腾讯云
开发者社区
文档
建议反馈
控制台
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
首页
学习
活动
专区
工具
TVP
最新优惠活动
返回腾讯云官网
《ATT&CK视角下的红蓝攻防对抗》
本专以ATT&CK框架模型为基座,系统、详细地讲解了信息收集、隧道穿透、权限提升、凭据获取、横向渗透、持久化6大阶段所涉及的技术原理、攻击手段和防御策略。既能让红队理解攻击的本质、掌握实战化的攻击手段
专栏成员
举报
92
文章
350356
阅读量
55
订阅数
订阅专栏
申请加入专栏
全部文章(92)
2023腾讯·技术创作特训营 第三期(23)
2024腾讯·技术创作特训营 第五期(23)
go(18)
编程算法(13)
云上实践(13)
云服务器(12)
云计算(6)
linux(5)
安全(5)
python(4)
打包(4)
api(4)
http(4)
微服务(4)
虚拟化(3)
c++(2)
jquery(2)
ide(2)
windows(2)
cocoa(1)
mac os(1)
php(1)
bash(1)
android(1)
qt(1)
postgresql(1)
django(1)
flask(1)
apache(1)
apt-get(1)
图像处理(1)
网站(1)
云数据库 MySQL(1)
容器(1)
网络安全(1)
正则表达式(1)
opencv(1)
tcp/ip(1)
数据结构(1)
云数据库 postgresql(1)
sdn(1)
应急响应服务(1)
小程序·云开发(1)
gnu(1)
init(1)
root(1)
搜索文章
搜索
搜索
关闭
Windows RID劫持
2024腾讯·技术创作特训营 第五期
而在实战中 我们可以使用MSF所提供的windows/manage/rid_hijack模块来帮助我们进行RID劫持。
一只特立独行的兔先生
2024-02-18
294
0
在Linux中创建隐匿的计划任务
2024腾讯·技术创作特训营 第五期
首先,使用命令service cron status来检查系统中的计划任务服务是否正常运行,执行结果如图1-1所示,running则代表正在运行。然后,使用命令crontab -l来查看当前用户在系统中创建的计划任务,执行结果如图1-2所示。
一只特立独行的兔先生
2024-02-17
591
0
利用计划任务劫持提升权限
2024腾讯·技术创作特训营 第五期
在Win8之前我们可以使用at命令来帮助创建与执行计划任务,在终端中输入命令at 10:01 notepad.exe,则可以创建一个在时间到达10:01时自动打开notepad.exe的计划任务,命令执行结果如图1-1所示。
一只特立独行的兔先生
2024-02-16
449
0
内网隧道穿透之流量检测与防护
2024腾讯·技术创作特训营 第五期
在真实环境中,ICMP协议经常会被用来检测网络连通状态,而防火墙是会默认允许ICMP协议通信,因此越来越多的攻击者会利用ICMP协议进行非法通信,通过ICMP协议搭建隐蔽隧道加密恶意流量,从而对企业内网进行攻击。
一只特立独行的兔先生
2024-02-15
892
0
利用注册表键值Bypass UAC
2024腾讯·技术创作特训营 第五期
fodhelper.exe是一个具备autoElevate属性且是微软自带的工具,具备微软签名,该程序在执行过程中会将注册表中HKCU:\Software\Classes\ms-settings\Shell\Open\command的内容当作命令执行。接下来笔者通过该程序大致地讲解一下如何通过fodhelper.exe绕过UAC。
一只特立独行的兔先生
2024-02-14
535
0
Socks隧道代理
2024腾讯·技术创作特训营 第五期
Socks是Socket Secure的缩写,其是一种工作在OSI七层模型中的第五层网络会话层协议,Socks主要的作用是代表客户端将任何协议或者任何程序产生的任何类型的流量路由到服务器上,以此来将本地和远端两个系统连接起来。
一只特立独行的兔先生
2024-02-13
659
0
SPN信息扫描
2024腾讯·技术创作特训营 第五期
在使用Kerberos身份验证的网络中,必须在内置计算机帐户(如NetworkService或LocalSystem)或用户帐户下为服务器注册SPN。对于内置帐户,SPN将自动进行注册。但是,如果在域用户帐户下运行服务,则必须为要使用的帐户手动注册SPN。因为域环境中每台服务器都需要在Kerberos身份验证服务注册SPN,所以我们可以直接向域控制器进行查询我们需要的服务的SPN,就可以找到我们需要使用的服务资源在哪台机器上。Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。如果在整个域中的计算机上安装多个服务实例,则每个实例都必须具有自己的SPN。如果客户端可能使用多个名称进行身份验证,则给定的服务实例可以具有多个SPN。例如,SPN总是包含运行服务实例的主机名称,所以服务实例可以为其主机的每个名称或别名注册一个SPN。
一只特立独行的兔先生
2024-02-12
205
0
域渗透之定位个人用户
2024腾讯·技术创作特训营 第五期
在Windows日志中,ID 4624表示成功登录事件,主要用来筛选该系统的用户登录成功情况。在域控里记录了域内所有机器和用户的登录情况,并记录了对应的IP,通过筛选该事件ID日志可以帮助我们定位在域内对应的个人PC,我们可以通过使用SharpEventLog来定位域内个人PC,具体实验环境如表1-1所示。
一只特立独行的兔先生
2024-02-11
439
0
Windows内网多网卡主机发现利用
2024腾讯·技术创作特训营 第五期
OXID Resolver是在支持COM+的在计算机上运行的服务。它存储与远程对象连接所需的RPC字符串绑定,并将其提供给本地客户端。将Ping消息发送到本地计算机中具有客户端的远程对象,并接收在本地计算机上运行的对象的Ping消息。在红队过程中可以通过IOXIDResolver接口实现没有任何身份验证的情况下对远程计算机的网络接口信息进行远程枚举。首先是使用DCERPC请求与IOXIDResolver接口进行绑定,然后通过ServerAlive2()方法获得远程主机的DUALSTRINGARRAY,里面包含目标主机的机器名和所有网卡对应的IP地址,如图1-1所示。
一只特立独行的兔先生
2024-02-10
598
0
SPN服务主体名称详解
2024腾讯·技术创作特训营 第五期
SPN(ServicePrincipal Names,服务主体名称)是服务实例的唯一标识符,当域内存在大量的服务器,管理员为了方便管理会对服务器进行标识,那么管理员标识所使用的方法就是SPN。
一只特立独行的兔先生
2024-02-09
444
0
LDAP轻量目录访问协议详解
2024腾讯·技术创作特训营 第五期
LDAP(Lightweight Directory Access Protocol,轻量目录访问协议),是在X.500标准基础上产生的一个简化版本轻量目录访问协议,他是用来访问目录数据库的一个协议。LDAP目录服务是由目录数据库和一套访问协议组成的系统,通俗点可以把LDAP协议理解为一个关系型数据库,其中存储了域内主机的各种配置信息,当我们想要查找管理某个对象时,就可以通过LDAP层次结构查找实现,如图1-1所示。
一只特立独行的兔先生
2024-02-08
3.4K
0
Windows 组策略详解
2024腾讯·技术创作特训营 第五期
本地组策略(Local Group Policy)是组策略的基础版本,它面向独立且非域的计算机,包含计算机配置以及用户配置策略,如图1-1所示。我们可以通过本地组策略编辑器去更改计算机中的组策略设置。例如:管理员可以同通过本地策略编辑器对计算机或者特定的组策略用户来设置多种配置,桌面配置和安全配置等。
一只特立独行的兔先生
2024-02-04
6.2K
0
Windows AD域详解
2024腾讯·技术创作特训营 第五期
在介绍域之前,我们先了解一下什么是工作组,工作组是在window98系统以后引入的,一般按照电脑功能划分不同工作组,如将不同部门的计算机划分为不同工作组,计算机通过工作组分类,使得访问资源具有层次化,但是缺乏统一的管理和控制机制,因此引入“域”。
一只特立独行的兔先生
2024-02-02
711
0
Windows WMI 详解之WMI ATTACK
2024腾讯·技术创作特训营 第五期
当我们在拿到内网某一台机器权限时,第一时间要做的就是信息收集,WMI中的各种类为我们在内网信息收集方面提供了十分有利的条件,作为红队的我们可以利用如下WMI中各种类的子集来对目标进行全方面信息收集。
一只特立独行的兔先生
2024-01-31
235
0
Windows WMI 详解之WMI事件
2024腾讯·技术创作特训营 第五期
EventFilter(事件过滤器)存储在一个ROOT\subscription:__EventFilter对象的实例里,其主要作用是使用WMI的查询语言来过滤审核特定的事件,一个事件过滤器接受一个WMI事件查询参数,同时EventFilter事件过滤器可以对Intrinsic Events (内部事件)和Extrinsic Events (外部事件)进行事件查询。
一只特立独行的兔先生
2024-01-30
529
0
Windows WMI 详解之WMI远程交互
2024腾讯·技术创作特训营 第五期
当前,WMI支持两种远程交互的协议:DCOM协议和WinRm协议。我们可以通过这两种协议对远程的机器进行对象查询、事件注册以及WMI类方法的执行等操作,攻击者要有效的利用WMI的两种远程交互协议则需要一定的特权用户凭证,因此大多数的安全厂家通常都不会对WMI这两种协议所传输的恶意内容以及恶意流量进行审查,这就让攻击者对WMI这两种协议有了可利用的空间,那么,接下来给大家分别介绍WMI所支持的两种协议—DCOM协议和WinRm协议。
一只特立独行的兔先生
2024-01-29
687
0
Windows WMI 详解(一)
2024腾讯·技术创作特训营 第五期
WMI全称为Windows Management Instrumentation,即Windows管理规范,是Windows 2K/XP管理系统的核心。它属于管理数据和操作的基础模块,设计WMI的初衷是为了能达到一种通用性,通过WMI去操作系统、应用程序等去管理本地或者远程资源。它支持分布式组件对象模型(DCOM)和Windws远程管理(WinRM),用户可通过WMI服务访问、配置、管理和监视Windows所有资源的功能,对于其他的Win32操作系统来讲WMI是一个非常不错的插件,同时也是测试人员在攻防实战中一个很完美的“无文件攻击”入口途径。
一只特立独行的兔先生
2024-01-28
1.1K
2
Windows常见协议之 WPAD(Web代理自动发现协议)
2024腾讯·技术创作特训营 第五期
WPAD全称Web Proxy Auto-Discovery Protocol,也就是WEB代理自动发现协议(这里的代理就是我们在渗透中常用BURP的时候修改的代理设置)。它的作用是让局域网浏览器自动发现内网中的代理服务器,并且自动设置成该代理进行连接企业内网或者互联网。若系统开启了WPAD,那么主机就会在当前连接的局域网中去寻找代理服务器,找到之后会在代理服务器中下载PAC(Proxy Auto-Config)的配置文件(其实我们在日常中经常能看见当我们使用SSR的时候就会看见PAC自动模式),这个PAC文件会定义用户在访问什么地址的时候,使用什么代理进行访问,举一个常见易懂的例子,有些公司会对访问谷歌浏览器有一定的需求,那么他们就会搭建一个代理服务器,里面的PAC文件就会配置当访问谷歌浏览器的时候web代理自动使用到那个代理服务器上,同时浏览器将下载并解析该文件,将相应的代理服务器设置到浏览器中。
一只特立独行的兔先生
2024-01-26
776
0
Windows安全认证机制之Windows常见协议
2024腾讯·技术创作特训营 第五期
链路本地多播名称解析(LLMNR)是一个基于域名系统(DNS)数据包格式的协议,使用此协议可以解析局域网中本地链路上的主机名称。它可以很好地支持IPv4和IPv6,是仅次于DNS解析的名称解析协议。
一只特立独行的兔先生
2024-01-24
351
0
Windows安全认证机制之Kerberos 域认证
2024腾讯·技术创作特训营 第五期
Kerberos是由麻省理工学院(MIT)开发的网络身份验证协议,它的主要好处是强大的加密和单点登录(SSO)。Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如共享密钥)实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据的情况下保证通讯安全。
一只特立独行的兔先生
2024-01-23
803
0
点击加载更多
社区活动
【纪录片】中国数据库前世今生
穿越半个世纪,探寻中国数据库50年的发展历程
立即查看
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档