在昨天的实验中,我们通过多种方式,拿到了windows系统内存中的NTLM Hash(相当于加密的密码)。今天的实验,是在不解密的条件下,成功获得远程系统的访问权限~
ailx10:windows系统密码获取分析和防范目标机器的环境(假定的受害者机器)
- 域信息:
hackbiji.top
(黑客笔记) - 域内用户:
ailx00
- 密码:
WoShi@Ailx10
(未知信息) - 哈希:
8c0a2bd6****790228ea
(已知信息) - IP地址:
192.168.160.135
(已知信息)
攻击者的环境(假定的攻击者机器)
- 已知受害者的IP地址
- 已知受害者的哈希
黑客可以直接以管理员的方式,打开cmd,进入mimikatz目录,运行下面的命令,就完成了对目标受害者机器的控制。这时候会弹出来一个新的cmd窗口,这个窗口实际上就是一个连接目标受害者机器的IPC通信管道~
mimikatz "privilege::debug" "sekurlsa::pth /user:ailx00 /domain:hackbiji.top /ntlm:8c0a2bd***********79d19790228ea"
通过这个IPC管道,黑客可以远程控制受害者的电脑。关于IPC管道的简单应用,可以参考下面这篇文章:
ailx10:常用windows远程连接和相关命令弹出这个小黑框,不仅仅可以通过NTLM,还可以通过RC4、AES128、AES256
然而,梦想很美好,现实很残酷。最后,小黑窗可能出现下面这样的情况,输入dir
命令,却还要密码。搞了半天,又回到了原点。
既然回到了原点,那么咱们就顺水推舟吧。输入下面这条带用户名+密码的asklist
命令,就可以了。
asklist /S 192.168.160.135 /U HACKBIJI\Administrator /P W2ngluoanquan
再次输入dir
命令,变可以远程访问了。哈希传递,好像错过了什么?
实际上,dir后面不能跟IP地址,而应该是主机名。哈希传递AES256,需要受害者机器上安装KB2871997补丁。但有时候,也没个鸟用~
最后来说的就是,这个漏洞已经过时啦,目前已经不能使用常规的哈希传递进行横向移动啦,但是Administratrator账号(SID为500)是个例外,据说它还可以有效的进行哈希传递。不过,经过测试,它也已经失效了,所以做安全的要趁早~
本篇完~