Teams Six
【内网学习笔记】19、IPC 与计划任务 【内网学习笔记】19、IPC 与计划任务
0、前言在多层代理的环境中,由于网络限制,通常采用命令行的方式连接主机,这里学习下 IPC 建立会话与配置计划任务的相关点。 1、IPCIPC (Internet Process Connection) 是为了实现进程间通信而开放的命名管道
【内网学习笔记】18、LLMNR 和 NetBIOS 欺骗攻击 【内网学习笔记】18、LLMNR 和 NetBIOS 欺骗攻击
0、前言如果已经进入目标网络,但是没有获得凭证,可以使用 LLMNR 和 NetBIOS 欺骗攻击对目标进行无凭证条件下的权限获取。 1、基本概念LLMNR本地链路多播名称解析(LLMNR)是一种域名系统数据包格式,当局域网中的 DNS 服
【内网学习笔记】17、令牌窃取 【内网学习笔记】17、令牌窃取
0、前言令牌(Token)是指系统中的临时秘钥,相当于账户和密码,有了令牌就可以在不知道密码的情况下访问目标相关资源了,这些令牌将持续存在于系统中,除非系统重新启动。 1、MSF在获取到 Meterpreter Shell 后,使用以下命令
【内网学习笔记】16、组策略凭据获取 【内网学习笔记】16、组策略凭据获取
0、前言SYSVOL 是活动目录里的一个用于存储域公共文件服务器副本的共享文件夹,在域中的所有域控之间进行复制,SYSVOL 在所有经过身份验证的域用户或者域信任用户具有读权限的活动目录域范围内共享,所有的域策略均存放在 C:\Window
【内网学习笔记】浅谈几个 Windows 错误配置利用的方法 【内网学习笔记】浅谈几个 Windows 错误配置利用的方法
0x00 前言Windows 系统的错误配置主要可以用来进行提权操作,比如可信任服务路径漏洞、计划任务程序以高权限运行、注册表键 AlwaysInstallElevated 等。 Windows 系统的错误配置除了用来进行提权,还可以用来寻
【内网学习笔记】15、系统服务权限配置不当利用 【内网学习笔记】15、系统服务权限配置不当利用
PowerUpPowerUp 可以用来寻找目标中权限配置不当的服务,下载地址:https://github.com/PowerShellEmpire/PowerTools/blob/master/PowerUp/PowerUp.ps1 在
【内网学习笔记】14、发现主机缺失补丁 【内网学习笔记】14、发现主机缺失补丁
0、前言在内网中,往往所有主机打补丁的情况都是相似的,因此在拿下一台主机权限后,可以通过查看当前主机打补丁的情况,从而找到漏洞利用点,进而进行接下来的横向、提权等操作。 1、手工发现缺失补丁systeminfo直接运行 systeminfo
【内网学习笔记】13、内网中绕过无法上传文件限制 【内网学习笔记】13、内网中绕过无法上传文件限制
1、前言有次发现这样的一个情况,目标云桌面不出网且不允许上传文件但是可以复制文本,于是便想着通过 PowerShell 将 exe 程序编码成 base64 文本,将编码后的内容复制到目标主机后,再进行解码,这里记录下方法。 2、Power
【内网学习笔记】两种突破内网中无法上传大文件的方法 【内网学习笔记】两种突破内网中无法上传大文件的方法
0x00 前言在内网中,有时偶尔会因为种种限制,导致无法上传大文件,以至于只能上传小文件。 在前段时间就碰到了这个问题,当时在拿下目标 shell 后发现只能上传几百 K 的小文件,文件稍微大些比如几 M 的文件就会提示上传失败,在此简单记
【内网学习笔记】12、nps 的使用 【内网学习笔记】12、nps 的使用
1、介绍nps 项目地址:https://github.com/ehang-io/nps 也是一款还在更新的内网穿透工具,相较于 frp,nps 的 web 管理就要强大很多了。 nps 和 frp 一样功能都很多,这里就主要记录下平时经常
【内网学习笔记】11、frp 的使用 【内网学习笔记】11、frp 的使用
1、介绍相较于前一篇文章介绍的 ew 的年代久远,frp 就好的多了,基本上隔几天就会发布新的版本,最新的一版更新还就在几天前。 在实战中,大家较多使用的也是 frp,frp 项目地址:https://github.com/fatedier
【内网学习笔记】10、ew 的使用 【内网学习笔记】10、ew 的使用
1、Socks 代理工具介绍Socks 代理可以理解成升级版的 lcx,关于 lcx 的用法可以看我之前的文章: https://teamssix.com/year/210528-130449.html 但是 lcx 毕竟年代久远,现在的杀
【内网学习笔记】9、iodine 使用 【内网学习笔记】9、iodine 使用
1、介绍iodine 这个名字起的很有意思,iodine 翻译过来就是碘,碘的原子序数为 53,53 也就是 DNS 服务对应的端口号。 iodine 和 dnscat2 一样,适合于其他请求方式被限制以至于只能发送 DNS 请求的环境中
【内网学习笔记】dnscat2 使用 【内网学习笔记】dnscat2 使用
0x00 介绍dnscat2 是一款 C2 工具,与常规 C2 工具不同的是它利用了 DNS 协议来创建加密的 C2 通道。 dnacat2 的客户端由 C 语言编写,服务端由 Ruby 语言编写,在攻击主机上开启服务端后,客户端放到目标主
【内网学习笔记】SSH 隧道使用学习 【内网学习笔记】SSH 隧道使用学习
0x00 前言SSH 全称 Secure Shell,从它的名字来看这个协议就比较安全。SSH 协议是一种应用层协议,支持几乎所有 UNIX、Linux 平台。 得益于 SSH 协议在传输过程中都是加密,所以在流量层面也较难区分合法的 SS
【内网学习笔记】8、powercat 的使用 【内网学习笔记】8、powercat 的使用
1、下载安装 powercatpowercat 可以视为 nc 的 powershell 版本,因此也可以和 nc 进行连接。 powercat 可在 github 进行下载,项目地址为:https://github.com/besimor
【内网学习笔记】7、lcx、netcat和socat的使用 【内网学习笔记】7、lcx、netcat和socat的使用
1、lcx 使用lcx 分为 Windows 版和 Linux 版,Linux 版叫 portmap Windows 内网端口转发 内网失陷主机 lcx.exe -slave rhost rport lhost lport 公网代理主机
【内网学习笔记】6、ICMP隧道工具使用 【内网学习笔记】6、ICMP隧道工具使用
1、介绍在内网中,如果攻击者使用 HTTP、DNS 等应用层隧道都失败了,那么或许可以试试网络层的 ICMP 隧道,ICMP 协议最常见的场景就是使用 ping 命令,而且一般防火墙都不会禁止 ping 数据包。 因此我们便可以将 TCP/
1 / 2