请选择 进入手机版 | 继续访问电脑版

 

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 53|回复: 0

内网渗透基石篇--域内横向移动分析及防御

[复制链接]
avatar

6

主题

11

帖子

9

积分

注册会员

Rank: 2

积分
9
在线会员 发表于 2021-7-19 06:36:38 | 显示全部楼层 |阅读模式
前言:你的自负是由于你没见过世面,由于你没有和真正的高手对决过。
一、简介

域内横向移动技能就是在复杂的内网攻击中被广泛使用的一种技能,尤其是在高级连续威胁中。攻击者会使用该技能,以被攻陷的体系为跳板,访问其他 域内主机,扩大资产范围(包罗跳板呆板中的文档和存储的根据,以及通过跳板呆板毗连的数据库、域控制器或其他告急资产)。
1 常用windows 长途毗连和干系下令

在渗出测试中,拿到目标盘算机的用户明文暗码大概NTLM hash后,可以通过pth的方法,将散列值或明文暗码传送到目标呆板中举行验证。与目标呆板创建毗连后,可以使用干系方法在长途windows 使用体系中实行下令。在多层署理环境进 行渗出测试时,由于网络条件比力差,无法使用图形化界面毗连主机。此时,可以使用下令行的方式毗连主机(最好使用windows自带的方法对长途目标体系举行下令行下的使用)
IPC
IPC 共享”定名通道”的资源,是为了实现历程间通讯而开辟的定名通道。IPC可以通过验证用户名和暗码得到权限,通常在长途管理盘算机和检察盘算机的共享资源时使用。
通过ipc$,可以与目标呆板创建毗连。使用这个毗连,不但可以访问,目次呆板中的文件,举行上传,下载等使用,还可以在目标呆板上运行其他下令,以获取目标呆板的目次结构、用户列表等信息。
起首,须要创建一个ipc$.
net use \\ 192.168.100.190\ipc$ “Aa123456@” /user:administrator
内网渗透基石篇--域内横向移动分析及防御

1.ipc$的使用条件
[color=#777575 !important]开启了139、445端口
[color=#777575 !important]管理员开启了默认共享
2.ipc$毗连失败的缘故因由
[color=#777575 !important]用户名或暗码错误
[color=#777575 !important]目标没用有打开ipc$默认共享
[color=#777575 !important]不能乐成毗连目标的139、445端口
[color=#777575 !important]下令输入错误
3.常见错误号
[color=#777575 !important]错误号5:拒绝访问
[color=#777575 !important]错误号51:windows 无法找到网络路径,即网络中存在的标题。
[color=#777575 !important]错误号53:找不到网络路径,包罗ip地点错误、目标未开机、目标的lanmanserver服务未启动、目标有防火墙。
[color=#777575 !important]错误号67:找不到网络名,包罗lanmanworkstation服务未启动、IPc$已被删除。
[color=#777575 !important]错误号1219:提供的根据与已存在的根据集辩说。
[color=#777575 !important]错误号1326:未知的用户名或错误的暗码
[color=#777575 !important]错误号1792:试图登录,但是网络登录服务没用启动,包罗目标NEtLogon服务未启动
[color=#777575 !important]错误号2242: 此用户的暗码已颠末期。
2 使用windows自带的工具获取目标主机信息

1.dir下令


dir \\192.168.160.135\C$
内网渗透基石篇--域内横向移动分析及防御

内网渗透基石篇--域内横向移动分析及防御

检察长途主机的C盘文件
2.tasklist下令
检察长途主机上运行的历程


tasklist /S 192.168.160.135 /U HACKBIJI\Administrator /P W2ngluoanquan
内网渗透基石篇--域内横向移动分析及防御
3 筹划任务


1.at下令
at是windows自带的用于创建筹划任务的下令,使用at下令可以在长途目标上创建筹划任务,创建定时任务四部曲如下:
[color=#777575 !important]使用net time 下令确定长途呆板当前的体系时间
[color=#777575 !important]使用copy下令将payload文件复制到长途目标呆板中
[color=#777575 !important]使用at下令定时启动该payload文件
[color=#777575 !important]删除使用at下令创建筹划任务的纪录
(1)检察目标体系时间

(2)将文件复制到目标体系中
内网渗透基石篇--域内横向移动分析及防御

(3) 使用at创建筹划任务
内网渗透基石篇--域内横向移动分析及防御

(4)扫除at纪录
内网渗透基石篇--域内横向移动分析及防御

2.schtasks下令
schtasks下令比at下令更增强大、机动。创建筹划任务,该筹划任务在开机时启动,运行c盘下的calc.bat批处理惩罚任务,运行权限是system。
内网渗透基石篇--域内横向移动分析及防御

内网渗透基石篇--域内横向移动分析及防御

内网渗透基石篇--域内横向移动分析及防御

内网渗透基石篇--域内横向移动分析及防御

二、 windows体系散列值获取分析与防范

windows使用体系通常会对用户的明文举行加密处理惩罚,在域环境下,用户信息存储在ntds.dit中,加密后为散列值。一样平常看到的都是如许的结构:



username:rid:lm-hash:nt-hash此中lm-hash已经废弃了,那么黑客要破解的也就是nt-hash,要在windows体系中抓取nt-hash大概明文,必须要system权限。本地用户名、散列值和其他安全验证信息都生存在SAM文件中,本文讲的是通过几款差别的工具,分别从内存中(lsass.exe历程)读取nt-hash大概暗码明文,末了给出了及时更新微软官方推送的补丁等防范步伐。
1 LM HASh 和NTLM HASH

2 单秘暗码抓取与防范

1.GETPAss
下载下来,运行x64位的步伐,直接得到体系全部用户的暗码,简直不要太牛。不外,为啥运行后,字体都酿成绿色的,这是说学黑客会变绿吗?
内网渗透基石篇--域内横向移动分析及防御

2.PWnDUMP7
也是直接运行,轻微逊色一点点,只能拿到Hash,还须要通过彩虹表破解,大概留着以后通过哈希通报举行横向渗出。
3.通过SAM和System文件抓取暗码
1.导出SAM和System文件
2.通关读取SAM和System 文件得到NTLMHash
内网渗透基石篇--域内横向移动分析及防御

1.使用mimikatz读取SAM和Sytstem文件
内网渗透基石篇--域内横向移动分析及防御

内网渗透基石篇--域内横向移动分析及防御

2.使用CAin读取SAM文件
4.使用mimikatz在线读取SAM文件
mimikat是法国技能大神Benjamin Delpy使用C语言写的一款轻量级体系调试工具,爱了爱了。该工具可以从内存中提取明文暗码、散列值、PIN和K8S单子,还可以实行哈希通报、单子通报、构建黄金黄金单子。输入下面下令,直接拿到本地全部用户的明文暗码,强大。



mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords"
内网渗透基石篇--域内横向移动分析及防御

5.使用mimikatz离线读取lsass.dmp文件
I.导出lsass.dmp文件
1.使用任务管理器导出lass.dmp文件
2.使用Procdump和lass.dmp文件
II.使用mimikatz导出lsass.dmp文件中的暗码散列值
6.使用powershell对散列值举行DUmp使用
7.使用Powershell长途加载mimikatz抓取散列值和明文暗码
3.单秘暗码抓取的防范方法

[color=#777575 !important]安装微软发布的KB2871997补丁
[color=#777575 !important]关闭Wdigest功能(Windows Server 2012版本以上默认关闭)
1.使用reg add下令
2.使用powershell
三、 使用hashcat获取暗码

kali rolling自带的暗码破解工具,支持破解windows暗码、linux暗码、office暗码、Wi-Fi暗码、mysql暗码、sql server暗码、以及md5、sha1、sha256等哈希散列~
内网渗透基石篇--域内横向移动分析及防御

原理
通常访问一个UNC路径时,假如没有指定,Windows会主动用当前用户的根据举行NTLM认证,比方dir \\Target\aaa,由于Window会在lsass中缓存hash值,并使用它们举行认证,以是理论上在lsass中添加包罗目标账户的hash的正当数据结构,就可以在使用类似于dir这些下令时用目标账户举行认证
攻击方式
[color=#777575 !important]1.获取一台域主机高权限
[color=#777575 !important]2.使用mimikatz等工具导出暗码hash
[color=#777575 !important]3.用导出的hash实行登岸其他域主机
1.安装Hashcat

(1)下载源码编译和安装
(2)使用编译好的二进制文件安装
2.hashcat 的使用方法

(1)指定散列值的范例
(2)指定破解模式
(3)常用下令
[color=#777575 !important]-a 3 暴力破解(反面的?d?d?d?d?d?d表现6位数字,属于暴力破解)
[color=#777575 !important]-m 0 阐明须要破解的是MD5



hashcat -a 3 -m 0 --force e10adc3949ba59abbe56e057f20f883e ?d?d?d?d?d?d
内网渗透基石篇--域内横向移动分析及防御

2.批量爆破
把暗码放到文件中,这种破解叫做字典攻击,相称于撞库,只须要6秒,是不是快了一点点。把等候破解的密文放到文件中,可以实现批量破解。我的暗码很简朴:
[color=#777575 !important]a 0 字典模式(反面的pass.txt表现明文暗码文件,也就是须要撞的暗码库)
[color=#777575 !important]-m 0 阐明须要破解的是MD5
1.用hash值做字典
内网渗透基石篇--域内横向移动分析及防御

2.用暗码做字典
内网渗透基石篇--域内横向移动分析及防御

3.爆破


hashcat -a 0 -m 0 --force hash.txt pass.txt
内网渗透基石篇--域内横向移动分析及防御

4.得到暗码
内网渗透基石篇--域内横向移动分析及防御

3、 怎样防范攻击者抓取明文暗码和散列值

1.设置Active Directory 2012 R2 功能级别
2.安装KB2871997
3.通过修改注册表克制在内存中存储明文暗码
4.防御mimikatz攻击
4. 哈希通报攻击分析与防范

1. 哈希通报攻击的概念
大多数渗出测试职员都听说过哈希通报攻击,该方法通过找到与账户干系的暗码散列值(通常是NTlm hash)来举行攻击。在域环境中,用户登录盘算机时使用的多数是域账号,大量盘算机在安装使用雷同的本地管理员账户和暗码,因此,假如盘算机的本地管理员账号和暗码也是雷同的,攻击者就能使用哈希通报攻击的方法登录内网中的其他盘算机。
2 哈希通报攻击分析
实行1:使用NTLM Hash举行哈希通报
目标呆板的环境(假定的受害者呆板)
[color=#777575 !important]域信息:hacke.test
[color=#777575 !important]域内用户:administrator
[color=#777575 !important]暗码:xxxxx(未知信息)
[color=#777575 !important]哈希:8c0a2bd6****790228ea(已知信息)
[color=#777575 !important]IP地点:192.168.1.2已知信息)
1.运行mimikatz,弹出cmd下令
内网渗透基石篇--域内横向移动分析及防御

2.弹出cmd下令框
内网渗透基石篇--域内横向移动分析及防御

3.dir看看是否毗连
内网渗透基石篇--域内横向移动分析及防御

实行2:使用AES-256密钥举行哈希通报
实行环境:长途体系(必须安装KB2871997)
[color=#777575 !important]域信息:hacke.test
[color=#777575 !important]域内用户:administrator
[color=#777575 !important]暗码:xxxxx(未知信息)
[color=#777575 !important]哈希:8c0a2bd6****790228ea(已知信息)
[color=#777575 !important]IP地点:192.168.1.2已知信息)
实行步调:
1.mimikatz ‘’privilege::debug” “sekurlsa::ekeys”
2.在长途呆板,以管理员运行mimikatz




mimikatz "privilege::debug" "sekurlsa::pth  /user:administrator /domain:hacke.test/aes256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxx留意事项:
[color=#777575 !important]dir后跟要使用的主机名,而不是ip地点。
[color=#777575 !important]除了aes-256密钥,aes-128也可以哈希通报
[color=#777575 !important]假如安装了KB2871997,仍然可以使用SID为500的用户举行哈希通报
[color=#777575 !important]假如要使用mimikatz的哈希通报功能,须要具有本地管理员权限。
3 更新KB2871997补丁产生的影响
微软 在2014年5月发布了KB2871997.该补丁克制通过本地管理员权限与长途盘算机举行毗连,厥效果是,无法通过本地管理员权限对长途盘算机使用psExee,WMi,smbexec、schtasks、at,也无法访问长途主机的文件共享等。
四、单子通报攻击分析与防范

要想使用mimikatz的哈希通报功能,必须具有本地管理员权限。mimikatz同样提供了不须要本地管理员权限举行横向渗出测试的方法,比方单子通报。
1. 使用mimikatz举行单子通报

使用横向移动神器mimikatz可以将内存中的单子导出来,起首在目标呆板上以管理员权限运行下面的下令,就可以直接导出一堆差别主机的单子信息(KIRBI文件),从中选择一个目标体系本身的,移动到黑客呆板上。(趁便说一下,直接在黑客呆板上也能拿到目标呆板的单子~)
[color=#777575 !important]在目标呆板上以管理员权限,输入下令,得到单子
[color=#777575 !important]将单子移动到黑客呆板上
内网渗透基石篇--域内横向移动分析及防御

内网渗透基石篇--域内横向移动分析及防御

内网渗透基石篇--域内横向移动分析及防御

内网渗透基石篇--域内横向移动分析及防御

2 使用kekeo举行单子通报

[color=#777575 !important]kekeo也是一款开源的单子通报工具
[color=#777575 !important]kekeo须要指定域名、用户名、NTLM哈希来天生单子
方法:通过kekeo.exe获取域控权限,此工具并非每次都能乐成使用。
须要拥有一个域账号的账号暗码明文


net group “domain controllers” /domain 获取主域控地点使用msf对其毛病举行检测,假如毛病使用乐成会天生一个bin文件


poc:use auxiliary/admin/kerberos/ms14_068_kerberos_checksum
内网渗透基石篇--域内横向移动分析及防御

上传exp至暂时目次
klist 列出单子
klist purge 扫除单子
内网渗透基石篇--域内横向移动分析及防御



kekeo.exe “exploit::ms14068 /domain:yiwang.com /user:admin123 /password:admin@AAA… /ptt” “exit”毛病使用乐成后乐成访问域控c$目次
内网渗透基石篇--域内横向移动分析及防御

方法二
防止以msf爆入迷奇使用,以msf检测毛病为标准的环境以是…
内网渗透基石篇--域内横向移动分析及防御

3 怎样防范单子通报攻击

1,使用dir下令时,务必使用主机名。假如使用ip地点,就会导致错误。
2,单子文件注入内存的默认有效时间为10小时
3.在目标呆板上不须要本地管理员权限即可举行单子通报
五、 PsExec的使用

1 PsTools 工具包中的PsExec

内网渗透基石篇--域内横向移动分析及防御

内网渗透基石篇--域内横向移动分析及防御

假如没有提前创建好IPC$,PsExec也可以通过指定账号和暗码的方式,举行长途毗连。



.\PsExec.exe \\192.168.160.135 -u HACKBIJI\ailx00 -p WoShi@Ailx10 cmd.exe2 Metasploit中的psexec模块

1.use exploit/windows/smb/psexec 模块。
内网渗透基石篇--域内横向移动分析及防御

2.设置paylaod。
内网渗透基石篇--域内横向移动分析及防御

3.然后实行
内网渗透基石篇--域内横向移动分析及防御

六、 WMI的使用

1 根本下令

内网渗透基石篇--域内横向移动分析及防御

内网渗透基石篇--域内横向移动分析及防御

内网渗透基石篇--域内横向移动分析及防御

2 impacket工具包中的wmiexec

[color=#777575 !important]kali → windows server 2012 (乐成)
[color=#777575 !important]获取长途windows体系的控制权
[color=#777575 !important]不须要输入域信息
[color=#777575 !important]进入impacket目次,先实行pip install .安装依赖
[color=#777575 !important]然后就可以轻松拿到长途windows server 2012体系的控制权了
内网渗透基石篇--域内横向移动分析及防御

内网渗透基石篇--域内横向移动分析及防御

3 weiexec.vbs

WMIEXEC支持两种模式,一种是半交互式shell模式,另一种是实行单条下令模式。
WMIEXEC须要提供账号暗码举行长途毗连,但是假如没有破解出账号暗码,也可以共同WCE的hash注入功能一起使用,先举行hash注入,然后再使用WMIEXEC即可。


cscript.exe //nologo wmiexec.vbs /shell 192.168.1.1 username password单个下令实行的模式
这个模式实用于只须要实行一个下令,大概说当前的环境不是交互式shell,没法运行WMIEXEC的shell模式时(好比在webshell内里)。
原理
整个过程是先调用WMI通过账号暗码大概NTLM认证(WCE注入)毗连到长途盘算机,然后假如提供了账号暗码,则用这个账号暗码创建一个到目标的IPC毗连。随后WMI会创建一个共享文件夹,用于长途读取下令实行效果。
当用户输入下令时,WMI创建历程实行该下令,然后把效果输出到文件,这个文件位于之前创建的共享文件夹中。末了,通过FSO组件访问长途共享文件夹中的效果文件,将效果输出。当效果读取完成时,调用WMI实行下令删除效果文件。末了当WMIEXEC退出时,删除文件共享。
由于WMI只负责创建历程,没有办法可以判定下令是否实行完毕,以是脚本接纳的方法是延长1200ms后读取效果文件,但是假如下令实行的时间大于1200ms,好比systeminfo 大概ping之类的,这时间读取效果文件会导致读取的效果不完备,然后在删除效果文件时会堕落。
4 invoke-WmiCommand












//目标体系名$User="pentest/administrator"//目标体系暗码$Password=ConveetTo-SecureString-String "a123456#" -AsPlainText -Force//将账号和暗码整合$Cred=New-Object -TypeName System.Management.Automation.PSCredential//长途实行下令$Remote=Invoke-WmiCommand-Payload {ipconfig}-ComputerName 192.168.100.205//将实行效果输出到屏幕上$Remote.PayLoadOutput总结

本文重要从内网横向移动出发,研究当拿下一台主机之后怎样使用一些工具来举行横向移动,扩大攻击范围。中央先容了一些脚本和工具的使用,还做了几个实行来明确这些工具,资助各人学习。

内网渗透基石篇--域内横向移动分析及防御


出色保举




内网渗透基石篇--域内横向移动分析及防御

内网渗透基石篇--域内横向移动分析及防御

内网渗透基石篇--域内横向移动分析及防御

内网渗透基石篇--域内横向移动分析及防御
内网渗透基石篇--域内横向移动分析及防御


来源:http://mp.weixin.qq.com/s?src=11&timestamp=1626649204&ver=3199&signature=LyPFLvSQTYBY0x94JksMFhxS*C-GXFcS459X0N-jvLhSOdBDAibEir6tXAIkAKV51zlbUg-aqei2eqIu1Y8HYekTOAjUdSn88YapxOXhYPX*FzV8d7qIOsvl1tKRa58I&new=1
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|猫先森网络资源站 ( 琼ICP备19003696号-5 )|网站地图

GMT+8, 2021-7-27 03:52 , Processed in 0.129889 second(s), 22 queries .

Powered by 海南猫先森网络有限公司

© 2001-2021 Comsenz Inc. Designed by Mxswl.Net

快速回复 返回顶部 返回列表