在学安全的路上
2020-09-01T01:46:45.410Z
http://wuhash.com/
伍默
Hexo
NTLM Relay
http://wuhash.com/2020-09-01.html
2020-09-01T01:15:34.000Z
2020-09-01T01:46:45.410Z
<h1 id="NTLM-Relay"><a href="#NTLM-Relay" class="headerlink" title="NTLM Relay"></a>NTLM Relay</h1><p>参考:</p>
<p><a href="https://en.hackndo.com/ntlm-relay/" target="_blank" rel="noopener">NTLM Relay</a></p>
<p><a href="https://2018.zeronights.ru/wp-content/uploads/materials/08-Ntlm-Relay-Reloaded-Attack-methods-you-do-not-know.pdf" target="_blank" rel="noopener">08-Ntlm-Relay-Reloaded-Attack-methods-you-do-not-know.pdf</a></p>
<p><a href="https://www.youtube.com/watch?v=Pg57JdXs5Ks" target="_blank" rel="noopener">Exploiting Windows Network with Responder and SmbRelayX</a></p>
<p><a href="https://conference.hitb.org/hitbsecconf2018dxb/materials/D2T2%20-%20NTLM%20Relay%20Is%20Dead%20Long%20Live%20NTLM%20Relay%20-%20Jianing%20Wang%20and%20Junyu%20Zhou.pdf" target="_blank" rel="noopener">D2T2 - NTLM Relay Is Dead Long Live NTLM Relay - Jianing Wang and Junyu Zhou.pdf</a></p>
<p><a href="https://www.youtube.com/watch?v=4WP227MuIlk" target="_blank" rel="noopener">Exploitation with SMB Relay</a></p>
<p><a href="https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-apds/5bfd942e-7da5-494d-a640-f269a0e3cc5d?redirectedfrom=MSDN" target="_blank" rel="noopener">NTLM Pass-Through Authentication</a></p>
<p>对于前面的实验虽然成功了,但是你可能很懵,前面实验中我并未详细介绍 NTLM Relay的技术细节,本小节就是为了介绍一些细节。</p>
SMB Relay
http://wuhash.com/2020-08-31.html
2020-08-31T01:13:07.000Z
2020-09-01T01:45:13.647Z
<h1 id="Lateral-Movement-via-SMB-Relaying"><a href="#Lateral-Movement-via-SMB-Relaying" class="headerlink" title="Lateral Movement via SMB Relaying"></a>Lateral Movement via SMB Relaying</h1><p>参考:</p>
<p><a href="https://www.ired.team/offensive-security/lateral-movement/lateral-movement-via-smb-relaying-by-abusing-lack-of-smb-signing" target="_blank" rel="noopener">Lateral Movement via SMB Relaying(原文)</a></p>
<p><a href="https://support.microsoft.com/en-us/help/887429/overview-of-server-message-block-signing" target="_blank" rel="noopener">Overview of Server Message Block signing</a></p>
<p>在SMB 中,存在 SMB signing (签名) 机制,该机制保证了SMB 数据包在传输过程中不被修改,防御中间人攻击。</p>
<p>这也是该小节的主题,在没开启 SMB signing 时进行 SMB Relaying。</p>
WinRM for Lateral Movement
http://wuhash.com/2020-07-20.html
2020-07-20T12:48:50.000Z
2020-07-20T14:12:05.474Z
<h1 id="T1028-WinRM-for-Lateral-Movement"><a href="#T1028-WinRM-for-Lateral-Movement" class="headerlink" title="T1028: WinRM for Lateral Movement"></a>T1028: WinRM for Lateral Movement</h1><p>参考:</p>
<p><a href="https://0x0c.cc/2019/09/25/%E5%86%85%E7%BD%91%E6%A8%AA%E7%A7%BB%E4%B9%8BWinRM/" target="_blank" rel="noopener">内网横移之WinRM</a></p>
<p><a href="https://wooyun.js.org/drops/Powershell%20tricks..Powershell%20Remoting.html" target="_blank" rel="noopener">Powershell Remoting</a></p>
<p><a href="https://pentestlab.blog/2018/05/15/lateral-movement-winrm/" target="_blank" rel="noopener">Lateral Movement – WinRM</a></p>
<p>WinRM(<a href="https://docs.microsoft.com/en-us/windows/win32/winrm/portal" target="_blank" rel="noopener">Windows Remote Management</a>)是 <em>WS-Management Protocol</em> Microsoft 实现</p>
<p>这个协议有没有其他的实现?有,比如<strong><a href="https://github.com/Openwsman/openwsman" target="_blank" rel="noopener"> openwsman</a></strong>,也就说在在linux也可以通过该协议管理Windows(跨平台)。</p>
<blockquote>
<p>Ansible 通过该协议进行远程管理Windows</p>
</blockquote>
凭据收集
http://wuhash.com/2020-07-01.html
2020-07-01T01:31:11.000Z
2020-07-01T02:11:41.924Z
<p>本来按计划应该学习横向移动,但是发现一个问题,如何横向?这就是我记录这一章的目的,提升权限之后获取凭证,利用已获取的凭证扩大战果才是正确的姿势,学习的主要资料是参考链接中的分享,建议阅读参考的原文,再次说明,我的只是笔记,记录我的学习过程中的所思所想。</p>
Windows 权限提升
http://wuhash.com/2020-06-21.html
2020-06-21T03:26:09.000Z
2020-06-22T03:49:50.218Z
<p>本篇内容是<a href="https://item.jd.com/12743210.html" target="_blank" rel="noopener"><strong>内网安全攻防:渗透测试实战指南</strong></a>时的阅读笔记,笔记大部分内容均来自此书,另外一部分来源于一些公开文档和非公开文档,参考链接中均有注明。</p>
隐藏通信隧道技术
http://wuhash.com/2020-05-27.html
2020-05-26T16:00:00.000Z
2020-05-28T03:31:48.037Z
<p>本篇内容是<a href="https://item.jd.com/12743210.html" target="_blank" rel="noopener"><strong>内网安全攻防:渗透测试实战指南</strong></a>时的阅读笔记,笔记大部分内容均来自此书,另外一部分来源于一些公开文档和非公开文档,参考链接中均有注明。</p>
黄金票据与白银票据
http://wuhash.com/2020-04-24.html
2020-04-23T16:00:00.000Z
2020-05-02T07:00:13.184Z
<p>注:该文为土司投稿注册文,原文3月份投稿,因为图床被退回一次,在这个时候4月底终于通过了。</p>
<p>该攻击方式在<a href="https://www.blackhat.com/us-14/briefings.html#abusing-microsoft-kerberos-sorry-you-guys-dont-get-it" target="_blank" rel="noopener">BlackHat 2014</a>被提出,演讲者为Alva Duckwall & Benjamin Delpy(@<a href="http://blog.gentilkiwi.com/" target="_blank" rel="noopener">gentilkiwi</a>)进行了演示,该演讲提出了Kerberos协议实现过程中的设计逻辑缺陷,也就是说Windows所有使用Kerberos的场景中都可以进行此类攻击。</p>
基于委派的测试
http://wuhash.com/2020-04-17.html
2020-04-16T16:00:00.000Z
2020-04-18T07:23:14.664Z
<h2 id="基于委派的测试"><a href="#基于委派的测试" class="headerlink" title="基于委派的测试"></a>基于委派的测试</h2><p>为什么突然跳怎么多,因为在之前Over-pass-key 的过程,偶然间发现有两张TGT和一张ST,一直不得其解,问了很多师傅也无法解释这个现象,一开始和Dlive的讨论过程中,解释了可能是非约束性委派,但当时我不懂委派,无奈放下,恰好上一篇联系到了daiker,索性把这个问题问了下,确认该现象就是约束性委派。由此我也准备学习下委派的相关知识。</p>
MS14-068(CVE-2014-6324)
http://wuhash.com/2020-03-25.html
2020-03-25T05:05:14.411Z
2020-03-25T05:11:37.417Z
<h2 id="MS14-068-CVE-2014-6324"><a href="#MS14-068-CVE-2014-6324" class="headerlink" title="MS14-068(CVE-2014-6324)"></a>MS14-068(CVE-2014-6324)</h2><p>参考:</p>
<p><a href="http://www.polaris-lab.com/index.php/archives/205/——宝宝" target="_blank" rel="noopener">MS14-068域权限提升漏洞总结</a></p>
<p><a href="https://www.freebuf.com/vuls/56081.html" target="_blank" rel="noopener">深入解读MS14-068漏洞:微软精心策划的后门?——walkerfuz</a></p>
<p><a href="https://www.anquanke.com/post/id/172900" target="_blank" rel="noopener">Kerberos协议探索系列之票据篇——云影实验室</a></p>
<p><a href="https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2014/ms14-068?redirectedfrom=MSDN" target="_blank" rel="noopener">Microsoft 安全公告 MS14-068 - 严重</a></p>
<p><a href="https://adsecurity.org/?p=25" target="_blank" rel="noopener">Kerberos Vulnerability in MS14-068 (KB3011780) Explained</a></p>
<p><a href="https://daiker.gitbook.io/windows-protocol/kerberos/3" target="_blank" rel="noopener">Windows–protocol:Kerberos篇-PAC——daiker </a></p>
<p>注:建议必读daiker的这篇,相比起他的,我的就是皮毛</p>
<p><a href="https://winprotocoldoc.blob.core.windows.net/productionwindowsarchives/MS-PAC/%5bMS-PAC%5d.pdf" target="_blank" rel="noopener">MS-PAC : Privilege Attribute Certificate Data Structure</a></p>
<p>注:建议阅读上面的参考链接,本文只是笔者学习前辈的分享记录所得。</p>
<p>对应的补丁为:<a href="https://www.catalog.update.microsoft.com/Search.aspx?q=3011780" target="_blank" rel="noopener">KB3011780</a></p>
如何在 wireshark 中解密 Kerberos 流量
http://wuhash.com/2020-03-22.html
2020-03-22T08:33:00.000Z
2020-03-22T09:15:22.341Z
<p>参考:</p>
<p><a href="https://wiki.wireshark.org/Kerberos" target="_blank" rel="noopener">Kerberos</a></p>
<p>前面是我的踩坑过程,后面是解决办法。</p>
<p>在Wireshark的<a href="https://wiki.wireshark.org/SampleCaptures#Kerberos_and_keytab_file_for_decryption" target="_blank" rel="noopener">SampleCaptures</a>得到了一个<a href="https://wiki.wireshark.org/SampleCaptures?action=AttachFile&do=get&target=krb-816.zip">Krb-816.zip</a>的数据包,在指定文件中附带的密钥表文件之后,wireshark对Kerbeos流量进行了解密。</p>
<p><img src="https://cdn.wuhash.com/krb_816%E8%A7%A3%E5%AF%86.jpg" alt=""></p>
<p>也就是说如果有密钥表文件,就能对Kerberos流量进行解密。</p>
第二十一章 LDAP
http://wuhash.com/2019-11-16.html
2019-11-16T12:22:00.000Z
2019-11-18T02:31:47.225Z
<h2 id="目录服务"><a href="#目录服务" class="headerlink" title="目录服务"></a>目录服务</h2><blockquote>
<p>什么是Directory呢?生活中所用的电话薄记录了别人的姓名、电话与地址等数据,他就是 Telephone Directory(电话目录),计算机中常用的文件(File System)记录文件的文件名、大小与日期等数据,他就是 File Directory(文件目录)。</p>
</blockquote>
WAF绕过原理
http://wuhash.com/2019-10-29.html
2019-10-28T17:31:00.000Z
2019-10-28T17:40:06.295Z
<p>WAF 是什么?全称 Web Application Firewall (WEB 应用防护系统),与传统的 Firewall (防火墙) 不同,WAF 针对的是应用层。</p>
<p>安全是一个不断对抗的过程,有防护手段,就有相应的绕过手段。</p>
<p>渗透测试过程中,WAF 是必定会遇到的,如何绕过 WAF 就是一个问题。</p>
SQL注入的几种类型和原理
http://wuhash.com/2019-09-23.html
2019-09-23T05:52:00.000Z
2019-09-27T09:15:03.134Z
<p>在上一章节中,介绍了SQL注入的原理以及注入过程中的一些函数,但是具体的如何注入,常见的注入类型,没有进行介绍,这一章节我想对常见的注入类型进行一个了解,能够自己进行注入测试。</p>
关于我所了解的SQL注入
http://wuhash.com/2019-08-27.html
2019-08-27T14:00:00.000Z
2019-09-02T06:36:28.142Z
<h2 id="MySQL注入函数"><a href="#MySQL注入函数" class="headerlink" title="MySQL注入函数"></a>MySQL注入函数</h2><h3 id="MySQL常用函数"><a href="#MySQL常用函数" class="headerlink" title="MySQL常用函数"></a>MySQL常用函数</h3><p>MySQL内置的<strong><a href="https://dev.mysql.com/doc/refman/5.7/en/dynindex-function.html" target="_blank" rel="noopener">函数</a></strong>能够让我们更为快捷的得到想要的信息,操作字符串的函数也有助于在注入时绕过WAF。这里列举一些注入常用的函数。</p>
第十一章 数据库服务
http://wuhash.com/2019-08-12.html
2019-08-12T02:39:00.000Z
2019-09-25T03:01:11.593Z
<blockquote>
<p>数据库,简而言之可视为电子化的文件柜——存储电子文件的处所,用户可以对文件中的数据运行新增、截取、更新、删除等操作。</p>
<p>所谓“数据库”系以<strong>一定方式</strong>储存在一起、能予多个用户<a href="https://zh.wikipedia.org/wiki/共享" target="_blank" rel="noopener">共享</a>、具有尽可能小的<a href="https://zh.wikipedia.org/wiki/数据冗余" target="_blank" rel="noopener">冗余度</a>、与应用程序彼此独立的数据<a href="https://zh.wikipedia.org/wiki/集合" target="_blank" rel="noopener">集合</a>。一个数据库由多个表空间(<a href="https://zh.wikipedia.org/wiki/Tablespace" target="_blank" rel="noopener">Tablespace</a>)构成。——<a href="https://zh.wikipedia.org/zh-hans/%E6%95%B0%E6%8D%AE%E5%BA%93" target="_blank" rel="noopener">维基百科</a></p>
</blockquote>
第十章 WEB服务
http://wuhash.com/2019-08-05.html
2019-08-05T14:39:00.000Z
2019-08-05T16:23:48.703Z
<p>我们每天都在使用计算机,使用它学习、工作、生活。而WEB服务是互联网使用最广泛的应用。前面也介绍了众多网络服务,它们大都是C/S(客户端/服务器)架构。自从出现了WWW(万维网)技术,很多的应用都可基于B/S(浏览器/服务器)架构来实现。在服务端看来,只不过是客户端变成了统一的浏览器,也可以看做一种客户端。</p>
《汇编语言》——笔记(四)
http://wuhash.com/2019-07-21.html
2019-07-21T07:04:00.000Z
2019-07-21T07:05:08.531Z
<h2 id="转移指令的原理"><a href="#转移指令的原理" class="headerlink" title="转移指令的原理"></a>转移指令的原理</h2><p>可以修改IP,或同时修改CS和IP的指令通称为转移指令。</p>
<p>8086CPU的转义行为有一下几类。</p>
<ul>
<li>只修改IP时,称为段内转移,比如:<code>jmp ax</code>。</li>
<li>同时修改CS和IP时,称为段间转移,比如:<code>jmp 1000:0</code></li>
</ul>
《汇编语言》——笔记(三)
http://wuhash.com/2019-07-07.html
2019-07-07T14:30:00.000Z
2019-07-10T07:10:45.569Z
<h2 id="包含多个段的程序"><a href="#包含多个段的程序" class="headerlink" title="包含多个段的程序"></a>包含多个段的程序</h2><p>前面说道,如果要使用安全的内存空间,0:200~0:2FF是相对安全得内存空间,可是这段空间只有256字节,如果需要的空间大于256字节该怎么办呢?</p>
<p>在操作系统允许的情况下,程序可以取得任意容量的空间。</p>
《汇编语言》——笔记(二)
http://wuhash.com/2019-07-02.html
2019-07-02T15:30:00.000Z
2019-07-02T08:47:14.703Z
<h2 id="第一个程序"><a href="#第一个程序" class="headerlink" title="第一个程序"></a>第一个程序</h2><p>前面讲了那么久的基础概念,不知道你们看完没。</p>
<p>前面都是在Debug中写一些指令,在Debug中执行。我们如何执行汇编指令呢?</p>
<p>使用A键在内存空间中写入指令,修来CS:IP的位置,使汇编指令执行。</p>
<p>那么问题出现了?我们都知道程序是在操作系统上运行的,直接操作一段内存,是否会修改到系统的数据呢!</p>
《汇编语言》——笔记(一)
http://wuhash.com/2019-06-24.html
2019-06-24T08:30:00.000Z
2019-06-24T08:43:16.166Z
<p>这本书真的非常棒,做到循序渐进,书中的每一部分都很用心,本书在深入本质的层面上对重要指令和关键概念进行了讲解和讨论。这里不对进制多做介绍,请自行了解。</p>