Search Results

端口转发是计算机网络中使用的一种技术，允许外部设备连接到专用网络内的特定设备，这是通过将通信请求从一个 IP 地址和端口号转发到另一个 IP 地址和端口号来实现的。而在跳板 (Pivoting) 的上下文中，攻击者可以通过正向端口转发技术来绕过网络限制访问其他的主机，或者通过逆向端口转发让无法访问外部网络的主机与攻击者的主机得以通信。 一个实际的例子，攻击者攻陷了边界主机 B，并且实现了对内部网络其他主机的代码执行能力。当攻击者试图让内部主机 C 运行 Beacon 并获得会话的时候发现主机 C 不能与互联网通信...

企业网络的边界所在的主机，往往具有多个网络适配器，1 个面向公共网络，至少 1 个面向企业内部网络，因此在我们进入边界之后需要以此主机作为跳板，继而访问内部网络。不过，即便在企业内部也可以有多个网段，因此也会有存在着多个适配器的主机。 考虑下述可能的情况：1：面向公网的主机 Web01 有着两张网卡，一张面向公网，一张的网段是 172.16.1.1/24。2：内网中的一台主机 Uat01 也有着两张网卡，一张的网段是 172.16.1.1/24，另一张为 10.10.10.1/24。除此之外，还有可能存在其他内网...

NetBIOS 和 LLMNR 中毒理论 NetBIOS-NS (NetBIOS Name Service) 和 LLMNR (Link-Local Multicast Name Raesolution) 是用于在 DNS 解析失败时为同一本地链路上的主机执行名称解析的协议，它们在现代 Windows 计算机上默认启用。在现代企业网络中，虽然 DNS 被大量使用，但有时由于配置错误、DNS 表不完整、服务器不可用等原因，它无法按预期工作。NetBIOS-NS 和 LLMNR 作为替代名称解析协议填补了这一空白。当...

横向移动，即通过对网络中的其他主机实现访问和控制从而扩大我们的占领范围，本质是因为我们已经拿下的资源 (用户、主机等)对其他主机具有特定的权限。在之前的章节，我们通过各种域攻击手法，例如 DACL 利用、组策略利用等，攻陷了更多的用户和主机。之前，我们能对其他主机实现资源访问、代码执行，现在，我们想要获得来自这些主机的 Beacon 或 Shell。尽管横向移动的真正难点在于攻陷这些具有权限的用户或主机从而实现对他们的模仿以获得特权，但在不同情况下选择最合适的横向移动方法也很重要，因为不同的横向移动方法所需要的需求...

WinRM，即 Windows 远程管理，是微软对 WS-MAN 协议的实现，提供了对远程主机的 PowerShell 访问。远程 PowerShell 正是建立在 WinRM 协议之上，使用户可以对远程主机运行 PowerShell 命令。而对于攻击者而言，这也是远程的对远程主机实现代码执行以及横向移动的途径。WinRM 默认端口为 5985，但因为是较高端口号，因此可以进行更改。 默认情况下，只有本地管理员权限的用户可以使用 Powershell 远程登陆，但对于 Remote Management User...

WMIC  (Windows 管理仪表) 是一项 Windows 管理功能，它为本地和远程访问 Windows 系统组件提供统一的环境。系统管理员可以创建 VBScript 或 PowerShell 脚本来管理本地和远程的 Windows 主机。WMI 也是横向移动和远程代码执行的原生方式，它需要本地管理员权限。 WMI 基础 在 WMI 中，命名空间是类的逻辑容器，它允许以层次结构组织类，每个命名空间可以包含类、类的实例或其他命名空间。WMI 使用命名空间来避免类之间的命名冲突。WMI中的根命名空间是 Roo...

根据 Microsoft (https://docs.microsoft.com/en-us/windows/desktop/com/the-component-object-model)，组件对象模型 (COM) 是分布式、平台独立、面向对象的，用于创建可交互的二进制软件组件的系统。COM 是 Microsoft 的 OLE 、ActiveX 和其他技术的基础技术。 对于攻击者来说，DCOM 还可以用于远程代码执行和横向移动，需要访问端口 135 和本地管理员权限。相对来说，基于 DCOM 的横向移动会更加难以...

SSH 是一个可以用于远程访问网络设备的网络协议，广泛运用于 Linux 主机，并且如今 SSH 在 Windows 主机上的使用也越来越广泛。对于我们网络安全人士，直观地概括就是 SSH 会话能给予我们完全交互式的 Shell。SSH 还可以与 FTP 服务集成，以加强文件安全性。因为 SSH 能访问主机的特性，也被一些集中式管理工具集成，以对受管理的主机进行命令执行、分发 IT 任务等， SSH 不仅支持密码登陆，还支持密钥登陆。如果使用密钥认证的话，需要用户通过 ssh-keygen 命令先生成一对私钥与公...

在 Windows 系统中，远程桌面能提供 GUI 的远程访问，在企业环境里使用极多，对于攻击者而言也是一种天然的横向移动的方式。如果我们已经拥有了受害用户的明文密码，并且受害用户是其他主机的本地管理员或者是 Remote Desktop Users 组成员，那么我们便可使用 mstsc.exe，即 RDP 客户端远程访问。在 Linux 平台，我们可以使用工具 xfreerdp 或者 rdesktop。 RDP 远程登陆是典型的交互式认证情景，交互式登陆需要明文密码，那也意味着，如果受害用户使用 RDP 登录到...

在这章节，我们将简要介绍在 DevOps 中所常涉及的应用以及这些应用可能带来的攻击面。通过对这些 DevOps 中涉及的应用进行利用与攻击，我们可以实现代码执行、横向移动、供应链污染、信息窃取等。DevOps 是一组结合了软件开发和 IT 运营的实践,，促进了一致性与自动化，适用于软件构建、系统变更、以及基础设施修改的管理。DevOps 使得传统基础设置和配置任务更加高效和线性。因为自动化的特性，以及能对基础设置的变更和部署，意味著 DevOps 中涉及的应用具有较高权限，对于攻击者来说是很高效的目标。 Dev...

存储库管理软件 在企业环境中，我们常常遇见存储库管理软件，例如 JFog Artifactory, Nexus Sonatype 等。这些软件存储了企业内在用的软件包、项目文件、二进制文件等。 Sonatype Nexus 或 JFrog Artifactory 等工件存储库管理器软件的沦陷会产生严重后果，并导致通常所说的供应链攻击或供应链污染。这是由于这些系统在软件开发和交付过程中发挥的关键作用。 原因如下： 集中信任：这些系统是组织内信任的中央来源。开发人员、CI/CD 系统和部署流程都从这些系统...

DCSync 是一项通过 MS-DRSR 协议复制 AD信息以及哈希的技术。DCSync 权限意味着持有对象对域具有 DS-Replication-Get-Changes，Replicating Directory Changes All 和 Replicating Directory Changes In Filtered Set 特权。通常来说，只有域控制器自身、域管理员、企业管理员才具备 DCSync 权限，在配置失误的情况下，其他对象也会被赋予 DCSync 权限，使得我们不需要到达域控制器或者拿到域管理员...

此时，我们已经拿到了域管理员的身份，并且可以随意地查询到任何用户的凭证，那么怎么进行之后的利用呢？ 黄金票据 回顾一下 Kerberos 的认证流程，当用户申请 TGT 的时候，DC使用 krbtgt 的 NTLM 哈希加密了 TGT。当然了，krbtgt 的 NTLM 哈希仅对域控制器所知。正因为如此，如果我们得到了 krbtgt 的密码哈希，那么我们可以用来任意地创建 TGT 票据。我们会在下文也提到白银票据，相比伪造一张服务票据，伪造 TGT 的优势在于可以以模仿的用户访问域内任何主机任何资源。 获...

类似于黄金票据，钻石票是一种 TGT，可以以任何用户身份来访问任何服务。黄金票据是完全离线伪造的，用该域的 krbtgt 哈希加密，然后传递到登录会话中以供使用。因为域控制器不追踪它发布的有效 TGT，所以它会接受使用自己的 krbtgt 哈希加密的 TGT。 因此，检测黄金票据使用的一种可行策略是查找没有相应 AS-REQ 的 TGS-REQ。 钻石票据是通过修改域控制器签发的有效 TGT 的字段来制作的。这是通过请求 TGT，使用域的 krbtgt 哈希对其进行解密，修改票据的所需字段，然后再重新加密来实现的...

有了上一小节的理论基础，我们来利用双向信任实现域间的移动。因为双向信任既可以发生于森林之内，也可以发生于森林之间，因此我们分别讨论。 森林之内 森林之内的横向移动是最简单的情形，因为信任是相互的，例如从子域移动到父域。我们有 2 种方式在森林之内移动，分别是利用 krbtgt 以及信任密钥，我们在 Dc01 上进行利用。 krbtgt  由于信任在 AD 森林中的作用方式，sidHistory 属性 (PAC 中的 ExtraSids) 在森林的域中是起作用的，因为这些 SID 不会在跨域引用中被 ...

入口信任，即目标域信任当前域，当前域可以访问目标域中的资源。要想从当前域移动到信任我们的目标域，我们有以下步骤需要完成： 寻找外部组/成员。 既然我们可以访问目标域中的资源，自然可以使用 PowerView 等工具对目标域进行枚举。让我们来查找目标域中包含域外用户的分组： Get-DomainForeignGroupMember -domain <目标域> 我们发现 Raven-med 域中的 ExtAdmin 分组在 Med-factory 域中是 Administrators 组的外部成员，即 Ex...

相比于入口信任与双向信任，出口信任的利用途径则少了许多，因为我们无法直接对目标域进行枚举和访问。如图所示，white-bird 域信任 med-deal 域，因此在 white-bird 域里，我们并不能枚举到 med-deal 域中的信息。 信任密钥利用 在存在信任关系的 2 个域之中，都会分别存储着信任账户，它们的 NTLM 值相同以作为跨域密钥。虽然信任账户不存在特权，但能允许我们以目标域的上下文进行信息枚举。 我们可以通过 Mimikatz 的 lsadump::trust /patch 命令...

在 Windows 主机上，我们可以通过执行 exe 文件、加载恶意 dll 等行为获得 Beacon 会话，此外，还可以通过一些脚本语言达到相同目的，例如使用 PowerShell IEX 命令将脚本下载到内存中执行，避免文件落地。传统的杀毒软件对此难以检测，而反病毒扫描接口 AMSI 提供了这么一个接口，可以实时捕获多种脚本语言例如 Powershell、JScript、VBScript 以及 .NET 命令等并传给本地杀毒软件检测。 AMSI 在Cobalt Strike中的体现则是我们在执行 powers...

无论是试图获得初始 Beacon 会话，还是对目标用户与主机进行后渗透操作，应用程序白名单作为一项安全控制机制，会阻止我们的行动。接下来，我们来探讨 AppLocker 的概念，与其绕过技术。 AppLocker AppLocker 是 Microsoft 的应用程序白名单技术，自 Windows 7 开始引入。AppLocker 可以限制允许在系统上运行的可执行文件、脚本、安装包、打包程序以及 dll，并且可以配置启用或仅审计。 如果一个类别被启用了，那么该类别的规则会被适用，每个类别都有各自的默认...

背景 约束语言模式，即 CLM，是 AppLocker 中的一种，如果我们对脚本类型文件启用了 AppLocker 规则，那么在运行 PowerShell 的时候便是约束语言模式。当 CLM 被启用的话，一些脚本语言例如 Powershell 的使用会被限制，只有白名单里的脚本才不会被影响。CLM 带来最直接的影响就是限制了对 .NET 框架的调用、执行 C# 代码以及反射。我们可以通过如下 Powershell 命令检查 PowerShell 语言的状态： $ExecutionContext.SessionS...