hvv(三)
winserver2012 之后如何hashdump
修改注册表并重新登陆或者重启后,强制要求lsass.exe缓存明文密码进行抓取
vcenter了解吗
查看
/sdk/vimServiceVersions.xml可以查看vcenter版本文件上传漏洞
远程代码执行漏洞
利用vcenter进入windows系统,第一是使用pe结合shift后门进入系统,缺点是需要重启系统。第二是使用快照,从快照中获取到lsass进程,然后找到hash再登录主机。
漏洞检测工具
重置密码获取web控制台权限
获取虚拟机权限
- 生成快照
- ssh连接
redis常见漏洞
- 未授权访问
- 写计划任务(一般只能用于centos)
- 写SSH私钥
- 写webshell(需要写权限,知道绝对路径)
- 主从复制RCE,从服务器初始化时会从主服务器复制全部的数据,但是当它注册的时候,没有对主服务器进行校验,可能有一些恶意文件被加载
svchost.exe如何排查
svchost.exe是仅用来启动加载注册表中的dll
- 先查看其启动路径,是不是
C:\Windows\System32,右键查看其承接的服务 - 注册表排查
dll注入
ssrf无回显如何深度利用
- dict协议:构造一个包含字典查询语句的请求,获取一些信息
- sftp:上传下载文件
- gopher:发起http请求,向外发送,执行一些简单的命令
nacos漏洞
- 由于user-agent导致的未授权访问漏洞,通过该漏洞可以进行任意操作,包括创建用户后登陆操作
- JWT_Secret_Key硬编码身份验证绕过漏洞,拿到key之后可以任意构造JWT
- 默认key权限登录绕过,可以创建账户
- 权限绕过
不出网的利用方式
- 能写webshell -> regeorg +proxifier 做隧道
- 将执行内容写到web目录
- 将回显内容写到响应包中
无回显的利用
- 反弹shell,攻击者监听某一个端口为服务端,然后目标主机主动发送请求给受监听的端口,并将其命令行的输入转到攻击机
- dnslog外带
- http请求外带
- 页面返回时间判断
jndi注入原理
jndi的全称是java命名和目录接口,可以理解为PHP伪协议类似,通过这个接口可以访问一些特定的服务,如RMI、LDAP、DNS等服务。
rmi和jndi区别
- RMI是远程方法调用,JNDI是Java命名和目录服务
- 可以通过JNDI接口去访问RMI服务
- RMI用于不同JVM之间的通信,并调用远程对象的方法
- JNDI用于查找和绑定对象、管理目录结构以及获取配置信息等
sqlmap的一些参数
--level
指定测试级别,用于控制测试过程中的注入技术的数量和复杂程度--risk
指定风险等级,控制 SQLMap 在测试过程中使用的攻击技术的数量和强
--os-shell
- os-shell的使用条件
- (1)网站必须是root权限
- (2)攻击者需要知道网站的绝对路径
- (3)GPC为off,php主动转义的功能关闭
--tamper - 指定tampper脚本,可以改造sql注入的注入语句
webshell的流量特征
冰蝎
- 请求头accept:
text/html,image/gif,image/jpeg,*,q=.2,*/*,q=.2 - 请求体:很明显的AES加密内容
- UA: 内置了17种UA头,当同一ip的UA在频繁变换时可以考虑是冰蝎
- 默认秘钥是
rebeyond的md5前16位
哥斯拉
- Cookie中有一个非常关键的特征,最后会有个分号
- Accept:
Accept:text/html, image/gif, image/jpeg, *; q=.2, /; q=.2 - 响应体:md5的前16位 + base64 + md5的后16位
蚁剑
- 请求体:
@init_set("display_errors","0");@set_time_limit(0),后面跟的是base64 - 响应内容:随机数 + 结果 + 随机数
fastjson 不出网怎么利用
![[Pasted image 20240415142802.png]]
- 打bcel直接执行命令
内网渗透
黄金票据、白银票据
黄金票据:伪造TGT,但是需要以下条件
- krbtgt账户的hash
- 域的SID
- 要伪造的账户
- 域的名称
白银票据:伪造ST,但是需要以下条件
- 目标服务账户的hash
- 域的SID
- 要伪造的账户
- 域的名称
内网隧道
- frp隧道
- reo+proxifier
烂土豆提权的具体原理
核心是通过NTLM中继来接管system账户。
- 欺骗“NT authrority”账户通过NTLM认证到攻击者控制的http服务器
- 对这个认证过程使用中间人攻击,为“nt authority”协商一个安全令牌
- 模仿这个令牌,接管权限
哈希传递攻击
指攻击者可以通过捕获密码的hash值,如果内网主机的管理员账号相同,那么便可以远程登录到任意一台主机
哈希传递攻击的前提:
- 域内某个域账户的ntlm值
mimikatz中debug:privilege的原理
privilege:debug 通过调试模式提权,账户必须能够使用管理员权限
委派攻击
委派指的是将域内用户的权限委派给服务账户,使得服务账户能以用户权限访问域内的其他服务。
非约束性委派
约束性委派
基于资源的约束性委派
研判
短时间内出现大量告警怎么办
- 先看是否为同一源IP产生的告警
- 如果是,就抽检数据包,查看请求包是否有恶意数据,响应包是否有对应的回显
- 上威胁情报搜索该IP
- 如果抽检的数据包存在恶意数据,那么这个ip就是有问题的
sql注入如何判断攻击成功
- 首先是查看响应为200的数据包,根据请求包的注入类型进行相应的判断
- 如果是报错注入,则查看回显中是否有相关报错内容
- 如果是时间盲注,则查看数据包的时间戳是否对得上
log4j如何判断攻击成功
- 首选寻找响应200且有log4j攻击特征的流量
${jndi:ldap 执行的命令} - 查看攻击主机到受害主机的流量,以及jndi后面rmi或ldap的恶意ip的流量
- 假设攻击主机位A,受害主机为B,jndi注入的恶意ip为C,如果发现了A->B的流量,且发现了B->C的流量,那么就可以判断攻击成功
jndi注入如何判断攻击成功
- 首先寻找具有
- ${jndi:ldap 执行的命令}
- 跟log4j2一个道理
应急响应
windows影子账户如何排查
- 查看控制面板
- 查看注册表
- D盾查杀,克隆账号检测功能,可以检测出隐藏、克隆账号
进程注入排查思路
- PCHunter:查看进程及其子进程及其连接情况,可以看到子进程的连接状况
- TCP view:查看连接情况,可以看到子进程的连接状况
dll注入的排查思路
- 查看注册表中的dll调用,是否存在恶意的或者不知名的dll加载
- 使用PCHunter,校验进程模块的数字签名
- 使用ProcessExplorer列出所有进程的DLL以树状结构显示。【分栏】-【View DLL】看文件描述看签名。从【View】-【Select Columns】可以显示DLL的属性和验证数字签名。
ssh登录日志的命令
cat /var/log/auth.logcat /var/log/secure
内存马排查思路
常见的一般是php内存马和java内容马
php内存马:
- php-fpm的特征比较明显,用webshell查杀工具就能查到
- 其他的在进程当中,可以通过查看php的子进程是否有跳动,杀掉对应子进程即可
java内存马:
- 一般都是基于 servlet、filter、listener的三种内存马
- 通过arthas工具,可以分析jvm的状态,是否有外连状态
- 通过memshell scanner进行查杀
- 查看是否访问不存在的路径等
挖矿病毒或者xx程序如何排查
分析启动进程参数:wmic process get caption,commandline /value >> tmp.txt
获取具体进程的参数:wmic process get caption="svchost.exe",get caption,commandline /value >> tmp.txt
windows查看进程树的命令
必背命令
windows
1 | # 查看端口情况 |
linux
1 | # 查看计划任务 |
