🎐清风.

备份 host 文件，将目标解析记录添加到 host 文件中 nmap 做全端口扫描 获取端口信息 web 层面下手，做信息收集，获取各中间件信息 搜集中间件漏洞，尝试进行复现。 通过插件进行 sql 注入，得到管理员的哈希密码 解密哈希密码，得到明文 在 seclists 中找到 wordpress 的 webshell，进行修改，上传后拿到 shell 使用 msfvenom 生成 elf 格式的马 python 起一个 web 服务，通过前面的 shell 下载运行 msf 监听拿到 shell 翻源代码，找到了数据库账号密码等 生成 RSA 密钥对，使用 RSA...

empire 是针对域环境的后渗透工具。 需要进行手动安装滴 用起来像是一个 shell 管理的平台，专门针对后渗透制作的，结构和 metasploit 也一样，接收反弹 shell。这样团队协作更好滴！ 主要讲了 empire 这个后渗透工具的基础使用。 让我感觉遗憾的是 shell 没有办法跨工具平移，如果想要将 empire 中的 shell 移动到 metasploit 中的话还需要利用已有的 shell 进行反弹，重新将 shell 弹到 metaploit 中去。 我觉得这种操作增加了暴露的风险，不知道有没有方法能够直接打通不同工具之间 shell 的联系！

msf 虽然是预装，但是在使用过程中用到的 postgresql 是不会启动的，所以需要手动启动，启动后还需要进行初始化，使用 msfdb init 进行 如果使用了数据库，可以使用 services 查看存储在数据库中的信息，非常方便！ 和可以通过 db_nmap 直接与 nmap 联动，将数据保存至数据库中。 还可以通过 workspace 切换工作区域，以此来应对不同的项目。 应用模块后，可以使用 services -p XXX --rhosts 快速添加 rhosts，有点 6 哦 每一个模块进行的设置都是局部的，可以通过 setg...

域内攻击，估计是需要大量命令的，很恶心。 DC 和 AD 讲了一下域内基础知识。域内的知识巨多，不太可能完全掌握。域内横向的核心点就是拿下高权限，拿下域控。 net user /domain 检查域内的用户 通过 powershell 枚举 ad 信息。 命令不想记了，真的也太 J8 多了，又长又多 需要用到 ldap 协议进行，应该是有相关工具的，没必要用手撸。 使用 powershell 查找登录的用户和会话，找到高价值的账号，尝试拿到哈希，然后进一步横向。 导入 powerview ，进行简化的操作。 NTLM 和 Lerberos 密码存在 LSASS...

# rinetd 这个工具可以在本机建立监听，使用攻击机进行转发，这样可以使原本不出网的机器访问至外网！ # ssh 隧道 通过 ssh 协议将端口进行转发 ssh -N -L 0.0.0.0:445:192.168.1.110:445 [email protected] 这样就通过 ssh 服务，穿透 10.11.0.128 这个机器，将其背后的 192.168.1.110:445 映射到本地的 445 了。 这是正向转发，除此之外还有反向转发，将本地端口映射回攻击机上。 反伤穿透的命令和顺序要进行更改： ssh -N -R 10.11.0.4:2221:127.0.0.1:3306...

重点在哈希破解上 标准密码列表 cewl 可以从博客上抓取可能的密码 john the ripper，可以用来会用规则生成字典和破解哈希 crunch 用来生成制定规则的密码字典 SSH 通常使用 Hydra ，当然这个工具也支持很多协议，比如 http 等，需要给他提供一个 post 表单进行，通过占位符 ^PASS^ 进行站位。 HTTP 用 medusa ，通过 -d 查看说明 RDP 用 crowbar 使用 hashid 查看 hash 的类型 mimikatz 读取 NTLM 的 hash，需要高权限 pth-winexe 进行哈希传递攻击，能拿到一个 shell 使用...

# 查看用户信息 windows 通过 whoami 和 net user 查看用户基本信息 linux 下通过 id 进行查看，还可以查看 passwd 文件查看用户列表 # 查看服务器信息 通过 hostname 查看机器名 windows 下通过 systeminfo 查看目标机器的信息 linux 下使用 uname -a 或者 lsb_release -a 显示系统信息 # 查看进程信息 windows 下使用 tasklist /SVC 查看进程 linux 下使用 ps aux 查看进程 # 查看路由表 ipconfig、ifconfig 查看网络信息 windows 下...

# 杀软原理 最常用的方法就是基于特征的检测、启发式检测、基于行为的检测 通过关键检测，字节序列检测的方式，和已知的恶意软件进行校对，拥有恶意字节序列的程序将被标记成有害。往往通过混淆的方式进行免杀。 启发式检测通过逐步执行二进制文件的指令集，甚至尝试反编译进行源码分析。寻找各种模式和程序调用。 基于行为的检测，基本上就是沙箱，看软件点开后有哪些行文，通过行为特征判断是否恶意。 # 绕过方法 # 磁盘规避 packers obfuscators crypters software protectors # 内存规避 远程注入 reflective dll...

这个环节围绕文件上传删除等操作进行多个必要操作。主要是上传现在，持续控制，权限提升和痕迹清除。 假如通过 ftp 进行文件的上传下载，那么就一定会涉及一个问题。ftp 客户端需要持续性访问，因此需要一个交互式 shell，否则一旦在非交互 shell 进行 ftp 交互会直接卡死。这是因为非交互 shell 并没有将三个标准输入输出进行绑定，所以会导致不得不 Ctrl + C 退出 shell 这一种结果。 因此需要进行 shelll 提升，可以使用 python 的 pty 进行交互式 shell 提升。 在 linux 上进行文件上传下载通常比较简单，但是在 windows...

往往需要修改的都是些路径一类的，web 层面的 payload 可能需要修改 URI、端口。而缓冲区溢出攻击可能需要修改地址，这也是比较麻烦的。 创建一大块缓冲区触发溢出 控制栈内数据覆盖掉 EIP 将 shellcode 包含在缓冲区中 选择一个返回地址重定向 execution flow 为了保证 exp 的安全性，可能还要通过逆向工程的手段进行检查，防止出现恶意 reverse shell 或者其他的破坏性代码。 有些 exp 需要进行编译，而编译环境可能需要再 windows 环境下进行。而多数情况下，我们只能访问单一的攻击环境，因此我们可能需要使用 mingw64...