【内网学习笔记】浅谈几个 Windows 错误配置利用的方法 0x00 前言Windows 系统的错误配置主要可以用来进行提权操作,比如可信任服务路径漏洞、计划任务程序以高权限运行、注册表键 AlwaysInstallElevated 等。 Windows 系统的错误配置除了用来进行提权,还可以用来寻 2021-07-28 内网学习笔记 红队 学习笔记 内网 【内网学习笔记】15、系统服务权限配置不当利用 PowerUpPowerUp 可以用来寻找目标中权限配置不当的服务,下载地址:https://github.com/PowerShellEmpire/PowerTools/blob/master/PowerUp/PowerUp.ps1 在 2021-07-22 内网学习笔记 红队 学习笔记 内网 【内网学习笔记】14、发现主机缺失补丁 0、前言在内网中,往往所有主机打补丁的情况都是相似的,因此在拿下一台主机权限后,可以通过查看当前主机打补丁的情况,从而找到漏洞利用点,进而进行接下来的横向、提权等操作。 1、手工发现缺失补丁systeminfo直接运行 systeminfo 2021-07-06 内网学习笔记 红队 学习笔记 内网 【内网学习笔记】13、内网中绕过无法上传文件限制 1、前言有次发现这样的一个情况,目标云桌面不出网且不允许上传文件但是可以复制文本,于是便想着通过 PowerShell 将 exe 程序编码成 base64 文本,将编码后的内容复制到目标主机后,再进行解码,这里记录下方法。 2、Power 2021-07-01 内网学习笔记 红队 学习笔记 内网 【内网学习笔记】两种突破内网中无法上传大文件的方法 0x00 前言在内网中,有时偶尔会因为种种限制,导致无法上传大文件,以至于只能上传小文件。 在前段时间就碰到了这个问题,当时在拿下目标 shell 后发现只能上传几百 K 的小文件,文件稍微大些比如几 M 的文件就会提示上传失败,在此简单记 2021-06-30 内网学习笔记 红队 学习笔记 内网 【内网学习笔记】12、nps 的使用 1、介绍nps 项目地址:https://github.com/ehang-io/nps 也是一款还在更新的内网穿透工具,相较于 frp,nps 的 web 管理就要强大很多了。 nps 和 frp 一样功能都很多,这里就主要记录下平时经常 2021-06-12 内网学习笔记 红队 学习笔记 内网 【内网学习笔记】11、frp 的使用 1、介绍相较于前一篇文章介绍的 ew 的年代久远,frp 就好的多了,基本上隔几天就会发布新的版本,最新的一版更新还就在几天前。 在实战中,大家较多使用的也是 frp,frp 项目地址:https://github.com/fatedier 2021-06-11 内网学习笔记 红队 学习笔记 内网 【内网学习笔记】10、ew 的使用 1、Socks 代理工具介绍Socks 代理可以理解成升级版的 lcx,关于 lcx 的用法可以看我之前的文章: https://teamssix.com/year/210528-130449.html 但是 lcx 毕竟年代久远,现在的杀 2021-06-10 内网学习笔记 红队 学习笔记 内网 【内网学习笔记】9、iodine 使用 1、介绍iodine 这个名字起的很有意思,iodine 翻译过来就是碘,碘的原子序数为 53,53 也就是 DNS 服务对应的端口号。 iodine 和 dnscat2 一样,适合于其他请求方式被限制以至于只能发送 DNS 请求的环境中 2021-06-08 内网学习笔记 红队 学习笔记 内网 【内网学习笔记】dnscat2 使用 0x00 介绍dnscat2 是一款 C2 工具,与常规 C2 工具不同的是它利用了 DNS 协议来创建加密的 C2 通道。 dnacat2 的客户端由 C 语言编写,服务端由 Ruby 语言编写,在攻击主机上开启服务端后,客户端放到目标主 2021-06-08 内网学习笔记 红队 学习笔记 内网 【内网学习笔记】SSH 隧道使用学习 0x00 前言SSH 全称 Secure Shell,从它的名字来看这个协议就比较安全。SSH 协议是一种应用层协议,支持几乎所有 UNIX、Linux 平台。 得益于 SSH 协议在传输过程中都是加密,所以在流量层面也较难区分合法的 SS 2021-06-04 内网学习笔记 红队 学习笔记 内网 【内网学习笔记】8、powercat 的使用 1、下载安装 powercatpowercat 可以视为 nc 的 powershell 版本,因此也可以和 nc 进行连接。 powercat 可在 github 进行下载,项目地址为:https://github.com/besimor 2021-06-01 内网学习笔记 红队 学习笔记 内网 【内网学习笔记】7、lcx、netcat和socat的使用 1、lcx 使用lcx 分为 Windows 版和 Linux 版,Linux 版叫 portmap Windows 内网端口转发 内网失陷主机 lcx.exe -slave rhost rport lhost lport 公网代理主机 2021-05-28 内网学习笔记 红队 学习笔记 内网 【内网学习笔记】6、ICMP隧道工具使用 1、介绍在内网中,如果攻击者使用 HTTP、DNS 等应用层隧道都失败了,那么或许可以试试网络层的 ICMP 隧道,ICMP 协议最常见的场景就是使用 ping 命令,而且一般防火墙都不会禁止 ping 数据包。 因此我们便可以将 TCP/ 2021-04-07 内网学习笔记 红队 学习笔记 内网 【内网学习笔记】域内主机端口探测的一些方法总结 注:本文中的工具均来源自互联网,后门自查。 在进入目标域后,对域内存活主机进行端口探测是经常要做的一步,在此记录一些常见的方法。 1、Telnet如果想探测某台主机的某个端口是否开放,直接使用 telnet 命令是最方便的。 C:\Us 2021-03-17 内网学习笔记 红队 学习笔记 内网 【内网学习笔记】5、BloodHound 的使用 1、介绍BloodHound 使用可视化图形显示域环境中的关系,攻击者可以使用 BloodHound 识别高度复杂的攻击路径,防御者可以使用 BloodHound 来识别和防御那些相同的攻击路径。蓝队和红队都可以使用 BloodHound 2021-02-26 内网学习笔记 红队 学习笔记 内网 【内网学习笔记】域内主机存活探测的一些方法总结 注:本文中的工具均来源自互联网,后门自查。 在进入目标域后,对域内主机进行存活探测是不可或缺的一步,在此记录一下亿些常见的方法。 1、ping使用 ping 进行检测的优点是不容易触发检测规则,缺点是速度较慢,如果目标开启了禁止 pin 2021-02-24 内网学习笔记 红队 学习笔记 内网 【内网学习笔记】4、域内信息收集 1、判断是否存在域ipconfig查看网关 IP 地址、DNS 的 IP 地址、域名、本机是否和 DNS 服务器处于同一网段。 ipconfig /all C:\Users\daniel10> ipconfig & 2021-02-24 内网学习笔记 红队 学习笔记 内网