Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码 Windows2012以下版本如安装KB2871997补丁，同样也会导致无法获取明文密码 针对以上情况，我们提供了4种方式解决此类问题 利用哈希hash传递(pth，ptk等)进行移动 利用其它服务协议(SMB,WMI等)进行哈希移动 利用注册表操作开启Wdigest Auth值进行获取 利用工具或第三方平台(Hachcat)进行破解获取 参考博客：https://blog.csdn.net/qq_44881113/article/details/120315448 123#注册表操作开启Wdigest Auth值reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f#重启或用户重新登录后可以成功抓取 Windows系统LM Hash及NTLM Hash加密算法，个人系统在Windows vista后，服务器系统 ...

PTH （pass the hash） 利用lm或者ntlm的值进行的渗透测试 PTT （pass the ticket） 利用的票据凭证TGT进行的渗透测试 PTK （pass the key） 利用的ekeys aes256进行的渗透测试 PTH在内网渗透中是一种很经典的攻击方式，原理就是攻击者可以直接通过LM Hash和NTLM Hash远程访问主机或者服务，而不提供明文密码。 如果禁用了ntlm认证，PsExec工具无法利用获得的ntlm hash进行远程连接，但是使用mimikatz工具还是可以攻击成功。 对于8.1/2012r2，安装补丁kb2871997的Win 7/2008r2/8/2012等，可以使用AES keys代替NT hash来实现ptk攻击。 KB2871997补丁后的影响 12345pth：没打补丁用户都可以连接，打了补丁只能administrator连接ptk：打了补丁才能用户都可以连接，采用aes256连接按照思维导图，ptk攻击其实简单一点说就是微软为了防范pth攻击进行的补救，但是又不能完全把连接这 ...

域横向移动RDP传递-Mimikatz 除了上述讲到的IPC，WMI，SMB等协议的链接外，获取到的明文密码或HASH密文也可以通过RDP协议进行链接操作。 RDP协议连接：判断对方远程桌面服务是否开启（默认：3389），端口扫描判断 1234567891011121314151617RDP明文密码链接windows: mstscmstsc.exe /console /v:192.168.70.134 /administratorlinux: rdesktop 192.168.3.21:3389 RDP密文HASH链接windows Server需要开启 Restricted Admin mode，在Windows 8.1和Windows Server 2012 R2中默认开启，同时如果Win 7 和Windows Server 2008 R2安装了2871997、2973351补丁也支持； 开启命令：REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t R ...

基本理论 DMZ 英文全名“Demilitarized Zone”，中文含义是“隔离区”，在安全领域的具体含义是“内外网防火墙之间的区域”。DMZ区是一个缓冲区，在DMZ区存放着一些公共服务器，比如论坛等 工作组 VS 域环境 工作组：地位平等，管理分散，没有集中管理。 域环境：地位不平等，管理集中，实现集中管理。 域环境也可以简单的理解为工作组的升级版，更好管理。 这里我们把域环境和工作组区分开来是因为他们的攻击手段不同，工作组中的攻击手法如DNS劫持、ARP欺骗在域环境下是没有作用的。有一些攻击手段需要一些条件，这些条件在域环境下没有，相应的攻击手段就会失效。 域控制器DC 域控DC是这个域中的管理者，域里面的最高权限，判断是否拿下整个域，就是看你是否拿下这台域控制器 AD（活动目录） 是微软所提供的目录服务（查询，身份验证），活动目录的核心包含了活动目录数据库，在活动目录数据库中包含了域中所有的对象（用户，计算机，组…），活动目录(Active Directory)是面向Windows Standard Server、Windows Ente ...

横向渗透明文传递 在拿下一台内网主机，通过本地信息搜集收集用户凭据等信息后，如何横向渗透拿下更多的主机？这里仅介绍at&schtasks命令的使用，在已知目标系统的用户明文密码的基础上，直接可在远程主机上执行命令 获取到某域主机权限-> minikatz得到密码（明文，hash）->用到信息收集里面域用户的列表当做用户名字典->用到密码明文当做字典->尝试连接->创建计划任务（at|schtasks）->执行文件可为后门或者相关命令 IPC（ Internet Process Connection）是共享“命名管道”的资管，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相关的权限，在远程管理计算机和查看计算机的共享资源时使用 利用流程 建立IPC链接到目标主机 拷贝要执行的命令脚本到目标主机 查看目标时间，创建计划任务（at,schtasks）定时执行拷贝到的脚本 删除IPC链接 12345678net use \\server\ipc$"password" /user:usernam ...

RottenPotato（烂土豆）提权的原理可以简述如下 欺骗NT AUTHORITY\SYSTEM账户通过NTLM认证到我们控制的TCP终端。 对这个认证过程使用中间人攻击（NTLM重放），为NT AUTHORITY\SYSTEM账户本地协商一个安全令牌。这个过程是通过一系列的Windows API调用实现的。 模仿这个令牌。只有具有“模仿安全令牌权限”的账户才能去模仿别人的令牌。一般大多数的服务型账户（IIS、MSSQL等）有这个权限，大多数用户级的账户没有这个权限。 所以，一般从web拿到的webshell都是IIS服务器权限，是具有这个模仿权限的。测试过程中，我发现使用已经建好的账户（就是上面说的用户级账户）去反弹meterpreter然后再去执行EXP的时候会失败，但使用菜刀（IIS服务器权限）反弹meterpreter就会成功。即非服务类用户权限无法窃取成功。 123451、所以我们控制HTTP流量大概都流经我们控制的HTTP服务器，做中介人攻击。2、可以诱导系统高权用户执行一些操作，例如将它们重定向到需要NTLM身份验证的地方。所有NTLM凭据都将中继到本地 ...

linux提权自动化脚本利用-4个脚本12345678910111213141516171819信息收集：LinEnumhttps://github.com/rebootuser/LinEnumhttps://blog.1997sty.com/cos/uploads/20220511/18da4eb277be073ce41ea2ad9dd8dde0.zip ---> LinEnum-master.ziplinuxprivcheckerhttps://github.com/sleventyeleven/linuxprivcheckerhttps://blog.1997sty.com/cos/uploads/20220511/e77ae6dc869fe7f05fc67e05e5dda314.zip ---> linuxprivchecker-master.zip两个漏洞探针linux-exploit-suggesterhttps://github.com/mzet-/linux-exploit-suggesterhttps://blog.1997sty.com/c ...

linux提权本地环境变量安全1234567#include<unistd.h>void main(){ setuid(0); setgid(0); system("ps");} 什么是shell，就是类似于上一篇的交互式窗口，那么环境变量又是什么？比如说你在linux中输入ls，那么就是显示当前路径下的文件，那么这个ls是怎么做到的？ls也是通过代码写出来的，放在一个指定的路径下，那么这个目录下的特定文件在和一个特定命令进行绑定，打个比方/bin/xxx/ls ，当我在执行ls的时候，就执行/bin/xxx/ls这个文件中的代码，从而实现查看当前目录下文件的作用 执行命令 12345678cd /tmpgcc demo.c -o shellcp /bin/sh /tmp/psexport PATH=/tmp:$PATH./pschmod u+s shell./shellid 执行命令 12345678cd /tmpgcc demo.c -o ...

在利用系统溢出漏洞无果的情况下，可以采用数据库进行提权，但需要知道数据库提权的前提条件：服务器开启数据库服务及获取到最高权限用户密码。除 Access 数据库外，其他数据库基本都存在数据库提权的可能。 数据库应用提权在权限提升中的意义 WEB 或本地环境如何探针数据库应用(只需要数据库的密码) 数据库提权权限用户密码收集等方法（配置文件、存储文件、暴力猜解、其它方式） 目前数据库提权对应的技术及方法等（MySQL，Mssql） Mysql 数据库提权演示-脚本&MSF 端口服务探针 namp探测主机操作系统、端口服务，版本信息 1nmap -sV -O 192.168.50.58 这里除开使用nmap进行端口探测还可以使用其他的端口扫描工具进行检测，或者你上传的一个大马或者小马可能都有这个端口探测的功能 ＭＹＤ对应的表内的内容（存储数据的地方） 在mysql的data目录下存放着各个网站的数据，里面可能会有密码 1select * from mysql.user; 这里的环境是建立（个人理解）你用sql注入了一个网站，然后你只有一个mysql的命令行 ...