131-横向移动-Kerberos攻击&SPN扫描&WinRM&WinRS&RDP

1、RDP协议

        Remote Desktop Protocol 远程桌面协议通常开放3389 ，Windows上面使用mstsc就可以弹出最常见的远程桌面连接方式，一般都是使用明文进行连接其实还可以使用hash进行

        在内网中使用RDP协议一般是需要进行代理转发或者建立节点的

端口扫描

• shell命令

        tasklist /svc | find "TermService" # 找到对应服务进程的PID

        netstat -ano | find "PID值" # 找到进程对应的端口号

• 或者使用cs自带的进行扫描

明文连接：

        mstsc /console /v:192.168.3.32 /admin

hash：

        mimikatz privilege::debug (这一步结果是OK才可以)

        mimikatz sekurlsa::pth /user:administrator /domain:192.168.3.32 /ntlm:518b98ad4178a53695dc997aa02d455c "/run:mstsc.exe /restrictedadmin" #mimikatz使用HASH连接

        使用hash就需要用到这个mimikatz，但是我用自己的宿主机去运行mimikatz好像有点问题，只用用虚拟机win7去运行执行命令连接虚拟靶机，可能是mimikatz的版本不匹配吧。

        另外同时想要使用hash值连接远程桌面，不单单是本地要支持Restricted Admin Mode，对端也要支持Restricted Admin Mode。

        想要知道支不支持这个hash连接，可以使用命令来进行测试，如果当前系统支持Restricted Admin mode，那么可以直接弹出远程桌面，如果不支持则会弹出远程桌面的参数说明。(命令: mstsc.exe /restrictedadmin)

        然后特别注意，我之前没怎么玩过mimikatz，这个东西很注意空格，复制进去一定要注意空格再执行，我试了几遍出错发现是空格的原因。。。

我这里运行出来老是爆一个警告，好像是命令输错了一样。。。

2、WinRM&WinRS

        WinRM 是一个基于Web服务管理（WS-Management）标准的远程管理框架，它允许管理员从远程位置执行管理任务。WinRS 是WinRM的一个组件，它提供了一个基于PowerShell的远程命令行界面。        

        WinRS 允许用户通过PowerShell脚本或命令行工具远程执行命令和脚本。WinRS 是PowerShell的一个扩展，它使得PowerShell的远程功能更加强大和灵活。

        WinRM 和 WinRS 通常一起使用，WinRS 提供了WinRM的一个用户友好的界面。要使用这些工具，你需要在目标系统上启用WinRM服务，并且可能需要配置防火墙规则以允许远程连接。在Windows 10和Windows Server 2016及更高版本中，WinRM 默认是启用的。在旧版本的Windows中，你可能需要手动安装和配置WinRM。

        如果想要利用WinRM服务，并且让winrm命令行工具执行操作，那么通信双方必须同时安装并配置好Windows远程管理。

        同时winrs适用于Windows server 2008及Windows 7 以后的操作系统上并自动与操作系统一同安装，但是只有在Windows server 2008以上的操作系统winrs服务才会自启动，其它的都是需要手动开启的。

        不过通过验证Windows 2008以上版本都是自动开启默认状态，Windows 7则必须手动开启，同时Windows server 2012之后的版本默认开启同时运行远程任意主机来管理。

• 查看WinRM监听器配置情况

Address：表示监听器所监听的地址。

Transport：用于指定用于发送和接收 WS-Management 协议请求和响应的传输类型，如 HTTP 或 HTTPS，其默认值为 HTTP。

Port：表示监听器所监听 TCP 端口。

Hostname：正在运行 WinRM 服务的计算机的主机名。该值必须是完全限定的域名、IPv4 或 IPv6 文本字符串或通配符。

Enabled：表示是启用还是禁用侦听器，其默认值为 True，表示启用。

URLPrefix：用于指定要在其上接受 HTTP 或 HTTPS 请求的 URL 前缀。例如，如果计算机名称为 SampleMachine，则 WinRM 客户端将在目标地址中指定 https://SampleMachine/。默认 URL 前缀为 "wsman"。

CertificateThumbprint：用于指定服务证书的指纹。

ListeningOn：用于指定侦听器使用的 IPv4 和 IPv6 地址。

命令：

winrm e winrm/config/listener 或 winrm enumerate winrm/config/listener

winrm get winrm/config #查看具体配置

我这个是winerver2012

使用winrm quickconfig 启动WinRM服务

其他的配置命令

使用 PowerShell 查询 WinRM 状态:Get-WmiObject-Class win32_service | Where-Object{$_.name -like "WinRM"}
开启 WinRM 远程管理:Enable-PSRemoting–force
设置 WinRM 自启动:Set-ServiceWinRM-StartModeAutomatic
对 WinRM 服务进行快速配置，包括开启 WinRM 和开启防火墙异常检测, HTTPS传输, 5986端口:winrm quickconfig -transport:https    
为 WinRM 服务配置认证:winrm set winrm/config/service/auth @{Basic="true"}
修改 WinRM 默认端口:winrm set winrm/config/client/DefaultPorts @{HTTPS="8888"}
为 WinRM 服务配置加密方式为允许非加密:winrm set winrm/config/service @{AllowUnencrypted="true"}
设置只允许指定 IP 远程连接:winrm set winrm/config/Client @{TrustedHosts="192.168.10.*"}
设置允许所有 IP 远程连接:winrm set winrm/config/Client @{TrustedHosts="*"}

如果遇到拒绝访问就是权限的问题，换成管理员的账号就好了，如果提示需要将网络由公用改为域或专用，直接在网络设置中找到以太网将公用改为专用即可（我的Windows7 就遇到了这个问题，然后我没搞成功，我也不知道什么原因实在我是设置了专有网络了可能是我设置的不正确吧。。。不过winserver2012是默认开启的）

默认情况下winrm使用5985端口，所以可以先扫描端口开放情况确认是否开启（本机和靶机都要开启）

然后输入

winrm quickconfig

winrm set winrm/config/Client @{TrustedHosts="*"}

winrs -r:[ip] -u:[username] -p:[password]

还可以获取交互式shell

能执行命令了上线cs无疑简单了许多

3、SPN&kerberos

SPN:

        服务主体名称（SPN）是Kerberos客户端用于唯一标识给特定Kerberos目标计算机的服务实例名称。Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。如果在整个林中的计算机上安装多个服务实例，则每个实例都必须具有自己的SPN。如果客户端可能使用多个名称进行身份验证，则给定的服务实例可以具有多个SPN。例如，SPN总是包含运行服务实例的主机名称，所以服务实例可以为其主机的每个名称或别名注册一个SPN。

spn扫描：

        spn扫描也可以叫扫描Kerberos服务实例名称，在Active Directory环境中发现服务的最佳方法是通过“SPN扫描”。通过请求特定SPN类型的服务主体名称来查找服务，SPN扫描攻击者通过网络端口扫描的主要好处是SPN扫描不需要连接到网络上的每个IP来检查服务端口。SPN扫描通过LDAP查询向域控制器执行服务发现。由于SPN查询是普通Kerberos票据的一部分，因此如果不能被查询，但可以用网络端口扫描来确认。

        在活动目录中发现服务的最佳方法就是SPN扫描。SPN扫描通过请求特定SPN类型的服务主体名称来查找服务。与网络端口扫描相比，SPN扫描的主要特点是不需要通过连接网络中的每个IP地址来检查服务端口(不会因为触发内网中的IPS、IDS等设备的规则而产生大量的警告日志)。因为SPN查询是Kerberos票据行为的一部分，所以检测难度很大。

        由于SPN扫描是基于LDAP协议向域控制器进行查询的，所以，攻击者只需要获得一个普通的域用户权限，就可以进行SPN扫描。

        在域环境中，发现服务的最好办法就是通过”SPN扫描”。通过请求特定SPN类型服务主体名称来查找服务。

SPN格式：

SPN = serviceclass “/” hostname [“:”port] [“/” servicename]

serviceclass:标识服务类的字符串，例如Web服务的www

hostname:一个字符串，是系统的名称。这应该是全限定域名（FQDN）

port:一个数字，是该服务的端口号

servicename:一个字符串，它是服务的专有名称（DN），objectGuid，Internet主机名或全限定域名（FQDN）

注意: 服务类和主机是必需参数，但 端口和服务名是可选的，主机和端口之间的冒号只有当端口存在时才需要。

setspn -T niganm.hhh -q */* 扫描全部服务

CN=Computers那就是主机，CN=Users那就是在域用户下注册 CN=DC就是域控机

通过这个可以收集到哪些主机上开放了哪些服务的信息，但是这里显示的只有一些Windows相关的服务，第三方服务不会显示

Kerberos攻击：

Kerberos的加密类型

win+R 输入Secpol.msc在安全选项里可以找到

如果是RC4加密方式就可以逆向

此方式使用建立在没有获取到任何明文密码以及hash值的一种思路

工具GitHub - GhostPack/Rubeus: Trying to tame the three-headed dog.

不过这个工具没有编译只发行了源代码。。。我也不会编译C#语言的代码然后去网上看看怎么编译的

还好我之前下的有vs，用vs生成一下就可以了，使用那个Rubeus.csproj 作为入口

这个3请求的目的就是得到票据，因为只有发生了请求才会有票据的产生才可以判断是否采用的RC4加密还是其他的加密方式（这是手工判断的方式）

为了方便可以直接使用2用工具检测

我这里没有对应的环境。。。所以检测不出来和RC4加密有关的服务

如果有就使用mimikatz导出票据

mimikatz kerberos::list /export

然后将对应的RC4加密的服务票据找到，使用脚本进行（工具地址 GitHub - nidem/kerberoast）

python tgsrepcrack.py 字典.txt路径 票据文件名

能否成功看字典能不能跑出来密码，这里跑出来的就是明文密码

总结来说比较看运气是大部分横向移动都失效的情况下的一个办法