模型出错了,请稍后重试~
捍卫者心中的问题是“这是怎么发生的?”。 攻击通常从向一个或多个用户发送鱼叉式网络钓鱼电子邮件开始,使攻击者能够让他们的代码在目标网络内的计算机上运行。...缓解因素:现场修补或 Win2012/2012R2 DC 的成功有限 MS14-068利用过程: 作为标准用户请求没有 PAC 的 Kerberos TGT 身份验证票证,DC 用 TGT 回复(没有通常包含组成员资格的...原因是,默认情况下,PowerShell 远程处理使用“网络登录”进行身份验证。网络登录通过向远程服务器证明您拥有用户凭证而不将凭证发送到该服务器来工作(请参阅Kerberos和NTLM身份验证)。...因为远程服务器不拥有您的凭据,所以当您尝试进行第二次跃点(从服务器 A 到服务器 B)时,它会失败,因为服务器 A 没有用于向服务器 B 进行身份验证的凭据。...,因为它会破坏某些“特殊”场景(如集群)。
默认情况下,该文件夹在Windows系统上还存储一个合法的ResolutionHost任务,具体如下图所示。...TriFive通过登录合法用户的收件箱并从“已删除邮件”文件夹中的电子邮件草稿中获取PowerShell脚本,从而提供了对Exchange服务器的持久化后门访问。...事实上,基于电子邮件的C2也在Hisoka工具中使用过,虽然Hisoka工具使用电子邮件草稿发送和接收数据,但这些草稿仍保留在草稿文件夹中,而TriFive后门则专门将其电子邮件草稿保存到“已删除邮件”...下图显示的一封包含演示命令的邮件,主题为555,邮件内容为woFyeWt3cw==,该脚本将通过PowerShell执行: 为了运行攻击者提供的命令,PowerShell脚本需要登录到Exchange服务器上的合法电子邮件帐户...接下来,TriFive会将命令结果发送给攻击者,并将编码的密文设置为电子邮件草稿的消息体,它将保存在主题为555的“已删除邮件”文件夹中。
0x01:电子邮件转发 从Outlook Web Access(OWA)门户访问受感染的帐户并选择收件箱文件夹的权限将打开一个包含邮箱权限的新窗口。 ?...中继管理员NTLM到Exchange 电子邮件将被发送到目标帐户的邮箱(管理员)将自动转发到红队控制下的邮箱。 ? 电邮至目标帐户 电子邮件将在Red Team控制的帐户的收件箱中转发。 ?...尝试在没有权限的情况下直接打开另一个帐户的邮箱将产生以下错误。 ?...打开另一个邮箱 - 没有权限 有一个python 脚本利用相同的漏洞,但不是添加转发规则,而是为帐户分配权限以访问域中的任何邮箱,包括域管理员。...Outlook Web Access身份验证 Outlook Web Access具有允许Exchange用户在拥有权限的情况下打开另一个帐户的邮箱的功能。 ?
首先,我们来整体了解一下正常情况下一个用户请求访问某个服务时会经过哪些步骤: •首先用户将 AS-REQ 数据包发送给 KDC 密钥分发中心,要对一个域进行身份验证。...•如果 TGT 有效并且没有过期,那么 TGS 会从 TGT 认购权证中提取信息创建一个用于访问目标服务的一个 ST 服务票据,该 ST 服务票据使用服务账户的凭据进行加密。...Kerberos 身份验证服务的 SPN,因此这为在不进行大规模端口扫描的情况下收集有关内网域环境的服务运行信息提供了一个更加隐蔽的方法。...是 Kerberoast 工具集中的一个 PowerShell 脚本,可以用来查询域内用户注册的 SPN。...默认情况下会打印出注册于用户下的所有 SPN 的服务票据的 Hashcat 格式: Rubeus.exe kerberoast 使用 PowerShell 命令请求 为特定 SPN 请求服务票据的最简单方法是通过
以另一种方式,它包含您的身份并说明您可以在系统上使用和不能使用的内容。在不深入研究 Windows 身份验证的情况下,访问令牌引用登录会话,这是用户登录 Windows 时创建的。...网络登录(类型 3):网络登录发生在帐户向远程系统/服务进行身份验证时。在网络身份验证期间,可重用凭据不会发送到远程系统。...它首先创建一个 PowerShell 脚本,该脚本将对嵌入式有效负载进行 base64 编码,该有效负载从内存运行并压缩为单线,连接到 ADMIN$ 或 C$ 共享并运行 PowerShell 命令,如下所示...它不会将 DLL 放到磁盘或任何东西上,所以从蓝队的角度来看,如果 rundll32.exe 在没有参数的情况下运行,这是非常可疑的。 SC 服务控制器正是它听起来的样子——它控制服务。...双跳问题发生在网络登录(类型 3)发生时,这意味着凭据实际上从未发送到远程主机。由于凭据不会发送到远程主机,因此远程主机无法向有效负载托管服务器进行身份验证。
蜜罐帐户是一种策略性地定位在网络中的帐户,在这种情况下使用蜜罐帐户的主要目的是检测Kerberoasting(在@ myexploit2600的文章),根据我们在行业中的经验,这是在攻击之后使用的最常见的攻击媒介之一...使用蜜罐帐户的优点之一是没有额外的软件成本。许多蓝队解决方案要花费大量资金,并且需要大量资源来实施和管理。但是当使用蜜罐账户时,由于绝对不应请求或使用该账户,因此产生误报的可能性也为零。...如果您拥有SIEM或使用SOC管理的服务,则应该已经捕获了这些事件,并且可以创建自定义警报,但是对于此博客文章,我们将说明如何在没有其他服务或产品的情况下识别此活动。 ?...在最后一步中,我们将操作设置为启动powershell.exe,但是您应该将其更改为启动PowerShell脚本,该脚本通过电子邮件向管理员发送电子邮件,说明正在进行中的恶意活动也将禁用该帐户。 ?...为了测试检测,我们执行了Kerberoasting攻击,并且可以看到powershell.exe启动。 ?
这是如何从PowerShell运行此脚本的示例: $url = "https://raw.githubusercontent.com/jborean93/ansible-windows/master/scripts...注意 在 username和 password参数都存储在注册表中的纯文本。确保脚本完成后运行清除命令,以确保主机上仍没有存储凭据。... -ExecutionPolicy ByPass -File $file 可以在此脚本旁边设置不同的开关和参数(如-EnableCredSSP和 -ForceNewSSLCert)。...注意 ConfigureRemotingForAnsible.ps1脚本仅用于培训和开发目的,不应在生产环境中使用,因为它可以启用Basic本质上不安全的设置(如身份验证)。...Service\Auth*:这些标志定义WinRM服务允许哪些身份验证选项。默认情况下, 并且启用。
默认情况下,此模块将使用写字板图标伪装成可信任的应用程序。 ? 快捷方式的目标字段将使用执行Base64有效负载的PowerShell命令填充。可以将快捷方式转移并移动到启动文件夹中以保持持久性。.../pentestlab.exe;或者,该项目包含一个VBS脚本,该脚本可以执行与PowerShell版本相同的操作。...密码哈希可以用于脱机破解或NTLM中继攻击,以便访问其他系统或用户的电子邮件。LNKUp还具有生成将执行任意命令的快捷方式的功能。...xillwillx开发了一个名为ricky.lnk的PowerShell脚本,该脚本可以创建一个以.unik字符欺骗的.LNK文件,该字符反转.lnk扩展名并在文件末尾附加.txt。...或者,该项目包含一个VBS脚本,该脚本可以执行与PowerShell版本相同的操作。 ?
,例如:更改密码、向邮箱发送电子邮件等权限,还可以通过应用下列扩展权限,将任何给定帐户添加为域的复制伙伴: Replicating Directory Changes Replicating Directory...Invoke-ACLPwn是一个Powershell脚本,设计用于使用集成凭据和指定凭据运行,该工具通过创建域中所有ACL的SharpHound导出以及运行该工具的用户帐户的组成员身份来工作,如果用户还没有域对象的...虽然这种方法可行但它没有考虑中继用户可能拥有的任何特殊权限,通过这篇文章中的研究,我们在ntlmrelayx中引入了一种新的攻击方法,这种攻击首先请求重要域对象的ACL,然后将其从二进制格式解析为工具可以理解的结构...(几乎可以控制域中的所有组) 如果使用-upgrade-user标志指定了现有用户,则在可以执行ACL攻击的情况下,该用户将被授予复制权限,如果使用组攻击则该用户将被添加到高权限组,如果没有指定现有用户...服务器的管理权限,就有可能提升域中的权限,而无需从系统中转储任何密码或机器帐户哈希,从NT Authority\SYSTEM的角度连接到攻击者并使用NTLM进行身份验证,这足以对LDAP进行身份验证,下面的屏幕截图显示了用
中继管理员NTLM到Exchange Email将会被发送目标账户(管理员)的邮箱之中,将自动的转发到目标账号 ? 电邮至目标帐户 电子邮件将会在红队的账户中转发 ?...电子邮件自动转发 通过NTLM中继对Exchange进行身份验证,为目标用户创建一条规则,该规则会将所有的电子邮件转发到另一个收件邮箱之中。因此可以通过检查目标用户的收件箱规则来进行验证 ?...规则 - 转发管理员电子邮件 委托访问 如果Microsoft Exchange用户具有分配的必要权限,则可以将账户连接到其他的邮箱,如果尝试直接去打开没有权限的另一个账户的邮箱就会产生以下的错误。...打开另一个邮箱 - 没有权限 有一个利用相同漏洞的Python脚本,但是不添加转发的规则,而是为该账户分配权限,以访问域中的任何邮箱(包括管理员)该脚本需要有效的凭据,Exchange服务器的ip地址和目标电子邮件...Outlook Web Access身份验证 Outlook Web Access具有允许Exchange用户在拥有权限的情况下打开另一个账户的邮箱 ?
这里在没有更改原始本地策略和组策略的情况下,使用privilege::debug提升权限是能够提权成功的 ?...在较高级别上,客户端请求访问某些内容,身份验证服务器向客户端提出质询,客户端通过使用从密码派生的密钥对其响应进行加密来响应质询。...这里使用powershell脚本运行脚本,可以看到在没有修改的情况下是10s刷新一次 powershell.exe -ExecutionPolicy Bypass -File test.ps1 ?...默认情况下,HTTP Server API 缓存在 KA 连接上发送的第一个请求中获得的凭据。客户端可以在没有授权头的情况下在 KA 连接上发送后续请求,并根据之前建立的上下文获取身份验证。...在这种情况下,HTTP Server API 将基于缓存凭据的令牌发送到应用程序。代理发送的请求的凭据不会被缓存。
在不深入研究Windows身份验证的情况下,访问令牌会参考登录会话,这是用户登录Windows时创建的登录会话。...Network Logon (Type 3):当帐户对远程系统/服务进行身份验证时,将发生网络登录。在网络身份验证期间,可重用凭据不会发送到远程系统。...Powershell的脚本,该脚本对内存中运行的嵌入式的payloads 进行一个base64的编码,并将其压缩为单行代码,连接到ADMIN或者是C share并且运行Powershell命令。...默认情况下,PsExec将生成rundll32.exe进程以从中运行。它不会将DLL拖放到磁盘或任何东西上,因此从蓝队的角度来看,如果rundll32.exe在没有参数的情况下运行,则非常可疑。...当发生网络登录(类型3)时,会出现双跳问题,这意味着凭据实际上从未发送到远程主机。由于凭据没有发送到远程主机,因此远程主机无法向有效负载托管服务器进行身份验证。
如果没有办法进行Kerberos认证的话, 例如:当客户端使用其IP地址连接到域服务器或连接到工作组服务器时,则无法进行Kerberos身份验证。...这时候会采用NTLM身份验证协议,但是默认情况下,基于NTLM的身份验证是禁用的。 NTLM身份验证协议可确保用户身份,而无需发送任何可委托的凭据。...,允许管理员“配置WinRM并获取数据或管理资源” 是基于WinRM脚本API,而这个api使我们使能够从远程计算机执行WS-Management协议操作和获得数据。...而目标与已控机器之间的通信时加密的,蓝队在进行目标机器检测朔源的情况下,是先检测到wmi在执行恶意命令,但是没有发现wmi的横向情况,会不会想到是我们是通过winrm去远程调用wmi?...利用后,模块将尝试修改PowerShell执行策略以允许执行未签名的脚本。然后,将PowerShell脚本写入磁盘并自动执行以返回Meterpreter会话。
近年来,Emotet木马活动激增,这说明,其背后的黑客团体并没有消失。...僵尸网络示例 - Mirai Mirai恶意软件是一个著名的僵尸网络,用于感染物联网设备。当冰箱和咖啡机等家用物品在几乎没有身份验证的情况下获得wifi功能时,同时也带来了网络安全问题。...PowerSploit是PowerShell模块的集合,每个模块都包含一组独特的脚本,可以在攻击的多个阶段用于执行侦察、特权升级和横向移动等攻击操作。...恶意软件最常见的威胁载体是通过电子邮件,一种常见的手段是利用恶意的邮件,这些恶意邮件通常会包含在后台运行脚本的宏,将恶意软件下载到用户的办公设备上。...如果收到恶意的电子邮件后,我们可以通过对发送邮件的IP地址进行追溯,另一方面还可以建立高风险IP地址隔离机制,从源头遏制恶意软件,更好的保护我们的办公环境和网络安全。
恶意程序的多种多样,如 JavaScript、Windows 批处理文件或 Visual Basic 脚本。...△ Batch Downloader 示例 VBS Downloader 脚本通过 PowerShell 命令连接到服务器,服务器部署在 AWS EC2 上的 52.27.15.250。...△ VBScript Downloader 示例 PowerShell Dropper 在 Azure 的服务器上发现了一个使用 HCrypt 构建的 PowerShell 脚本。...从域名请求来看,攻击行动应该是从 2021 年 10 月开始的。...攻击通过钓鱼邮件进行传播,电子邮件仍然是需要防范的重点位置。
Emotet通过发送包含能够导致文档被下载的恶意链接或附有恶意文档的电子邮件,在受害者的设备或网络上获得初步立足点。至少从2015年开始,Emotet就拥有了反分析技术。...一旦降落到受害者的设备上,最新版本的Emotet将执行以下操作: 将自身移动到其首选目录 在启动文件夹中创建指向自身的LNK文件 收集受害者的设备信息并将其发送到C&C服务器 然后,它可以从C&C服务器下载新的有效载荷...PST信息窃取模块:此模块用于读取Outlook的电子邮件存档,并提取电子邮件的发件人姓名和电子邮件地址,可能用于发送垃圾电子邮件。 由这些模块窃取的所有信息都将被发送到C&C服务器。...随着银行对双因素身份验证(2FA)的普及和使用,使得通过窃取凭证来破坏帐户变得更加困难,并且随着网上银行业务的成熟,人们的安全意识和保护措施也得到了改善。...组织面临的挑战 Mealybug的活动为组织带来了许多挑战,这包括: 它的像蠕虫一样的能力意味着它可以在组织中迅速传播。 Emotet的网络传播能力意味着设备可以在没有任何用户交互的情况下受到感染。
https://github.com/GreatSCT/GreatSCT nps:运行没有PowerShell的PowerShell。...https://github.com/securestate/king-phisher FiercePhish:是一个管理所有钓鱼攻击的完整钓鱼框架 ,允许你跟踪单独的网络钓鱼活动,定时发送电子邮件等。...https://github.com/byt3bl33d3r/CrackMapExec PowerLessShell:在不调用PowerShell.exe的情况下执行PowerShell脚本。...它不仅可以使用屏幕捕捉功能来跟踪用户的活动,而且还可以通过电子邮件附件来将提取出的数据发送给攻击者。...https://etherpad.net/ 脚本 Aggressor脚本:大多数Cobalt Strike对话框和功能都是作为独立模块编写的,这些模块向Aggressor Script引擎提供了一些接口如
但是在Windows域里,默认普通机器账号有权注册SPN,但是普通域用户账号是没有权注册SPN的。...SPN的查询和发现 由于每台服务器都需要注册用于Kerberos身份验证服务的SPN,因此这为在不进行大规模端口扫描的情况下收集有关内网域环境的信息提供了一个更加隐蔽的方法。...PowerShellery PowerShellery下有各种各样针对服务SPN探测的脚本。其中一些只需要PowerShell v2.0的环境,而有一些则需要PowerShell v3.0环境。...如下是PowerShellery下不同脚本的使用: #Powershellery/Stable-ish/Get-SPN/ 下Get-SPN.psm1脚本的使用,需要powershell3.0及以上版本才能使用...PowerShell-AD-Recon 该工具包提供了一些发现指定SPN的脚本,例如指定Exchange,Microsoft SQLServer等服务的SPN。
1.概念介绍 在使用Kerberos身份验证的网络中,必须在内置计算机帐户(如NetworkService或LocalSystem)或用户帐户下为服务器注册SPN。...找到该SPN的记录后,用户会再次于KDC通信,将KDC颁发的TGT发送给KDC作为身份验证凭据,还会将需要访问资源的SPN发送给KDC,KDC中的身份验证服务(AS)对TGT解密校验无误后,TGS将一张允许访问该...SPN对应的服务的Ticket和该SPN对应服务地址发送给用户,用户使用该Ticket成功访问到MSSQL服务资源。...LDAP获取SPN信息、高版本Windows的Powershell获取SPN信息、低版本Windows可以使用第三方VBS脚本获取SPN信息,利用常用的C2 Empire自带的模块进行获取SPN信息。...SPN信息如果当前环境在域内,并且需要将工具落地在目标环境的情况下,常见的渗透自动化利用工具可能会被终端安全软件检测到或因为固有的流量特征被流量分析工具检测到,我们可以使用如adfind等工具,进行手动查询指定
并且,WinRM 默认情况下支持 Kerberos 和 NTLM 身份验证以及基本身份验证,初始身份验证后,WinRM 会话将使用 AES 加密保护。使用 WinRM 服务需要拥有管理员级别的权限。...WinRM 服务的配置 默认情况下,不配置 WinRM 侦听器。即使 WinRM 服务正在运行,也不能接收或发送 WS-Management 协议消息。...•Transport:用于指定用于发送和接收 WS-Management 协议请求和响应的传输类型,如 HTTP 或 HTTPS,其默认值为 HTTP。•Port:表示监听器所监听 TCP 端口。...,然后将 PowerShell 脚本写入磁盘并自动执行以返回一个 Meterpreter 会话。...我这里在本地测试的时候没有成功不知道为什么。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM
