Recently Updated Pages

域信任决定了域与域之间对彼此的资源访问权限，尤其是当我们已经获得了当前域的域管理员，想移动到其他的域或森林里，利用域信任尤其必要。即便尚未获得当前域的域管理员，我们也可以枚举外部域的信息从而打开...

当一个程序启动时，诸多 DLL 文件被加载到改程序的进程内存空间中，Windows 按照特定顺序查看系统文件夹来搜索进程所需的 DLL。 DLL 劫持可以实现持久化，如果我们想方设法让一个自启动...

我们还可以通过登陆操作来触发特定任务。与登陆相关的实现方式有数种，但实现效果是相似的。 Startup 文件夹 每个用户都拥有一个文件夹 C:\Users\[用户名]\AppData\Roa...

DACL 揭露了域内对象与对象之间的权限关系，可以是用户对用户的，用户对主机的，主机对主机的，诸如此类。例如，用户 John 对用户 app_security 具有 GenericWrite 的...

ADCS 的利用，是这几年里较新的利用手段。因此，我们也需要对 ADCS 进行枚举。ADCS（Active Directory 证书服务）是 Microsoft 的 PKI 实现，可与现有的 A...

当我们在一台 Windows 域主机上获得了 SYSTEM 权限，我们可以模仿任何在本机登陆的域用户。如果模仿的对象在域内具有其他特权，我们可以利用此来移动到其他主机甚至域。 在 Window...

我们在域内可以访问的其他服务也不可忽视，因为企业的域环境同时也是个内部网络。我们在一般内部网络渗透中会遇到的应用以及对应的攻击手法，在企业的域环境中依旧适用。诸如 FTP，SSH，HTTP(S)...

组织单元，即 OU，可以用来充当具有同样性质的一些对象的容器。例如，同为 SQL 服务器的 SRV01 与 SRV02 可以用 OU SQL_Server 来存放。再比如，一家公司里，职位相同的...

主机是用户、服务的载体，清晰了解每个主机的作用十分重要。在进入域后，我们可以记下主机的 IP、操作系统、FQDN 等信息。 FQDN FQDN 的形式是 主机名与完整域名的接合，是在域内定位...

在之前，我们主要讨论了 Windows 平台的持久化技术，但是在实战中我们也会遇到大量的 Linux 边界主机，我们同样要学会持久化技术。持久化的表现形式可以有本地后门，即可以瞬间实现提权，例如...

在我们获得初始会话之后，我们需要考虑如何让我们的访问持久化。原因很简单，如果我们是通过利用漏洞进来的，对方可能察觉到痕迹然后修补漏洞，如果是通过泄漏的密码进来的，对方可能修改密码，如果是利用社会...

练习 请使用以下凭证访问对应主机，并将这章节所学应用于这些主机 web01: Passw0rdweb01 dev01: Passw0rddev01 web02: Passw0rdwev0...

服务提权，是 Windows 平台提升权限的经典途径，但实际上服务提权又可以根据利用的根源分为 3种 更具体的不当配置。一些有关服务提权的 CVE 漏洞原理也是来自这 3 个 (如果你发现了某个...

如果系统管理员在注册表以及主策略里配置了 AlwaysInstallElevated，意味着任何用户可以在安装 msi 包裹的时候以 SYSTEM 权限执行，这无疑带来了一个提权路径。 ...

如果一个账户被授予 SeImpersonatePrivilege 特权，那么该账户可以模仿任何我们能获得引用或者句柄的令牌。我们可以通过命令whoami /priv 或者 whoami /all...

我们之前讲到的提权方式，主要以利用不当配置为主，在提权过程中也可以利用 CVE 漏洞的 exp 来实现，例如内核漏洞、应用漏洞、服务漏洞等。 WinPEAS，Watson (https://g...

代码审计自定义应用 在上一篇，我们从黑盒角度讨论了如何利用常见Web漏洞突破边界。白盒测试要比黑盒测试高效的多，有的漏洞甚至可能永远无法被发现除非人们看到源代码。企业独自开发的 web 应用 ...

我们可能以为，拿到了管理员权限的 shell 已经大功告成了，实际上并不是这样。帐号与帐号之间有权限的差异，而管理员上下文的会话则有完整度（Integrity）的差异。对于管理员用户，默认完整度...

请寻找一家大型企业 (千人以及更大规模)，通过 OSINT 以及正常访问等手段，搜集以下信息。请不要使用 nmap，漏洞扫描器等。 练习 1：企业的联系方式、地理位置 2：企业的产品、合作...

社会工程学信息搜集 在之前，我们已经搜集到了一些很有料的信息，那我们来看看如何利用这些搜集到的信息进行社会工程学攻击。我们能想到的场景之一，是借用求职者的身份与公司的HR进行联系，包括但不局限...