横向获取主机权限

操作当前机器的远程桌面（RDP）

开启和关闭RDP，需要管理员权限

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1    
#开启

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 0    
#关闭

#下边的命令查询RDP服务的端口，返回一个十六进制的端口
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V PortNumber

获取历史连接凭证

获取RDP连接凭证（保存过的）

https://github.com/AlessandroZ/LaZagne

lazagne.exe windows
#git密码也能获取到

获取历史连接wifi密码

https://github.com/wangle201210/wifiPass

获取XShell连接凭证

https://github.com/dzxs/Xdecrypt

浏览器历史记录和凭据

https://github.com/moonD4rk/HackBrowserData

翻阅配置文件

数据库配置文件

网站目录/WEB-INF/classes/database.properties

MySQL数据库找密码

find / -name user.MYD
/var/lib/mysql/mysql/user.MYD
#下载下来解密MD5得到root密码

常见应用配置文件位置

Tomcat:	$CATALINA_HOME/conf/server.xml
Apache:	/etc/httpd/conf/httpd.conf
Nginx:	/etc/nginx/nginx.conf

1、用已知口令和常见弱口令构造字典，把SNETCracker代理进去扫SSH、RDP、MySQL等服务

2、Web后台弱口令和网络设备默认口令

3、技巧：如果能进到邮箱或wiki系统翻找到初始口令的话可以批量获取主机权限

MS17-010（CVE-2017-0143）

MSF有两种方式：

• 反弹shell：exploit/windows/smb/ms17_010_psexec，需要在主机上进行端口转发
• 直接执行命令：auxiliary/admin/smb/ms17_010_command，直接在主机上执行命令

未授权访问漏洞

Redis未授权访问
MongoDB未授权访问
Hadoop未授权访问漏洞

Web应用漏洞

重点关注Shiro反序列化、Weblogic、Struts2等可直接利用的组件漏洞

还有SQL注入、文件上传等能Getshell的Web安全漏洞

重点目标系统

Zabbix等监控系统，默认口令（Admin/zabbix）

通过堡垒机默认口令进入堡垒机，直接主机权限路径分刷满

查看wiki系统很多组织会在其中公示一些初始密码，拿来去做弱口令扫描

凭证传递攻击

Hash传递攻击和票据传递攻击，是域渗透中的攻击方法

Hash传递攻击本地用户的话需要密码相同才能成功（域管理账户的话可以随意登录）

可以用CS直接去扫445然后抓了hash去传递

hash注入的原理是，将我们预备好的目标机器的本地或者是域用户hash注入到本地的认证进程lsass.exe中去

使得本地在使用ipc登录目标机器的时候就如同自己登录自己的机器一样获得权限

需要支持受限管理员模式，Server 2012-r2后默认支持受限管理员模式