Ping_Pig的博客

原创 AS-REPRoasting

讲在前面：最近笔者发布的几篇文章，大家不难发现，都是和kerberos协议相关的。国内外各类的研究员对于该协议的研究愈发的深入，从该协议产生的漏洞就会越来越多甚至越来越严重。当然这只是笔者的一点拙见。在介绍了Kerberoasting后，与其分不开的一个漏洞AS-REPRoasting我们也要介绍一下。当然，该漏洞依然要建立在受害用户没有使用强壮的符合复杂策略的密码前提下。同时也要强调该漏洞并没有Kerberoasting出彩简介：对于域用户，如果设置了选项”Do not requir...

原创 内网KDC服务器开放在哪个端口，针对kerbores的攻击有哪些?

解释：KDC服务器默认开放88、464端口针对Kerberos的攻击有哪些用户名爆破 密码喷洒和密码爆破 Kerberoasting ASRepRoasting 黄金票据和白银票据 MS14-068 非约束委派、约束委派、基于资源的约束委派 票据传递（ptt/ptk/ptc） mimikatz加密降级攻击(万能钥匙) 使用恶意的kerberos证书做权限维持讲在后面：针对kerberos的攻击，我们必须要了解kerberos协议的始终，对一次完整的kerbero

原创 psexec的底层实现原理是什么

讲在前面我们在这里学习的是sysinternals工具包中的psexec.exe。本文对于psexec.exe的实现具体理论技术不做赘述，国内外已有优秀的博客对此做了非常详细的解释(本文借鉴国内已有的文章)。本文从实际出发，复述psexec在实现上需要了解的几个重点知识，至于重点知识是否需要深入了解，读者可自行深入。我们先知道执行psexec会产生那些日志，然后我们再了解psexec执行过程中的技术细节，最后我们来总结日志、psexec的技术细节了解对于我们检测此类横向移动有什么帮助。日志产生

原创 mimikatz的原理，哪个补丁导致了mimikatz无法获取明文密码，如何绕过?

讲在前面：对于mimikatz的原理本文只通过简单的话语表述，并在文章后给出分析的思路和参考文章。对于绕过补丁，本文只对KB2871997补丁做阐述，并且犹豫对mimikatz的介绍文章非常之多，所以本文只取重点罗列，让读者能够简单快速的明白关键点，深入理解在文章后给出分析思路和参考文章。mimikazt的原理注意：本文对mimikatz获取lsass.exe进程中明文密码的原理做简单描述。开发语言：C/C++。 开发初衷：深入学习Windows系统以及C/C++语言。获取明文密码：

原创 golden ticket和sliver ticket的区别是什么？

讲在前面：笔者本文对Kerberos协议不会进行详细分析，站在读者已有Kerberos协议简单的基础上结合互联网已有的文章，对上述两个漏洞产生的原理、利用方式、防御方式进行介绍。区别之处：笔者翻阅了国内外尽可能多的关于黄金票据和白银票据的文章，将其中对于两者的区别之处的解释经过笔者删改后呈现如下，也就是说如下的区别，的的确确是全面的关于两者的区别。 区别点 黄金票据 白银票据 访问权限 获取任何Ker

原创 WMI攻击检测

讲在前面：    无论何种攻击手法在日志或流量是都会留下一定的痕迹，但是使用何种的规则将其监控到，这是令防守方头大的问题。WMI横向移动、权限维持都会在日志监控到。至于如何制定规则，本文不展开。总之两点：做好 WMI 连接的网络流量监控，一般不使用 WMI 的环境若出现了使用 WMI的情况，则内部网络可能已经被入侵。做好进程监控，监测”wmic.exe“的命令行参数及其执行的命令。日志检测注意：在日志检测中，最重要的数据来源就是Windows日志，而

原创 WMI利用（权限维持）

讲在前面：    在简单了解了WMI后，我们开始了横向移动，包括其中的信息收集，工具利用。那么在我们短暂的获取权限后，如何才能将权限持久化，也就是所说的权限维持住呢？笔者看了国内外部分文章后，发现WMI做权限维持主要是介绍WMI事件，并将其分为永久事件和临时事件，本文参考部分博客文章对WMI事件进行讲解，不足之处，望及时指出。什么是WMI事件    WMI事件，即特定对象的属性发生改变时发出的通知，其中包括增加、修改、删除

原创 WMI利用（横向移动）

WMI利用（横向移动）讲在前面：    上一篇文章我们简单的解释了什么是WMI，WMI做什么，为什么使用WMI。本文是笔者在阅读国内部分的解释WMI横向移动的文章后写下的一篇文章，希望帮助同学们在攻防中进入横向移动后根据实际场景利用WMI来解决问题。在横向移动中的固定过程中一定离不开“信息收集”，然后分析信息根据实际场景（工作组或者域）来进行横向移动，至于使用什么工具，为什么使用这个工具，笔者使用WMI的意见。所以本文分为三个段落，信息收集、横向移动、部分意见。

原创 WMI的讲解(是什么，做什么，为什么)

讲在前面：    笔者在阅读了WMI的微软官方文档以及国内优秀前辈的介绍文章后，获益匪浅，WMI是一个较为老的知识点了，但是对于想要简单理解WMI的同学来说，对于一个新的知识点进行理解最好是能够有生动形象的例子进行抛砖引玉式的解读，将晦涩难懂的知识点吃透、理解后用简单的话语将其作用表达清楚，使其读者能够快速的理解并为读者接下来深入理解打好基础，以便在攻防中更好的利用WMI，所以此篇文章笔者使用通俗的话语将WMI表达清楚，在下文中对于基础薄弱的同学对于COM组件、Pr

原创 DCSync：攻击与检测

讲在前面：Mimkatz在2015年8月添加的一个主要特性是“DCSync”，它可以有效地“模拟”一个域控制器，并向目标域控制器请求帐户密码数据。DCSync由Benjamin Delpy和Vincent Le Toux编写。使用适当的权限来利用Mimikatz的DCSync，攻击者可以通过网络从域控制器获取密码hash和以前的密码hash，从而不需要进行交互式的登录或复制Active Directory数据库文件(ntdd .dit)来得到密码hash运行DCSync需要特殊权限。管理员、域管

原创 Windows的Kerberos协议——Windows内网协议学习

目录讲在前面：Kerberos协议概述Kerberos认证流程Kerberos协议产生的安全问题——之AS用户名枚举黄金票据pass the hash 和pass the key（凭据传递攻击）Password Spraying（密码喷洒）AS-REPRoastingKerberos协议产生的安全问题之——TGSKerberos协议产生的安全问题之——PAC讲在前面：该文章不是以科普的形式书写，而是在学习前辈的基础上进行的自我笔记记录以及复习。Kerb

原创 SPN扫描–无需网络端口扫描的进行信息收集

目录讲在前面简介SPN的知识点：SPN命名实例SPN默认实例部分查询SPN脚本windows自带setspn.exe，部分命令如下：GetUserSPNs.ps1GetUserSPNs.vbsPowerView.ps1总结：讲在前面在Active Directory环境中发现服务的最佳方法是通过所谓的“ SPN扫描”。攻击者进行SPN扫描的主要好处是，SPN扫描不需要连接到域内网络上的每个IP即可检查服务端口。SPN扫描通过对域控制器的LDAP查询执行服务发现

原创 通过机器学习来检测Powershell恶意行为

讲在前面国内外的各大厂商以及各类研究员多年来对在网络威胁中使用Powershell进行渗透的行为做了不同形式的报告，那么，为什么Poweshell在近几年的渗透中很受攻击中追捧呢，最大的特点就是Powershell的灵活性和丰富的功能使常规检测形同虚设。这篇文章在火眼（FireEye）的通过机器学习来检测Powershell恶意行为研究基础上进行部分修改后展示。通过这篇文章，读者将会简单学习到：为什么传统的“基于签名”或“基于规则”的检测引擎检测Powershell的威胁会遇到瓶颈 如何使用自

原创 本地引入FastJson

目录下载操作下载操作IDEA选择File选项，选择Project Structure进。进入后，选择左侧Modules选项后点击右侧Dependencies选项，点击+号，选择第一个选项：JARs or directories。选择jar包所在目录。引入后，勾选指定jar包，点击右下角Apply后选择OK选项，退出页面。​​​​​​​查看引入，引入，成功。到此本地引入FastJson包完成，同样也可以使用maven来引入。...

原创 Exchange2016安装

讲在前面：这里笔者是为了测试随意选择的大版本为2016版，小版本则未选择，目前exchange2016在微软官网已经更新至第15版。可自行按照环境选择。下载列表：Exchange2016下载地址 .NET Framework 4.5.2 Microsoft 统一通信托管 API 4.0安装步骤步骤一：装载iso镜像后，直接运行EXE程序，选择好所在目录。步骤二：等待其将安装文件释放至自行指定的目录后，执行安装.NET Framework 4.5.2的操作。下载.NET4.5

原创 域渗透——获取用户明文密码

目录讲在前面：一、CredSSP获取明文密码二、Dcsync获取明文密码讲在前面：本文是笔者在学习"三好学生"前辈的文章进而总结的一篇文章，内容主要是在内网渗透中获得明文密码的两种方式。，在笔者看来，两种办法都有一定的限制性和局限性，当然还有其他的办法，这需要笔者进一步的继续深入学习从而总结。一、CredSSP获取明文密码CredSSP的研究文章的文章通过CredSSP导出用户的明文口令。这篇文章已经分析的非常清楚如何使用，以及使用的场景，当然优缺点也给大家进行了展示，这里不做赘

原创 PowerShell攻击与检测

讲在前面这篇文章相对目前的大环境来说，已经不合时宜了，但我们还是要拿出来讲一讲，思考思考Powershell的攻击与检测问题。以期望给目前国内的中小企业的网络安全建设提供一些建议。Powershell作为工具的演变Powershell是Microsoft Windows所有受支持版本（Win7/Windows 2008 R2和更高版本）上内置的命令行工具。微软称其为是最安全，最透明的Shell、脚本语言或编程语言。但恰恰因为其强大，也吸引了攻击者的注意力。因为其可以在内存中执行代码的特点，攻击者

原创 Microsoft KB2871997的学习

讲在前面2014年，Microsoft发布了KB2871997补丁，它主要囊括了Windows 8.1和Windows Server 2012 R2中增强的安全保护机制。所以，以往的例如：Windows 7，Windows 8，Windows Server 2008R2和Windows Server 2012也可以更新该补丁后获得上述安全保护机制。介绍增强的安全保护机制中有如下部分几点：减少存储在内存中的凭据数据 支持现代身份验证（Kerberos AES）其实主要防范的是在身份登录时凭

原创 Windows问题之——无法从命令行或调试器启动服务

1.以管理员身份运行cmd2.安装windows服务 cd C:\Windows\Microsoft.NET\Framework\v4.0.30319(InstallUtil.exe的路径，注意InstallUtil.exe的版本号需要和项目的版本号相同)3.安装windows服务 InstallUtil.exe D:\项目相关文件\MonitoringTEST\DialTest\bin\Debug\ProjectTest.exe(项目的路径)4.启动windows服务 net...

原创 pingcastle的使用-AD域安全检测

目录讲在前面工具简介使用一、安装二、使用1-healthcheck-安全检查2-conso-将多个报告汇总到一个报告中3-carto-构建所有互连域的地图4-扫描-在工作站上执行特定的安全检查5-高级-打开高级菜单总结讲在前面笔者在今年年初接触到该工具，一直未抽出空对工具的使用做一次翻译和自己的总结，目前将此工具的使用做如下翻译性的总结。同时笔者对此工具开始二次开发，在开发的过程中笔者将不断的分享域内安全渗透技术总结、C#开发备忘录、以及Windows底.

原创 DCShadow

讲在前面内网的众多漏洞当中，我们就不得不介绍DCShadow和DCSync。笔者在国内外优秀的研究员的研究基础上，对相对比较优秀的文章做一次总结，尽量言简意赅的将这两个漏洞的意思表达清楚。DCSync已经做过一篇文章的介绍，本篇文章简单回顾。DCShadow攻击简介在具备域管理员权限的前提下，攻击者可以创建伪造的域控制器，将预先设定好的对象或对象属性同步复制到正在运行的域服务器中在目标AD中注册一个伪造的DC 使伪造的DC被其他DC认可，能够参与域复制 强制触发域复制，将预先设定好的对象

原创 MS17-010利用笔记

讲在前面此文笔者记录自己利用MS17-010漏洞时的几种方法。工具可以评论笔者获取MSFMSF利用模块exploit/windows/smb/ms17_010_eternalblueauxiliary/admin/smb/ms17_010_commandauxiliary/scanner/smb/smb_ms17_010exploit/windows/smb/ms17_010_eternalblue_win8exploit/windows/smb/ms17_010_psex

原创 从域控制器中提取Active Directory数据库(NTDS.DIT)

目录讲在前面：本地安全机构子系统服务（LSASS）场景思考注意ntds.dit介绍：https://blog.csdn.net/qq_41874930/article/details/108141331部分方法如下：使用NTDSUtil的Create IFM在DC上本地捕获ntds.dit文件使用VSS卷影副本远程拉ntds.dit使用PowerSploit的Invoke-NinjaCopy远程拉ntds.dit（需要在目标DC上启用PowerShell远程处理）注意

原创 WinRM横向移动

https://blog.csdn.net/SheXinK/article/details/103754294

原创 CVE-2010-2729(MS10-061)

https://juejin.im/post/6844903782644449293

原创 Kerberoast/Kerberoasting:攻击与检测

讲在前面:Kerberoasting攻击手法在域渗透中是必不可缺的一项手法，它可以帮助你利用普通用户的权限在AD中提取到服务账户的凭据，又因为一般的服务账户密码策略可能较为薄弱或密码设置为永不过期等等。所以当攻击者拿到服务凭据后，花不了多大功夫就将其暴力破解了。注意:Windows系统默认的服务已经映射到AD中的计算机账户中，该类账户具有关联的128个字符的密码，破解起来相对费劲。针对这个问题我们需要了解如下两个协议，当然在这里我们只能简单的介绍，笔者参考了如下几篇优秀的论文以帮助您来了解K

原创 修改组策略以安装MSI程序进行权限升级或权限维持

讲在前面当前域组策略可被修改。一般此漏洞用作权限维持一、修改组策略，开启AlwaysInstallElevated特权安装功能：计算机配置-策略-管理模板-Windows组件-Windows Installer-始终以提升的权限进行安装：选择启用 用户配置-策略-管理模板-Windows组件-Windows Installer-始终以提升的权限进行安装：选择启用注意：实验过程可以强制更新组策略，一般情况需要等待下一次更新时间更新组策略-gpupdate /force 强制更新组策略

原创 net view 命令出现6118错误解决方法

1、computer browser服务和server服务是否开启。右键单击“我的电脑”，进入“管理”>“服务”，启动“Computer Brower”服务，若无法启动，请确认“Server”和“WorkStation”两项服务已开启，并设置“Computer Brower”服务属性为“手动启动”。2、关闭防火墙...

原创 内网信息收集——浏览器信息的收集

讲在前面：我一般就看浏览器的历史记录和存储密码。一下介绍查看chrome和ie的cookie存储地址，以及chrome的历史记录和cookie信息存储地址firefox渗透的技术win10的IE本地存储cookie地址：

原创 内网渗透-域快照

讲在前面域快照的部分方法如下ntdsutil工具：域控制器自带命令命令1：ntdsutilactivate instance ntdsifmcreate full C:\ntdsutilquitquit命令2：ntdsutil "ac i ntds" "ifm" "create full c:\temp" q q

原创 CVE-2019-1388(Windows证书对话框权限提升)

讲在前面：对原理的分析为集百家之长，简单介绍。认真看好吗，弟弟！！！原理：该漏洞位于Windows的UAC（User Account Control，用户帐户控制）机制中。默认情况下，Windows会在一个单独的桌面上显示所有的UAC提示——Secure Desktop。这些提示是由名为consent.exe的可执行文件产生的，该可执行文件以NT AUTHORITY\SYSTEM权限运行，完整性级别为System。因为用户可以与该UI交互，因此对UI来说紧限制是必须的。否则，低权限的用户可能可以通

原创 内网渗透-权限提升(使用MSF提权的一些方法)

讲在前面：提权方法有很多种和，这里提供在利用MSF拿到低权限用户后利用MSF提权的办法直接输入提升权限命令meterpreter>getsystem使用MSF内置bypassuac提权MSF内置有多个bypassuac模块，原理有所不同，使用方法类似，运行后返回一个新会话后再次执行getsystem获取系统权限。search bypassuacMatching Modules================ # Name ...

原创 AWVS12搭建-Ubuntu

dada

原创 AWVS12-Windows

原创 内网渗透——清除本机远程登录记录

讲在前面：就三条命令，前两条删除注册表的可以正常执行，但是第三个可能是因为是隐藏文件的原因导致命令行执行命令不成功。自行选中打开删除即可reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /f &&reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f &

原创 Ubuntu设置本机不上网（Windows设置本机不上网)

讲在前面：使用Ubuntu做物理机，使用Vmware做虚拟机平台，将物理机设置为不上网，在虚拟机内进行渗透测试和上网的配置Ubuntu设置：配置防火墙然后虚拟机设置网卡为系统网卡Vmware-Linux15.5 Pro下载Windows设置配置防火墙然后虚拟机设置网卡为系统网卡Vmware-Windows15.5 Pro下载15.5 Pro激活码激活密钥许可证VMware Workstation Pro 15 激活许可证UY758-0RXEQ-M81WP-8ZM

原创 内网渗透----部分知识点总结

讲在前面：以下纯用自己的话总结内网渗透，参考部分书籍的目录以及集百家之长，为我所用。内网渗透的流程：内网信息收集与分析，内网权限维持，内网隧道建立，内网横向移动，内网渗透工具的灵活使用内网信息收集：包括手机当前主机信息：”网络信息，主机信息，路由信息，主机上可用的资料，在域内收集域内用户信息，定位域控，定位域管“为下一步分析内网网络情况做准备，为横向移动提供部分技术信息，为在当前主机做权限维持提供有效资料支持内网权限维持：留web后门，留木马后门，留短小的下载器，目前针对开源的后门工具在内网有杀

原创 内网渗透-信息收集

啊啊啊

原创 内网渗透-内网渗透用到的主要漏洞

内网渗透-内网渗透用到的主要漏洞

原创 内网渗透-域环境搭建

服务器：Windows-server2016，下载地址个人机：Windows10，下载地址安装步骤（看图操作）：设置本机IP为静态IP开始AD服务安装进到服务关管理器内，选择添加角色和功能这里我只选择了AD域服务，待会安装的时候，会自动安装DNS服务器安装完成后，准备将服务器提升为域控制器在这里先决条件检查时，我出现了因为Administr账号问题而导致不通过，解决方案，设置的密码一定要够强度（大小写数字和特