Home

​ 最近一直在学习Nim语言，大家从去年就开始推荐了，而我后知后觉的现在才开始尝试接触，发现其实还是“很香”的 ​ 钓鱼攻击在现在的演练活动中逐渐成为很重要的打点方式，那么投递我们的诱饵需要对落地的文件进行一些处理或者说伪装，C系列的语言写出的文件捆绑释放容易被AV所检测，毕竟释放一个PE文件怎么样都是敏感的(当然需要你释放的PE是免杀的)，所以我们尝试了一些其他的语言，发现Nim这款语言非常适合用来做一个文件捆绑器。 相对生僻语言，不易被检测 其编译所生成文件大小及其友好 所以花了几天时间编写了一个粗糙的工具，用来生成我们钓鱼活动当中所用到的捆绑器，流程大概是： 释放正常文件(文档、图片、PDF任何) 运行正常文件 内...

开始 ​ 还记得上一篇文章提到的，通过MS-EFSRPC协议的EfsRpcOpenFileRaw函数也可以像printbug(域内委派攻击的老朋友了)一样发起SMB认证请求。 ​ 后经过测试，发现默认情况下，DC为2012、2016、2019时，只需指定中继IP以及受害IP就可以成功发起认证， ​ 不需要机器在域内，不需要域内凭据！ ​ 也就是说配合公开的CVE-2019-1040(这个漏洞在大部分域内都没有修复)，可以说达到指哪打哪的效果 ​ 至于有的同学不知道为什么需要配合CVE-2019-1040这个漏洞绕过NTLM签名认证，可以查看ntlm的基础 演示 ​ 下面测试在MAC(域外，保证网络通即可)上开启ntlmrelayx以及触发辅DC的认证请求，relay至DC...

https://github.com/topotam/PetitPotam 收到GitHub推送看到了一个新工具可以触发Windows认证， 通过MS-EFSRPC协议的EfsRpcOpenFileRaw函数 查看源代码 int wmain(int argc, wchar_t** argv, wchar_t** envp) { wprintf(L"Usage: PetitPotam.exe <captureServerIP> <targetServerIP> \n"); handle_t ht = Bind(argv[2]); HRESULT hr = NULL; PEXIMPORT_CONTEXT_HANDLE plop; SecureZer...

一、 暂不讨论网上很多的2016以及2019成功情况，来讨论讨论真实情况，首先我花了两天时间测试了2012r2为域控的环境 除了用户在Domain Admins和Enterprise Admins这两个域内高权限组的用户去调用RpcAddPrinterDriverEx都会是access_denied，感觉还是有很大的限制，所以感觉目前的情况可能这个漏洞作为“武器化”的本地提权漏洞更为合适，所以用EnumPrinterDriversW先获取本机的驱动接口，解决了一个利用条件；以及不需要本地用户的口令即可食用。 二、 另外，测试2008的pDriverPath为 C:\Windows\System32\DriverStore\FileRepository\ntprint.inf_...

首先通过impacket套件中的addcomputer.py 添加机器用户 注：添加机器用户是为了配置完RBCD之后利用这个具有SPN的账户去通过S4U协议申请到目标机器(也就是NTLM请求发出的机器)的TGS Ticket，或者配合CVE-2019-1040去中继一个域内机器也可以添加机器账户(因为LDAP不允许非加密连接添加账户，这个漏洞正是绕过了NTLM中验证消息完整性的标识位) 为了配合SpoolSample使用，还需要将中继机器添加至域内DNS，这里可以使用powermad工具中的Invoke-DNSUpdate，以及printerbug.py等等 通过PrintSpoofer强制主机向test主机发起认证 中继机器收到认证，中继至LDAP配置基于资源的约...

​ 经过@尼克的信息搜集，获取到一位人员的工号并且成功重置其密码，登陆其统一认证系统，以及VPN，发现此VPN不是彼VPN，访问资源都是以他代理去访问的，而不是直接拨入内网。 访问任何资源都如此形式： https://webvpn.xxxxx.cn/http-8009/77726476706e697776646265737421a1ae13d27666301e2f5bdce2ca ​ 很明显URL路径中有HTTP协议，以及要访问资源的端口，而URL则被进行编码加密操作，此时想要批量探测内网变得有些困难，并且也通过href看到了几个内网IP段。 所以需要分析一下他做的加密操作： 查看JS发现点击“立即跳转”会调用go() 接着可以发现encrypUrl()函数为处理u...

CVE-2021-26855 CVE-2021-27065 ⚠️For educational and learning purposes only GitHub: https://github.com/evilashz/ExchangeSSRFtoRCEExploit Usage [*] ProxyLogon-Exchange SSRF to RCE Exploit Chain. - Author @Evilash ./Exchange_SSRFtoRCEChainExploit.py <https://url> <MailUser> Real and stable exploit to RCE , enjoy it :) ...

0x00 前言 ​ 此篇文章的思路是来自于倾旋师傅的静态恶意代码逃逸（第六课） ​ PS：这个系列文章进行入门学习还是非常好的。 ​ 我认为对于一个渗透人员，免杀技术还是比较重要的，而且其实想达到一定的效果也不是太费劲，学习的过程中，你也可以了解很多Windows编程的知识、熟悉很多API、各种代码注入技术等等，对之后的学习、发展也有帮助。当然你使用python、Go…这些语言去做免杀可能更简单，但是还是推荐用C系列的，为了自己的学习还是更好。 0x01 关于MemoryModule https://github.com/fancycode/MemoryModule MemoryModule is a C-library that can be used to loa...