Oct192021
74:应急响应-win&linux分析后门&勒索病毒&攻击
操作系统(windows,linux)应急响应:
1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等)
2.常见分析:计算机账户,端口,进程,网络,启动,服务,任务,文件等安全问题
常见日志类别及存储:
Windows,Linux
补充资料:
https://xz.aliyun.com/t/485 应急响应大合集
https://www.secpulse.com/archives/114019.html 最全Windows...阅读全文
作者:绝缘体.. | 分类:git, go, windows, 云服务商, 开发工具, 操作系统, 科技企业, 编程语言, 腾讯, 阿里云 | 阅读: | 标签:git, go, windows, 腾讯, 阿里云
抢沙发
Oct112021
72:内网安全-域横向CS&MSF联动及应急响应初识
思维导图1-权限维持
时间原因,权限维持内容本课不再讲解,后期有时间的话会补充。而且权限维持属于渗透后期的知识,关键还是前面的内容,多实践,多总结。
思维导图2-应急响应
本课重点:
案例1:MSF&CobaltStrike联动Shell
案例2:WEB攻击应急响应朔源-后门,日志
案例3:WIN系统攻击应急响应朔源-后门,日志,流量
案例1:MSF&CobaltStrike联动Shell
为什么要进行联动?因为...阅读全文
Oct112021
71:内网安全-域横向网络&传输&应用层隧道技术
思维导图
必备知识点:
1.代理和隧道技术区别?
代理只是为了解决网络通信问题,有些内网访问不到,可以用代理实现
隧道不仅是解决网络的通信问题,更大的作用是绕过过滤,突破防火墙/入侵检测系统。
2.隧道技术为了解决什么?
防火墙过滤问题、网络连接通信问题、数据回链封装问题
在数据通信被拦截的情况下,可以利用隧道技术封装改变通信协议进行绕过拦截。比如CS、MSF无法上线,数据...阅读全文
Oct112021
70:内网安全-域横向内网漫游Socks代理隧道技术
思维导图
必要基础知识点:
1.内外网简单知识
内网ip地址是私有ip地址(10/8, 172.16/12 , 192.168/16),除此之外就是外网ip。
2.内网1和内网2通信问题
两个不同的内网的主机想要通过CS或者MSF等工具实现控制或者通讯是不可能的,必须要借助代理。
3.正反向协议通信连接问题
正向:控制端主动去连接被控端
反向:被控端主动去连接控制端
为什么要区分正向和反向?–因为如果控...阅读全文
Oct112021
69:内网安全-域横向CobaltStrike&SPN&RDP
思维导图
本课重点:
案例1:域横向移动RDP传递-Mimikatz
案例2:域横向移动SPN服务-探针,请求,导出,破解,重写
案例3:域横向移动测试流程一把梭哈-CobaltStrike初体验
案例1-域横向移动RDP传递-Mimikatz
除了上述讲到的IPC,WMI,SMB等协议的链接外,获取到的明文密码或HASH密文也可以通过RDP协议进行链接操作。
RDP协议连接:判断对方远程桌面服务是否开启(默认:3389),端口扫描判...阅读全文
Oct112021
68:内网安全-域横向PTH&PTK&PTT哈希票据传递
思维导图
知识点:
PTH (pass the hash) 利用lm或者ntlm的值进行的渗透测试
PTT (pass the ticket) 利用的票据凭证TGT进行的渗透测试
PTK (pass the key) 利用的ekeys aes256进行的渗透测试
PTH在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash远程访问主机或者服务,而不提供明文密码。
如果禁用了ntlm认证,PsExec工具无法利用获得的ntlm ha...阅读全文
Oct112021
67:内网安全-域横向smb&wmi明文或hash传递
思维导图
知识点1:
Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码
Windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码
针对以上情况,我们提供了4种方式解决此类问题
1.利用哈希hash传递(pth,ptk等)进行移动
2.利用其它服务协议(SMB,WMI等)进行哈希移动
3.利用注册表操作开启Wdigest Auth值进行获取
4.利用工具或第三方平台(Hachcat)...阅读全文
Oct112021
66:内网安全-域横向批量at&schtasks&impacket
思维导图
本课重点
案例1:横向渗透明文传递
案例2:横向渗透明文HASH传递atexec-impacket
案例3:横向渗透明文HASH传递批量利用-综合
案例4:横向渗透明文HASH传递批量利用-升级版
环境准备
2008 r2 webserver 域内web服务器
本地管理员账号密码: .\administraotr:admin!@#45
当前机器域用户密码: god\webadmin:admin!@#45
2003 x86 fileserver 域内文件服务器
本地管理员账号密码...阅读全文
Oct112021
65:内网安全-域环境&工作组&局域网探针方案
思维导图
一 基本认知
DMZ:
英文全名“Demilitarized Zone”,中文含义是“隔离区”,在安全领域的具体含义是“内外网防火墙之间的区域”。DMZ区是一个缓冲区,在DMZ区存放着一些公共服务器,比如论坛等。
工作组 VS 域环境
工作组:地位平等,管理分散,没有集中管理。
域环境:地位不平等,管理集中,实现集中管理。
域环境也可以简单的理解为工作组的升级版,更好管理。
这里我们把域环...阅读全文
Oct082021
Windows11恢复传统右键菜单
一、cmd修改注册表(推荐)
Win11切换经典右键菜单:
reg add "HKCU\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32" /f /ve
taskkill /f /im explorer.exe & start explorer.exe
Win11恢复回新右键菜单:
reg delete "HKCU\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}" /f
taskkill /f /im explorer.exe & start explorer.e...阅读全文