明文hex，还原

恢复方法2 通过wmic, pass the hash 拿到域控制器中的本地管理员权限(域管)

然后分别执行,拷贝本机中SAM数据库到本地

提取明文hash

然后恢复。

noPac

漏洞分析：CVE-2021-42287/CVE-2021-42278 Weaponisation

Exploit：

一键利用：noPac

ADCS

利用ADCS中错误配置的模板进行域提权，详细可参考：Certified_Pre-Owned

可利用工具：

Certify
Certipy
PKINITtools
certi

CVE-2022-26923

前提：域内有ADCS Exploit:

注：此环境的ADCS与DC为同一台机器。真实环境需要根据实际情况进行参数调整。

获取AD哈希

使用VSS卷影副本
Ntdsutil中获取NTDS.DIT文件
PowerShell中提取NTDS.DIT -->Invoke-NinaCopy
使用Mimikatz提取

使用PowerShell Mimikatz
使用Mimikatz的DCSync 远程转储Active Directory凭证提取 KRBTGT用户帐户的密码数据：

管理员用户帐户提取密码数据：

NTDS.dit中提取哈希使用esedbexport恢复以后使用ntdsxtract提取

AD持久化

活动目录持久性技巧

https://adsecurity.org/?p=1929 DS恢复模式密码维护 DSRM密码同步

Windows Server 2008 需要安装KB961320补丁才支持DSRM密码同步，Windows Server 2003不支持DSRM密码同步。KB961320:https://support.microsoft.com/en-us/help/961320/a-feature-is-available-for-windows-server-2008-that-lets-you-synchroni,可参考：巧用DSRM密码同步将域控权限持久化

DCshadow

Security Support Provider

简单的理解为SSP就是一个DLL，用来实现身份认证

这样就不需要重启c:/windows/system32可看到新生成的文件kiwissp.log

SID History

SID历史记录允许另一个帐户的访问被有效地克隆到另一个帐户

AdminSDHolder＆SDProp

利用AdminSDHolder＆SDProp（重新）获取域管理权限

组策略

https://adsecurity.org/?p=2716 策略对象在持久化及横向渗透中的应用

Hook PasswordChangeNotify

http://www.vuln.cn/6812

Kerberoasting后门

域渗透-Kerberoasting

AdminSDHolder

Backdooring AdminSDHolder for Persistence

Delegation

Unconstrained Domain Persistence

黄金证书

certified-pre-owned

证书伪造：pyForgeCert

其他

域内主机提权

SharpAddDomainMachine

Exchange的利用

owa_info
Exchange2domain
CVE-2018-8581
CVE-2019-1040
CVE-2020-0688
NtlmRelayToEWS
ewsManage
CVE-2021-26855
CVE-2021-28482

TIPS

《域渗透——Dump Clear-Text Password after KB2871997 installed》

《域渗透——Hook PasswordChangeNotify》

可通过Hook PasswordChangeNotify实时记录域控管理员的新密码

《域渗透——Local Administrator Password Solution》

域渗透时要记得留意域内主机的本地管理员账号

《域渗透——利用SYSVOL还原组策略中保存的密码》

在远程系统上执行程序

At
Psexec
WMIC
Wmiexec
Smbexec
Powershell remoting
DCOM
Winrm (https://github.com/Hackplayers/evil-winrm)

IOT相关

1、路由器 routersploit
2、打印机 PRET
3、IOT exp https://www.exploitee.rs/
4、相关 OWASP-Nettacker isf icsmaster

中间人

Cain
Ettercap
Responder
MITMf
3r/MITMf)

规避杀软及检测

Bypass Applocker

UltimateAppLockerByPassList https://lolbas-project.github.io/

BypassAV

Empire
PEspin
Shellter
Ebowla
Veil
PowerShell
Python
代码注入技术Process Doppelgänging
…

痕迹清理

Windows日志清除

获取日志分类列表：

获取单个日志类别的统计信息：eg.

回显：

查看指定日志的具体内容：

删除单个日志类别的所有信息：

破坏Windows日志记录功能

利用工具

Invoke-Phant0m
Windwos-EventLog-Bypass

metasploit

3389登陆记录清除

作者：Evi1cg

原文链接：https://github.com/Ridter/Intranet_Penetration_Tips

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程 网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

在这里插入图片描述

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

3.技术文档和电子书 技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

在这里插入图片描述

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

4.工具包、面试题和源码 “工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源 ————————————————

本文地址：http://nhjcxspj.xhstdz.com/quote/63232.html 物流园资讯网 http://nhjcxspj.xhstdz.com/ , 查看更多

特别提示：本信息由相关用户自行提供，真实性未证实，仅供参考。请谨慎采用，风险自负。

0 条相关评论

相关最新动态

推荐最新动态

点击排行