简介http隧道是通过上传特定脚本到网站目录进行解析，配合本地工具即可搭建隧道的方式，这种方式同样可以直达内网，这种方式复用了网站的端口，无需再开新的端口和担忧防火墙规则对流量的拦截，下面将介绍几个常见的http隧道工具。个人的工具箱有一段时间没更新了，但是所有工具的用法其实也大同小异，想要新工具可以去github搜索一下，很多的。冰蝎冰蝎是一种webshell管理工具，但是他上传的shell同样可以进行流量的代理，实现部分对内网的流量转发功能。看面板的话新版本的冰蝎比之前的功能更加强大了首先我们

简介本片文章主要介绍如何使用DNS隧道对内网进行穿透，搭建隧道，使得外网机器可以直接访问内网主机，DNS隧道也是比较常见的搭建隧道的方式。DNS基础DNS简介DNS协议主要就是用来在你访问主机域名的时候查询对应的IP地址并返回给你的协议，计算机是根据IP地址和MAC地址来进行通信的。通过DNS可以将域名（方便记忆）自动转换成IP地址来进行通信，这就是DNS的作用。查询域名对应的IP地址只是DNS可以查询的记录的一种，常见的可查询记录类型如下类型内容A域名的IPv4 记录

ICMP 隧道原理icmp报文中除了必须要有的类型、校验和等等还可以携带一定长度的可选数据，这也就是我们可以用来搭建隧道的原因，不过每次报文携带得的字节不会很多，所以有点慢。icmpshicmpsh是一款使用简单，而且不需要管理员权限即可运行的程序，可以较为简答的搭建隧道并同时获得目标shell攻击机是kali, IP地址：192.168.220.129下载icmpsh 到本地git clone https://github.com/inquisb/icmpsh.git #下载工具apt-

实现端口转发客户端配置 frpc.ini[common]server_addr = 192.168.74.140 //你的vpsserver_port = 7000 //你在vps 上的 frps.ini 上面设置的端口[rdp] //只是个名称type = tcp //端口类型local_ip = 127.0.0.1 //要转发那一台设备的地址，可以填写同网段的其他设备local_p

简介Window 令牌是windows访问控制模型中的重要组成部分，主要用来对线程操作安全对象时对身份权限进行识别，获得了令牌，就可以在不提供密码或其他凭证的情况下访问网络和系统资源。这些令牌将持续存在于系统中 (除非系统重新启动)。令牌的最大特点是随机性和不可预测性，一般的攻击者或软件都无法将令牌猜测出来。令牌一般分为以下几种：访问令牌 (Access Token) 代表访问控制操作主体的系统对象。(本文主要讲 Windows 的 AccessToken)密保令牌 (Security Token

简介本篇文章主要是关于msf框架的实战内容，主要是关于代理，中继的内容的网络拓扑图如下根据网络拓扑，目标公司公网上暴露着一台服务器，然后内部还有两台服务器，但是不能出网，也无法直接访问到，防火墙对于进站规则限制严格，仅允许访问80，443端口，对于A服务器的出站不做限制。以下的实验是基于这种前提：我们已经拿下了服务器的权限，并且成功反弹shell的情况下，将实验msf在以下三种跨网段的使用添加路由端口转发反向代理添加路由 ，适用于初始的跨网段代理端口转发，适用于访问特定目标的代理反

简介远程连接时，会将远程服务器的用户名和密码保存在本地的，所有可以通过解析相关文件，解密出相关凭证本地获取使用以下命令就可以查看本地保存的凭证，每个文件都是对应的一个远程连接的密码dir /a %userprofile%\AppData\Local\Microsoft\Credentials\mimikatz使用以下命令privilege::debugdpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Crede

本文主要讲述如何将各种木马下载到目标机器，然后进行执行，以便进行下一步的执行。寻找目录下载木马到目标主机，首先对应文件夹要有写权限吧，那你想执行得有执行权限吧，所以icacls directory /t：检查目录地下子目录以及档案的权限具体可以参考https://dotblogs.com.tw/ghoseliang/2013/03/04/95113vbs下载木马VBS是基于Visual Basic的脚本语言。VBS的全称是：Microsoft Visual Basic Script E.

域传送是指后备服务器从主服务器拷贝数据，并用得到的数据更新自身数据库。如果配置不当，可能导致匿名用户获取某个域的所有记录，造成整个网络的拓扑结构泄露给潜在攻击者。nslookup最常用的DNS记录A记录 IP地址记录,记录一个域名对应的IP地址AAAA记录 IPv6 地址记录，记录一个域名对应的IPv6地址CNAME记录 别名记录，记录一个主机的别名MX记录 电子邮件交换记录，记录一个邮件域名对应的IP地址，比如[email protected]，后面的部分qq.com，邮.

提权的概念提高自己在服务器中的权限，主要针对网站入侵过程中，当入侵某一网站时，通过各种漏洞提升WEBSHELL权限以夺得该服务器权限。----百度百科，当然这里单指WEBshell格局小了。拿下shell之后，首先要苟住对机器进行基本信息收集之后再进行提权，要注意主机是否安装主机安全设备、杀软等安全软件，防止被管理员发现告警信息，导致好不容易获取到的shell丢失。Windows 提权系统漏洞提权系统漏洞提权，这种方式适用于Windows、Linux系统，针对系统存在漏洞又没有打补丁的情况进行

简介Windows Management Instrumentation (WMI) 是在基于 Windows 的操作系统上管理数据和操作的基础结构。您可以编写 WMI 脚本或应用程序来自动执行远程计算机上的管理任务，而且WMI 还向操作系统和产品的其他部分提供管理数据，例如 System Center Operations Manager（以前称为 Microsoft Operations Manager (MOM)）或 Windows远程管理 ( WinRM )。–微软官方文档WMI可以描述为一

简介Windows 远程管理 (WinRM) 是 WS-Management协议(很多文章写做WSMAN)的 Microsoft 实现。该协议是基于简单对象访问协议 (SOAP) 的、防火墙友好的标准协议，使来自不同供应商的硬件和操作系统能够互操作。此WS-Management协议规范为系统提供了一种跨 IT 基础结构访问和交换管理信息的常用方法。 WinRM 和智能平台管理 接口 (IPMI) ，以及事件收集器是 Windows 硬件管理功能的组件。WinRM早期版本监听的是80和443端口，win

简介渗透测试过程中可能会、IPC链接进行横向传递，IPC$(Internet Process Connection)是共享”命名管道”的资源，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。IPC操作建立ipc链接net use \\IP\IPC$ 密码 /user:用户名net use \\192.168.220.160\IPC$ !@#QAZwsx123 /user:administrator在域中使用IPC的

powershell简介Windows PowerShell是一种命令行外壳程序和脚本环境，它内置在Windows7及其以上的系统中，使命令行用户和脚本编写者可以利用.NET Framework的强大功能。PowerShell无须写到磁盘中，它可以直接在内存中运行，现在我们讨论的多数都时V2版本的powershell,因为V1的功能对我们来说把不够用，后续版本均向前兼容，所以使用v2即可。Powershell 基础语法变量通常以$开头，强类型，但是大小写不敏感创建数组$array = 1,2,3,

概述在做内网渗透时，并不是说获取了shell就拥有权限了，这个时候我们要进行提权等操作，但实际上实际情况是很复杂的，有时候并不能提权成功，比如无法搞定杀软等情况，这个时候我们想要访问到内网的其他机器（不与外网相通的），这时候我们可以选择上传工具到服务器进行操作或者将我们的攻击流量代理到内网中才能进一步的对内网进行渗透，但是第一种方式是及其麻烦而且会改变服务器的环境的，所以不推荐。那么就将流量代理到内网中。代理方式代理可以分为正向代理和反向代理两种，对于正向代理，最容易理解了，就是大家常用的vps、vp

在 WinXP/2003/Vista/2008 ，以及未打 KB2871997 补丁之前（AES 不可用或不可替代）的 Win7/2008r2/8/2012 中强制使用 NTLM 哈希，AES 密钥只有在 8.1/2012r2 和打了 kb2871997 补丁的 7/2008r2/8/2012 中才可以替换，在这种情况下，你可以避免使用 NTLM 哈希。上面的句子怎么理解？1、WinXP/2003/Vista/2008 ，以及未打 KB2871997 补丁之前（AES 不可用或不可替代）的 Win7/2

本文主要讲述如何使用msf 进行hash 传递以及遇到的一些问题

简诉这篇文章是对Linux 应急响应文章的补充，计划任务、开机自启项计划任务crontabcrontab 命令 可以创建周期性执行的计划任务，涉及多个文件，在上篇文章中有提过，这里也再简单提一下下面这几个跟crontab 相关/var/spool/cron/ #记录了每个用户的计划任务，已用户名命名/etc/crontab #系统级配置文件其中/etc/crontab 文件中还有基础的配置说明，在这个文件夹下的/var/spool/cron/，应该不用写用户名这项贴几个网上的

本文主要是对开机自启的目录、注册表项、服务以及计划任务实现权限维持的总结

映像劫持说白了还是利用了windows的一些特性，当你点击可执行文件进行执行时，系统并不会直接就对可执行文件进行执行，而是首先对注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options，这个路径下面如果存在和该程序名称完全相同的子键，就查询对应子健中包含的“Dubugger”键值名，并用其指定的程序路径来代替原始的程序，之后执行的是遭到“劫持”的虚假程序。比较常用的是.

获得用户权限后有多种维持权限的方法，本文介绍其中一种–隐藏并克隆账号，下面直接上干活，进行操作创建一个用户名末尾有$符号的账号。这时net user 就无法发现该账号这时候通过win +r 键，执行lusrmgr.msc 还是可以看到该用户的。wmic useraccount get name,SID 命令也可以查看出。HKEY_LOCAL_MACHINE\SAM\SAM\ ，默认system 才能修改，改成完全控制。导出这三个，当然上面那串数字的要对应administrator和.

概述渗透测试过程中对于windows 系统中的密码获取是十分重要的一步，获取密码后我们可以对内网中其他机器进行撞库，快速、批量拿下其他服务器权限。windows密码获取方法最主流的获取windows 密码的方法最主流的方法有三种，mimikatz 直接执行获取；procdump + mimikatz 进行获取；读取注册表进行获取 + mimikatz 解密进行获取。使用这三种方式的前提是必须在管理员的权限下进行执行命令，不然执行会失败。mimikatz直接获取直接将mimikatz 上传到

简述在通过各种方式拿到系统的shell之后，首先我们要苟住，现在稍微成规模的企业一般都开始注重安全，获取到shell的服务器上面极大可能安装着杀毒软件、主机安全agent等东西，不可妄动啊，万一引起管理员注意，好不容易拿下的权限可能就要丢失了；而且进行内网扫描之类的会被内网流量检测之类的设备发现，所以我们首先进行一波信息收集。看很多大佬都说内网渗透的本质是信息收集。很多东西不能只知道有这么回事，连目的都不晓得真是没有深入进行学习。目前笔者的实力还是很有欠缺的，只能尽量的根据先行者的脚步进行学习，并根

委派的原理委派的定义：先知社区某篇文章中，对委派的的定义是：域委派是指将域内用户的权限委派给服务账号，使得服务账号能以用户的权限在域内展开活动。另一种说法：在域中如果出现A使用Kerberos身份验证访问域中的服务B，而B再利用A的身份去请求域中的服务C，这个过程就可以理解为委派。仁者见仁、智者见智，这两种说法本质都是一样的。需要注意的一点是接受委派的用户只能是服务账户或者计算机用户,在Windows系统中，普通用户的属性中没有委派（Delegation）这个选项卡，只有服务账号、主机账号才有，也就是

简述在TGS_REQ & TGS_REP阶段，用户通过AS_REP拿到的TGT票据，去向KDC申请特定服务的访问权限，KDC校验TGT票据，如果校验通过的话，会向用户发送一个TGS票据，之后用户再拿着TGS去访问特定的服务。TGS_REQTGS_REQ这个阶段不需要账号密码，需要AS_REP获取到的TGT凭据,进行本阶段的访问认证。发送TGS-REQ请求，获取针对某个服务主体（service principal）的服务票据（TGS）。服务主体由SPN（service principal

kerberos协议简述Kerberos是一种由MIT（麻省理工大学）提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。在Kerberos协议中主要是有三个角色的存在：Client 客户端Server 服务端，提供需要的服务。KDC（Key Distribution Center）密钥分发中心其中KDC服务默认会安装在一个域的域控中，而Client和Server为域内的用户或者是服务，如HTTP服务，SQL服务。在Kerberos中Client

简述kerberos 的第一步请求与KDC的返回报文一共关注与两个问题，第一是验证“你是你”，既验证访问客户端的身份，证明你是你，第二个则是提供下一步请求的凭证。AS_REQ用户向KDC发起AS_REQ,请求凭据是用户 hash加密的时间戳。请求凭据放在PA_DATA里面。详情见以下每个字段的详细介绍[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cMHUQQ38-1618106536162)(9AF2DB007AAD4C98A9AE0DE4BA9BEDF8)]同

域内用户查询当我们拥有一个域用户权限的账号的，可以通过以下两种方式对域内用户进行枚举通过SAMR 协议查询LDAP 查询SAMR并不是一种协议，而是一个RPC（想知道这个是啥玩意的人儿已经去百度了，说实话我也不太清楚）接口，我们平时使用的net user /domain就是使用samr 进行查询的。域用户存储于活动目录数据库里面，对其他用户可见。可以通过Ldap 去查询。过滤语法如下(&(objectCategory=person)(objectClass=user))机器用

Windows域基础工作组与域无论是域还是工作组，其目的均是对计算机网络进行管理，实现更清晰的组织架构以及较未便利的资源管理。工作组适用于企业网络较小的情况中，计算机接入网络后，均默认处于WORKGROUP的工作组中，打开网络邻居会显示所有接入网络的计算机，可以加入不同的组使得看起来网络结构较未清晰，工作组是一群计算机的合集，它仅仅是一个逻辑的集合，每台计算机之间的关系的对等的，不存在谁管理谁的关系，各自为政，同时每台计算机可以自主的加入和推出相关的工作组，不受约束。域是一个有安全边界的计算机集合，域

组在域内，我们无时无刻不在跟组打交道，比如我们熟悉的域管，就是一个组。按照用途来分，组分为通讯组和安全组。对于通讯组，我们接触的比较多的就是邮件组，将若干个人划分到一个通讯组，给这个通讯组发件，那组内用户都能收到。但是通讯组不能控制对资源的访问，我们并不是很在意。这篇文章侧重介绍安全组。安全组是权限的集合。举个例子，运维需要对公司的网络进行管理，需要一些特殊的管理权限，我们就可以设置个组，对组配置权限。然后将运维拉近组里面，组里面的运维就拥有了该权限。安全组可以根据作用范围划分为。全局组通用组域

前言笔者最近打算系统的学习以下内网渗透以及域渗透的一些知识，一方面对之前学习过的知识进行梳理，另一方面则对未曾进行深入了解的知识进行学习，本系列大概率会首先对计算机域内的一些基础概念，知识进行总结，然后对内网渗透、域渗透技术进行总结。LDAP与AD简介LDAP 全程为Lightweight Directory Access Protocol，轻量目录访问协议。顾名思义，LDAP这个协议是设计出来访问目录这个东西的。不过这种说法并不准确，应当说是设计出来访问目录数据库的。在计算机域中，目录服务数据库存