WEB和服务器安全漏洞
黑客技术领域,包括内外部网络渗透、反向破解、网络木马病毒分析等。
1,239个主题在此版块
-
- 0 篇回复
- 173 次查看
0x00 前言 在渗透测试中,往往需要选择一个合适的域名作为c2服务器,那么什么样的域名才能称之为“合适”呢? Expireddomains.net也许能给你一些建议。 Expireddomains.net可以查询最近过期或删除的域名,更重要的是,它提供了关键字搜索功能。 本文将对过期域名自动搜索工具CatMyFish进行测试,分析其原理,修复其bug,用python编写一个爬虫,得到所有的搜索结果。 0x01 简介 本文将介绍以下内容: 测试CatMyFish,一个自动搜索过期域名的工具 分析原理纠正了CatMyFish中的错误 爬虫的开发思路和实现细节 开源python实现的爬虫代码 0x02 测试过期域名自动化搜索工具CatMyFish 下载地址: https://github.com/Mr-Un1k0d3r/CatMyFish 主要实现流程 用户输入关键字 该脚本将搜索请求发送给expireddomains.net进行查询。 获取域名列表 将脚本域名发送给Symantec BlueCoat进行查询。 获取每个域名的类别。 Expireddomains.net地址: https://www.expireddomains.net/ 赛门铁克大衣地址: https://sitereview.bluecoat.com/ 实际测试 需要安装Python库beautifulsoup4 pip安装beau…
HACK7YD的最后回复, -
- 0 篇回复
- 117 次查看
0x00 前言 在之前的文章《Powershell tricks::Hide Process by kd.exe》 介绍过通过kd.exe隐藏进程的技巧,最大的缺点是需要开启本地内核调试模式,等待重启才能生效 这次介绍另外一个隐藏进程的方法——利用全局应用程序接口挂钩 优点是即时生效,不需要等待系统重启 0x01 简介 本文将要参照谢尔盖波多布里的文章,对该方法进行介绍,分析实际测试中需要注意的细节,并补全在64位下具体的参数设置 参考链接: https://www。代码项目。com/articles/49319/easy-way-to-setup-global-API-hooks?显示=打印 https://github.com/subTee/AppInitGlobalHooks-Mimikatz 0x02 原理 在用户层,通过全局应用程序接口挂钩将测试动态链接库注入到系统的所有进程,实现对指定进程的隐藏 hook方式 修改注册表键值AppInit _ DLLs 位置: HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \当前版本\ Windows 参数说明: LoadAppInit_DLLs: (REG_DWORD)全局启用或禁用AppInit _ DLLs的值。 0x 0禁用AppInit _ DLLs . 0x 1应用程序init _ dll已启用。 A…
cnhackteam7的最后回复, -
- 0 篇回复
- 100 次查看
0x00 前言 上一篇文章《Mimilib利用分析》中提到了mimilib可以作为WinDbg的一个插件,所以本文将详细介绍这个插件的使用方法,实现从内核态转储文件导出密码,并基于利用思路给出防御建议。 0x01 简介 本文将介绍以下内容: 转储文件的分类 转储文件的两种导出方法 WinDbg环境配置 利用理念 辩护建议 0x02 dump文件的分类 转储文件分为以下两类: 1.User-Mode Dump File 用户模式转储文件分为以下两种类型: 完全用户模式转储 小型转储 简单理解:通常针对单个流程。 更多参考: https://docs . Microsoft . com/en-us/windows-硬件/驱动程序/调试器/用户模式-转储-文件 创建方法: 您可以使用Procdump来创建。 从用户模式转储文件导出密码的方法; 请参考之前的文章《渗透基础-从lsass.exe进程导出凭据》。 2.Kernel-Mode Dump Files 即内核模式转储文件,分为以下五种类型: 完全内存转储 内核内存转储 小型内存转储 自动内存转储 主动内存转储 简单理解:包括所有流程的信息。 创建方法: 启动创建转储文件的功能,当系统崩溃时会自动创建转储文件(BSOD) 更多参考: https://docs . Microsoft . com/en-us/wi…
Tenfk的最后回复, -
.thumb.jpg.26764a69083eb4469b6d18365588b559.jpg)
- 0 篇回复
- 113 次查看
0x00 前言 在域渗透中,获得了域控制器权限后,需要获得域用户的登录信息,包括域用户登录的互联网协议(互联网协议)地址和登录时间。通常使用的方法是查看域控制器的登录日志(事件id=4624)。然而,人工从登录日志(事件id=4624)中筛选出域用户登录的互联网协议(互联网协议)地址和登录时间需要耗费大量时间,不仅无效数据多,而且需要多次判断,所以我们需要编写程序来实现这个功能。 在实际使用过程中,为了能够适配多种环境,还需要支持本地和多种协议的远程登录。于是本文将要分享我的实现方法,开源两个工具,记录细节。 0x01 简介 本文将要介绍以下内容: 通过EventLogSession实现 通过WMI实现 开源代码 0x02 通过EventLogSession实现 通过查询资料发现,通过EventLogSession不仅支持解析本地日志内容,还支持通过位置遥控(远程位置控制)远程解析日志,下面介绍关于EventLogSession的开发细节 1.输出Eventid=4624的日志内容 升c调实现代码: 使用系统; 使用系统诊断。事件。读者 命名空间测试1 { 班级计划 { 静态void Main(string[] args) { var session=新事件日志会话(); 字符串LogName=' Security string XPath query=' *[系统/事件id=4624]'; 事件日志查询事件日…
尖REN的最后回复, -
- 0 篇回复
- 100 次查看
0x00 前言 对于Exchange用户的邮箱,可以通过设置文件夹属性来创建隐藏文件夹。用户无法通过owa网页登录或使用Outlook来查看隐藏文件夹的内容。 从渗透测试的角度来看,我们可以使用隐藏文件夹来存储重要信息,作为C2通信的数据通道。 本文将介绍隐藏文件夹的使用,通过程序创建、访问和删除隐藏文件夹,并基于利用的思想给出一些防御建议。 0x01 简介 本文将介绍以下内容: 如何创建隐藏文件夹 隐藏文件夹的常见操作 使用EWS托管API的实现代码 使用EWS SOAP XML消息的实现代码 开放源代码 防御探测 0x02 隐藏文件夹的创建原理 参考资料: https://docs . Microsoft . com/en-us/exchange/client-developer/exchange-web-services/how-to-work-with-hidden-folders-by-using-EWS-in-exchange 对于Exchange用户邮箱,当文件夹的扩展属性pidgattributeheidden(0x 10f 4000 b)设置为true时,用户看不到该文件夹。 默认情况下,Exchange用户邮箱包括几个常用文件夹,如收件箱、发件箱和草稿。请参考:https://docs . Microsoft . com/en-us/dot net/API/Microsoft . exchange . web services…
剑道尘心的最后回复, -
- 0 篇回复
- 101 次查看
0x00 前言 第一部分分析了PNG的文件格式,介绍了如何在不影响PNG文件正常浏览的情况下,将有效载荷以辅助数据块文本的格式插入PNG文件中。这次,我们将介绍一种在图像数据块IDAT下隐藏有效载荷的技术,——LSB隐写术。 这幅画引自http://datagenetics.com/blog/march12012/index.html 0x01 简介 IDAT数据块 存储图像编号数据 数据流可以包含多个连续的图像数据块。 压缩采用LZ77算法的衍生算法。 可以用zlib解压。 zlib解压缩的python实现代码如下: #!/usr/bin/env python 导入zlib 导入binascii IDAT=' 789 C5 d 91011280400802 BF 04 ffff 5c 75294 b 5537738 a 21 a 27d 1 e 49 CFD 17 db 3937 a 92 e 7 e 603880 a6 d 485100901 FB 0410153350 de 83112 ea 2d 51 c 54 ce 2e 585 b 15 a 2 fc 78 e 872 f 51 c 6 fc 18818882 f解码(“十六进制”) result=binascii . hexlify(zlib . decompress(IDAT)) 打印结果 引自http://drops.wooyun.org/tips/4862 LSB隐写 L…
KaiWn的最后回复, -
- 0 篇回复
- 127 次查看
0x00 前言 之前的文章《域渗透——Local Administrator Password Solution》分析了LAPS的利用率。使用LAPS最大的好处就是可以保证域内每台主机都有不同的密码,密码会定期更换。 那么,如果域中没有配置LAPS,如何批量设置域中主机的本地管理员密码?里面可以用什么? 本文将介绍如何使用SYSVOL恢复保存在组策略中的密码,分析技术细节,最后给出一些防御建议。 0x01 简介 本文将介绍以下内容: 域内共享文件夹\SYSVOL简介 一种域管理员批量修改域内主机本地管理员密码的方法 组策略中可以使用什么? 实物试验 辩护建议 0x02 域内共享文件夹\SYSVOL介绍 在域中,有一个默认的共享路径: \\\SYSVOL\\ 域中的所有主机都可以访问它,与组策略相关的数据(包括登录脚本配置文件)都存储在其中。 例如,测试主机的域是test.local,它可以访问共享文件夹\\test.local\SYSVOL\test.local,如下图所示 0x03 域管理员批量修改域内主机本地管理员密码的方法 1、测试Server 2003系统 对于server2003,如果要批量修改域中主机的本地管理员密码,通常会配置组策略来执行vbs脚本。 给出一个vbs脚本修改密码(实现方法不唯一),代码如下: strComputer=“.” set objUser=GetObject(' win nt:/…
CHQ1d的最后回复, -
- 0 篇回复
- 103 次查看
0x00 前言 在之前的文章《渗透基础——远程从lsass.exe进程导出凭据》 介绍了Lsassy的用法,Lsassy能够实现远程从lsass.exe进程导出凭据。本文将要在Lsassy的基础上进行二次开发,添加一个导出凭据的方法,记录细节。 0x01 简介 本文将要介绍以下内容: 二次开发的细节 开源代码 0x02 导出凭据的方法 在之前的文章《渗透基础——从lsass.exe进程导出凭据》 提到过使用位置遥控(远程位置控制)控制lsass加载法定病假工资的方式向lsass.exe进程注入dll,由动态链接库来实现倾销的功能,这个方法是Lsassy缺少的 这个方法共分为两部分: (1)加载器 使用位置遥控(远程位置控制)控制lsass进程加载动态链接库文件 可参考XPN开源的代码: https://gist.github.com/xpn/c7f6d15bf15750eae3ec349e7ec2380e 在编译代码时,为了提高通用性,编译选项选择在静态库中使用MFC,在原代码的基础上添加如下代码: #杂注注释(lib,' Rpcrt4.lib ') 编译代码生成文件rpcloader.exe (2)dll文件 动态链接库文件实现从lsass.exe进程导出凭据,代码可参考: https://github。com/outblank nl/Dumpert/blob/master/Dumpert-DLL/outblank-Dumpert-…
Anonymous的最后回复, -
.thumb.jpg.efe932f5496dec4b6be0a5bdbb70a948.jpg)
- 0 篇回复
- 93 次查看
0x00 前言 Windows操作系统操作系统系统中的ACL(访问控制列表),用来表示用户(组)权限的列表。 在渗透测试中,理解并运用ACL,尤其在后门利用(提权)方面,可供发挥的空间很大。 而站在防御的角度,如果系统被攻破,找到并清除攻击者留下的前十字韧带后门,同样需要对前十字韧带有一定的了解。 0x01 简介 本文将要介绍以下内容: 前十字韧带相关概念 查看前十字韧带 前十字韧带利用(文件、注册表和域环境) 前十字韧带检测 0x02 ACL相关概念 官方文档: https://份文件。微软。com/en-us/windows/desktop/sec authz/access-control-list ACL: 访问控制列表,用来表示用户(组)权限的列表,包括抑郁症辅助核查表和SACL ACE: 访问控制条目中的元素 DACL: 自由访问控制列表,用来表示安全对象权限的列表 SACL: 系统访问控制列表,用来记录对安全对象访问的日志 直观理解: Windows操作系统操作系统访问控制模型中会用到ACL,比如文件、注册表的权限都包括ACL,用来表示哪些用户(组)具有操作权限 例如对某个文件进行访问,系统将做以下判断: 如果没有DACL,系统将允许访问 如果存在DACL,但没有ACE,系统将拒绝所有访问 如果存在DACL,也存在ACE,那么会按照每个(美国电影编辑)美国电影电视剪接师协会指…
XenoG的最后回复, -
- 0 篇回复
- 99 次查看
0x00 前言 在之前的文章《Exchange Web Service(EWS)开发指南》中,工具ewsManage是开源的,实现了对Exchange资源的访问。 在本文中,我们将更进一步,使用SOAP XML消息通过使用hash来访问Exchange资源。 0x01 简介 本文将介绍以下内容: 使用哈希访问Exchange资源的方法 soapmessage的使用 开源Python实现代码 代码开发细节 0x02 利用hash访问Exchange资源的方法 之前的文章《渗透技巧——Pass the Hash with Exchange Web Service》介绍了用hash登录ews的方法。 在前面研究的基础上,本文将介绍登录ews后访问Exchange资源的方法,因此在程序实现中将继续选择Python,使用EWS SOAP XML消息访问Exchange资源。 有两种方法可以引用EWS SOAP XML消息的格式: 寻找信息 https://docs . Microsoft . com/en-us/exchange/client-developer/exchange-web-services/get-started-with-EWS-client-applications https://docs . Microsoft . com/en-us/exchange/client-developer/web-service-reference/EWS-…
风尘剑心的最后回复, -
- 0 篇回复
- 94 次查看
0x00 前言 在渗透测试中,为了搜集信息,常常需要从外网获得交换服务器的内网IP,公开资料显示多级闪蒸的辅助/扫描仪/http/owa_iis_internal_ip插件支持这个功能,但是这个插件公开于2012年,已不再适用于Exchange 2013、2016和2019,本文将要介绍一种更为通用的方法,开源代码,记录细节。 0x01 简介 本文将要介绍以下内容: owa _ iis _内部_ip插件介绍 更为通用的方法 计算机编程语言开源代码 0x02 owa_iis_internal_ip插件介绍 多级闪蒸的辅助/扫描仪/http/owa_iis_internal_ip插件支持探测交换服务器的内网IP,对应氧化钾系统下的位置为:/usr/share/metasploit-framework/modules/auxiliary/scanner/http/OWA _ IIS _内部_ IP。铷 开源代码库上的地址为:https://github。com/rapid 7/metasploit-framework/blob/master/modules/auxiliary/scanner/http/OWA _ IIS _内部_ IP。铷 通过阅读源码,可以总结出实现原理: 设置超文本传送协议协议为1.0并访问特定统一资源定位器 在返回数据中,如果状态码为401,在页眉中的' WWW-Authenticate '会包含内网互联网协议(互联网协议) 在返回数据中,如果状…
轩辕三官的最后回复, -
- 0 篇回复
- 92 次查看
0x00 前言 之前的文章《渗透技巧——获得Windows系统的远程桌面连接历史记录》介绍了获取远程桌面连接历史的方法。 在实际渗透过程中,如果发现了远程桌面连接的历史,那么下一步就是想办法获取远程桌面连接使用的密码。 本文将结合RdpThief介绍从远程桌面客户端提取明文凭证的方法,并分享需要注意的细节。 RdpThief的地址: https://github.com/0x09AL/RdpThief 0x01 简介 本文将介绍以下内容: 获取远程桌面连接密码的思考 底特律图书馆hook系统API的使用方法 API监控器监控系统API调用的方法 使用RdpThief从远程桌面客户端提取明文凭据。 0x02 获取远程桌面连接口令的思路 通常有以下两种: 1.使用键盘记录器记录用户在mstsc.exe启动期间输入的密码。 2.当mstsc.exe启动时,读取mstsc.exe的内存数据,提取用户输入的密码。 RdpThief是第二种实现思想。它利用Detours库的hook系统API和API monitor来监控系统的API调用,找到mstsc.exe在内存中存储明文密码的位置。代码简洁有效。 0x03 使用Detours库hook系统API的方法 RdpThief在实现中使用了Detours库来挂接系统API,这里简单介绍一下Detours库的用法。 Detours库用于监控和检测Windows上的API调用,可以用来挂接系统AP…
RenX6的最后回复, -
0x00 前言 Covenant是由开发的C2(命令和控制)框架。NET的开发环境。网芯。它不仅支持Linux、MacOS和Windows,还支持docker容器。 最特别的是它支持动态编译,可以将输入的C#代码上传到C2服务器,获取编译后的文件,并使用汇编从内存中加载。加载()。 本文仅介绍《盟约》的细节,从技术研究的角度分析其特点。 0x01 简介 本文将介绍以下内容: 圣约的启动方法 契约功能介绍 契约的优势 圣约试验 0x02 Covenant的启动方法 1.Windows系统 您需要安装相应版本的。NET核心、ASP.NET核心和SDK。 经过测试,圣约要求。NET Core 2.2.0,ASP.NET Core 2 . 2 . 0和SDK 2.2.101,其他版本会报错。 下载地址: https://dot net . Microsoft . com/download/thank-you/dot net-SDK-2 . 2 . 101-windows-x64-installer https://dot net . Microsoft . com/download/thank-you/dot net-runtime-2 . 2 . 0-windows-x64-installer https://dot net . Microsoft . com/download/thank-you/dot net-runtime-2 . 2 . 0-w…
HACK7YD的最后回复, -
- 0 篇回复
- 115 次查看
0x00 前言 清除Windows事件查看器日志(evt)单日志系列文章之三介绍了在指定时间段内删除当前系统中EVT日志记录的方法和详细的测试过程,并说明了日志数量无法修改的原因。最后,查询日志内容和修改日志内容的实现代码是开源的。 0x01 简介 本文将介绍以下内容: XP系统中枚举所有句柄的方法 过滤日志文件句柄的标准 XP下Dll注入的示例代码 实际测试过程 无法修改日志数量的原因 日志查询的程序实现细节 修改日志的程序实现细节 0x02 XP系统下枚举系统所有句柄 上一篇文章《Windows单条日志清除(五)——通过DuplicateHandle获取日志文件句柄删除当前系统单条日志记录》介绍了Win8及以上系统的实现方法: 使用NtQuerySystemInformation查询SystemHandleInformation可以得到所有进程的句柄信息。 通过NtDuplicateObject获取句柄的名称和具体数值信息。 过滤掉你要找的句柄。 通过DuplicateHandle复制句柄。 获取修改日志文件的权限。 在XP系统下,不能用NtQuerySystemInformation查询SystemHandleInformation来获取进程的句柄信息。 参考processhacker的源代码,找到实现方法。 代码位置: https://github . com/process hacker/process h…
cnhackteam7的最后回复, -
- 0 篇回复
- 97 次查看
0x00 前言 之前的文章《渗透技巧——程序的降权启动》介绍了使用SelectMyParent降低功耗的方法,本质上是通过令牌窃取来实现的。这一次,我们将进一步介绍令牌窃取和利用,测试常用工具,并分享利用技巧。 0x01 简介 本文将介绍以下内容: Token简介 Metasploit中的匿名 Windows平台下的匿名 Invoke-TokenManipulation.ps1用法 使用令牌获取系统权限 使用token获取TrustedInstaller权限。 0x02 Token简介 Windows有两种类型的令牌: 委托令牌:用于交互式会话登录(例如,本地用户直接登录,远程桌面登录)。 模拟令牌:用于非交互式登录(使用net use访问共享文件夹) 注: 只有在系统重新启动后,两个令牌才会被清除。 具有委派令牌的用户注销后,该令牌将成为模拟令牌,仍然有效。 实际测试 使用Test\a登录,注销,然后使用管理员登录。 检查令牌: incognito.exe列表_令牌-u 您可以获取已注销用户Test\a的令牌,如下图所示 用这个令牌执行calc.exe: incognito.exe执行-c '测试\ a ' calc.exe 后台进程calc.exe的用户名是A,如下图所示。 0x03 Metasploit中的incognito 在Metasploit中,您可以使用匿名来窃取令牌…
Tenfk的最后回复, -
- 0 篇回复
- 110 次查看
0x00 前言 在某些情况下,访问Web服务器的资源需要通过HTTP协议上的NTLM进行NTLM身份验证。当我们在这样的Web服务器中使用Webshell时,我们不仅需要考虑NTLM认证的实现,还需要能够在命令行下使用它。 本文仅从技术研究、开源代码、分享脚本开发细节的角度介绍一种实现方法。 0x01 简介 本文将介绍以下内容: 设计理念 脚本开发详细信息 开放源代码 0x02 设计思路 有许多Web服务器通过HTTP协议由NTLM认证。这里以Exchange和SharePoint为例。 (1)交换测试环境 保存文件的绝对路径: c:\ Program Files \ Microsoft \ Exchange Server \ V15 \ client access \ auto discover \ test . aspx 相应的URL是: https://URL/自动发现/test.aspx (2)SharePoint测试环境 保存文件的绝对路径: c:\ Program Files \ Common Files \ Microsoft shared \ Web服务器扩展\15\TEMPLATE\LAYOUTS\test.aspx 相应的URL是: http://URL/_layouts/15/test.aspx Test.aspx要求通过HTTP协议上的NTLM进行NTLM身份验证。 这里以一个支持cmd命令的…
尖REN的最后回复, -
- 0 篇回复
- 88 次查看
About: 使用跟踪器加载dll 使用csi绕过应用程序白名单 从XSLT文件执行C# 目录: 介绍了用tracker.exe加载动态链接库的方法。 如何使用csi.exe绕过Windows设备保护 在XSLT文件转换期间执行C#代码 0x01 use tracker to load dll Reference: https://twitter.com/subTee/status/793151392185589760 简介: Casey在Twitter上分享了一个技巧,使用tracker.exe创建进程和注入dll。特别是,tracker.exe来自SDK,包括微软的数字签名。本文将分享一些使用该技巧的经验,并补充一个直接使用tracker.exe加载dll的技巧。 Tracker.exe: Tracker.exe被用来启动一个过程,并在创建后将FileTracker.dll注入其中。 跟踪目标进程的文件访问,并将其写入. tlog文件 通用目录(需要SDK): c:\ Program Files(x86)\ Microsoft SDKs \ Windows \ v 8.1a \ bin \ NETFX 4 . 5 . 1 Tools c:\ Program Files(x86)\ Microsoft SDKs \ Windows \ v 10.0 a \ bin \ NETFX 4 . 6 . 1 Tools \ x64 …
Xiao7的最后回复, -
- 0 篇回复
- 95 次查看
0x00 前言 通过Zimbra SOAP API能够对津布拉邮件服务器的资源进行访问和修改、津布拉官方开源了计算机编程语言实现的Python-Zimbra库作为参考 为了更加了解Zimbra SOAP API的开发细节,我决定不依赖Python-Zimbra库,参照应用程序接口文档的数据格式尝试手动拼接数据包,实现对Zimbra SOAP API的调用 0x01 简介 本文将要介绍以下内容: Zimbra SOAP API简介 Python-Zimbra简单测试 Zimbra SOAP API框架的开发思路 开源代码 0x02 Zimbra SOAP API简介 Zimbra SOAP API包括以下命名空间: zimbraAccount zimbraAdmin zimbraAdminExt zimbraMail 津布拉雷普 zimbraSync 津布拉沃西 每个命名空间下对应不同的操作命令,其中常用的命名空间有以下三个: 津布拉行政区邮件服务器的管理接口,需要管理员权限 zimbraAccount,同津布拉用户相关的操作 zimbraMail,同津布拉邮件的操作 津布拉邮件服务器默认的开放端口有以下三种: 1.访问邮件 默认端口为80或443 对应的地址为:uri"/服务/肥皂" 2.管理面板 默认端口为7071 对应的地址为:uri ':7071/service/adm…
剑道尘心的最后回复, -
- 0 篇回复
- 102 次查看
0x00 前言 应用程序兼容性是一个框架,主要用来解决应用程序在新版Windows操作系统操作系统系统上的兼容性问题。然而在渗透测试中它却有着更多的用处,本文将对公开资料进行整理,介绍在渗透测试中的具体利用技术,帮助大家更好的认识它,防御它。 0x01 简介 Shim: 相当于是在应用程序和Windows API之间的逻辑层。 当应用程序创建进程的时候,WindowsLoader首先会检查sysmain.sdb(位于%windir%\AppPatch\),如果存在已注册的sdb文件,IAT将被重定向到垫片,实现功能替换。 本文将介绍以下内容: 创建夹铁文件 实际利用方法 相关开源工具 检测和防御 0x02 创建Shim文件 1.Microsoft Application Compatibility Toolkit(ACT) 下载地址: https://www.microsoft.com/en-us/download/details.aspx?id=7352 默认修复方式种类个数为365 启动时加入/x参数可获得更多修复方式,总数807 如图 根据提示创建后生成100 . sdb文件,需要安装使其生效 可在微软应用程序兼容性工具包中直接选择安装,如图 0x03 实际利用方法 1.Hiding in the Registry 选择虚拟注册表 命令行填入: addredirect(hklm\softwar…
KaiWn的最后回复, -
- 0 篇回复
- 156 次查看
0x00 前言 在渗透测试中,获得Windows系统的访问权限后,通常使用mimikatz的sekurlsa:logonpasswords命令尝试读取进程lsass的信息,以获取当前登录用户的密码信息。但是,如果您想要完全获取系统中的密码信息,您必须提取存储在SAM数据库中的信息,并导出当前系统中所有本地用户的哈希。 0x01 简介 本文将介绍以下内容: 通过SAM数据库获取用户哈希的几种方法 原理分析 0x02 通过SAM数据库获得用户hash的方法 1、在线读取SAM数据库 读取当前系统的SAM数据库文件,获取系统所有本地用户的哈希。 (1) mimikatz 权限:调试 token:提升 lsadump:sam 测试下图 (2) pwdump7 下载地址: http://passwords.openwall.net/b/pwdump/pwdump7.zip 管理员权限执行,如下图所示 (3) powershell 下载地址: https://raw . githubusercontent . com/Empire project/Empire/master/data/module _ source/credentials/Invoke-power dump . PS1 管理员权限执行,测试如下图所示 2、离线读取SAM数据库 获取当前系统的SAM数据库文件,在另一个系统下读取。 有两种方…
CHQ1d的最后回复,