前言

@harmj0y 和 @tifkin_ 在 Black Hat USA 2021 中发表了 Certified Pre-Owned: Abusing Active Directory Certificate Services，披露了 AD CS（Active Directory Certificate Services, Active Directory 证书服务）中存在的一些漏洞攻击面及利用方法。其中一种默认的错误配置 ESC8 - NTLM 中继到 AD CS HTTP 端点，允许攻击者将用户/机器身份验证中继到 AD CS 服务器并获取用户/机器证书，获取证书后可以为用户/机器请求 TGT / TGS 票据，获取相应的权限在域内开展活动。

简介

woodpecker-framework是一款高危漏洞综合利用框架，目的是可以狙击高危漏洞，拿到权限！其设计是根据日常红队外围打点经验抽象得来。它的每个模块和外围打点的主要流程是一一对应的。

前言

​ 之前出差去客户现场做红队评估项目，拿到了一个域内高权限账户登录到了Vcenter服务器（其中一个Vcenter中就包含域控），却没有Vcenter的账户密码无法进入Vcenter，后发现多个用户登录后未注销，于是想到了韬哥前段时间分享的rdp劫持技术，这样劫持后就可以切到他的桌面了。

前言

实验环境：DC (10.10.10.10) windows server 2012 R2

Exchange Server（10.10.10.40）windows server 2012 R2 Exchange 2016 CU18

辅助DC (10.10.10.20)

攻击机IP (10.10.10.142)

域：c0okb.cn（域用户：testMember@c0okb.cn，administrator@c0okb.cn）

1.前言

​ 在红队评估中，木马的免杀效果往往决定了一次完美的钓鱼的成功与否，当然这里不仅仅是钓鱼，木马是我们最常用的一种权限维持的手段。而cs生成木马免杀更是老生常谈的话题，cs 生成的shellcode ，最常用的免杀手段就是，加载器和shellcode分离，在过静态一直保持着较高的成功免杀概率。

​ 为啥说免杀概率？总所周知，免杀一直都有着很玄学的色彩，当然这也是和杀软复杂的检测机制有关，主要是杀软都是不开源的，我们测试免杀性都是通过黑盒测试，只能一个个去试，去猜测免杀机制！

背景

​ 一次红队项目中，通过反序列化拿下入口点webshell，经过信息收集发现该机器在dmz区域，且c段内只有一台机器，猜测应该是防火墙做了连接限制，如果突破不了dmz区域，这个点就毫无作用。后续对webshell进行本机信息收集，发现了一个感兴趣的进程”b*agent.exe”,通过检索该进程配置文件定位到该agent服务端，经过测试连接，竟然能直接跨网段访问到it运维人员用于监控网络资产的设备主页，从设备的用途上可以分析出大概率这台设备的ACL很好，经过坚持不懈的努力成功登陆（不要问，问就是弱口令），通过监控面板看到了很多其他网段的关键主机和设备，如果能打下来这个监控设备的点，就能突破网络隔离，去探索新世界了！

​ 黑盒测过没发现能直接打死的漏洞，只能走上找寻源码的不归路。通过fofa、google搜了下，公网用的还不少，但打旁站或者供应商成本过于大，结合在供应商主页找到了设备的系统名称，拿着关键字最后在某盘找到了几套与目标版本比较近的安装包 ：）