Home

NimFileBinder--Nim文件捆绑生成器

​ 最近一直在学习Nim语言,大家从去年就开始推荐了,而我后知后觉的现在才开始尝试接触,发现其实还是“很香”的 ​ 钓鱼攻击在现在的演练活动中逐渐成为很重要的打点方式,那么投递我们的诱饵需要对落地的文件进行一些处理或者说伪装,C系列的语言写出的文件捆绑释放容易被AV所检测,毕竟释放一个PE文件怎么样都是敏感的(当然需要你释放的PE是免杀的),所以我们尝试了一些其他的语言,发现Nim这款语言非常适合用来做一个文件捆绑器。 相对生僻语言,不易被检测 其编译所生成文件大小及其友好 所以花了几天时间编写了一个粗糙的工具,用来生成我们钓鱼活动当中所用到的捆绑器,流程大概是: 释放正常文件(文档、图片、PDF任何) 运行正常文件 内...

Read more

不需凭证,5秒沦陷域控?

开始 ​ 还记得上一篇文章提到的,通过MS-EFSRPC协议的EfsRpcOpenFileRaw函数也可以像printbug(域内委派攻击的老朋友了)一样发起SMB认证请求。 ​ 后经过测试,发现默认情况下,DC为2012、2016、2019时,只需指定中继IP以及受害IP就可以成功发起认证, ​ 不需要机器在域内,不需要域内凭据! ​ 也就是说配合公开的CVE-2019-1040(这个漏洞在大部分域内都没有修复),可以说达到指哪打哪的效果 ​ 至于有的同学不知道为什么需要配合CVE-2019-1040这个漏洞绕过NTLM签名认证,可以查看ntlm的基础 演示 ​ 下面测试在MAC(域外,保证网络通即可)上开启ntlmrelayx以及触发辅DC的认证请求,relay至DC...

Read more

触发主机强制认证的新方式--MS-EFSRPC

https://github.com/topotam/PetitPotam 收到GitHub推送看到了一个新工具可以触发Windows认证, 通过MS-EFSRPC协议的EfsRpcOpenFileRaw函数 查看源代码 int wmain(int argc, wchar_t** argv, wchar_t** envp) { wprintf(L"Usage: PetitPotam.exe <captureServerIP> <targetServerIP> \n"); handle_t ht = Bind(argv[2]); HRESULT hr = NULL; PEXIMPORT_CONTEXT_HANDLE plop; SecureZer...

Read more

CVE-2021-1675-LPE-EXP-本地提权无需密码

一、 暂不讨论网上很多的2016以及2019成功情况,来讨论讨论真实情况,首先我花了两天时间测试了2012r2为域控的环境 除了用户在Domain Admins和Enterprise Admins这两个域内高权限组的用户去调用RpcAddPrinterDriverEx都会是access_denied,感觉还是有很大的限制,所以感觉目前的情况可能这个漏洞作为“武器化”的本地提权漏洞更为合适,所以用EnumPrinterDriversW先获取本机的驱动接口,解决了一个利用条件;以及不需要本地用户的口令即可食用。 二、 另外,测试2008的pDriverPath为 C:\Windows\System32\DriverStore\FileRepository\ntprint.inf_...

Read more

Printer Spooler 配置基于资源的约束委派利用记录

首先通过impacket套件中的addcomputer.py 添加机器用户 注:添加机器用户是为了配置完RBCD之后利用这个具有SPN的账户去通过S4U协议申请到目标机器(也就是NTLM请求发出的机器)的TGS Ticket,或者配合CVE-2019-1040去中继一个域内机器也可以添加机器账户(因为LDAP不允许非加密连接添加账户,这个漏洞正是绕过了NTLM中验证消息完整性的标识位) 为了配合SpoolSample使用,还需要将中继机器添加至域内DNS,这里可以使用powermad工具中的Invoke-DNSUpdate,以及printerbug.py等等 通过PrintSpoofer强制主机向test主机发起认证 中继机器收到认证,中继至LDAP配置基于资源的约...

Read more

通过 WebVPN 扫描内网

​ 经过@尼克的信息搜集,获取到一位人员的工号并且成功重置其密码,登陆其统一认证系统,以及VPN,发现此VPN不是彼VPN,访问资源都是以他代理去访问的,而不是直接拨入内网。 访问任何资源都如此形式: https://webvpn.xxxxx.cn/http-8009/77726476706e697776646265737421a1ae13d27666301e2f5bdce2ca ​ 很明显URL路径中有HTTP协议,以及要访问资源的端口,而URL则被进行编码加密操作,此时想要批量探测内网变得有些困难,并且也通过href看到了几个内网IP段。 所以需要分析一下他做的加密操作: 查看JS发现点击“立即跳转”会调用go() 接着可以发现encrypUrl()函数为处理u...

Read more

Exchange SSRF to RCE Exploit

CVE-2021-26855 CVE-2021-27065 ⚠️For educational and learning purposes only GitHub: https://github.com/evilashz/ExchangeSSRFtoRCEExploit Usage [*] ProxyLogon-Exchange SSRF to RCE Exploit Chain. - Author @Evilash ./Exchange_SSRFtoRCEChainExploit.py <https://url> <MailUser> Real and stable exploit to RCE , enjoy it :) ...

Read more

MemoryModule内存反射DLL加载--远程恶意文件不落地加载

0x00 前言 ​ 此篇文章的思路是来自于倾旋师傅的静态恶意代码逃逸(第六课) ​ PS:这个系列文章进行入门学习还是非常好的。 ​ 我认为对于一个渗透人员,免杀技术还是比较重要的,而且其实想达到一定的效果也不是太费劲,学习的过程中,你也可以了解很多Windows编程的知识、熟悉很多API、各种代码注入技术等等,对之后的学习、发展也有帮助。当然你使用python、Go…这些语言去做免杀可能更简单,但是还是推荐用C系列的,为了自己的学习还是更好。 0x01 关于MemoryModule https://github.com/fancycode/MemoryModule MemoryModule is a C-library that can be used to loa...

Read more