Windows之hash利用小结
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Windows之hash利用小结相关的知识,希望对你有一定的参考价值。
参考技术A 攻击机:kali 2020(192.168.107.129)DC:Windows Server 2012 R2(192.168.107.137)
msf已成功通过msf获取到DC的shell
刚获取的shell为普通用户权限,需要进行提权,然后获取hash
直接使用getsystem失败,使用ps命令查看当前进程及运行用户权限
可以看到所运行的进程皆为普通用户权限
这里为了方便,直接使用msf提供的模块,用于快速识别系统中可能被利用的漏洞:
具体原理参考: BypassUAC------使用EVENTVWR.EXE和注册表劫持实现“无文件”UAC绕过
成功绕过UAC获取shell:
通过进程注入获取system权限,并获取hash
原理:
哈希传递攻击是基于NTLM认证的一种攻击方式。哈希传递攻击的利用前提是我们获得了某个用户的密码哈希值,但是解不开明文。这时我们可以利用NTLM认证的一种缺陷,利用用户的密码哈希值来进行NTLM认证。在域环境中,大量计算机在安装时会使用相同的本地管理员账号和密码。因此,如果计算机的本地管理员账号密码相同,攻击者就能使用哈希传递攻击登录内网中的其他机器。
哈希传递攻击适用情况:
在工作组环境中:
在域环境中:
Metasploit下面有3个psexec模块都可以进行Hash传递利用
第一个模块(auxiliary/admin/smb/psexec_command):
缺点:只能运行单条命令,不支持网段格式批量验证
优点:奇怪的是其他普通用户的hash也可以执行系统命令,这个模块可能不属于hash传递的范畴?这个坑以后再来解,我太菜了,望大佬指点~
设置命令的时候可以配合exploit/multi/script/web_delivery从而获取meterpreter
在上面进行Hash传递的时候,只要后面的NTLM Hash是正确的,前面填写什么都是可以顺利登陆成功的。
第二个模块(exploit/windows/smb/psexec):
利用条件:
优点:该模块支持网段格式批量验证,成功后可直接获取meterpreter且为system权限,在实战中优先使用
第三个模块(exploit/windows/smb/psexec_psh):
使用powershell作为payload。这个模块也支持网段批量验证,这里就不再赘述了
当我们获得了内网中一台主机的NTLM哈希值,我们可以利用mimikatz对这个主机进行哈希传递攻击,执行命令成功后将会反弹回cmd窗口
mimikatz中pth功能的原理:
windows会在lsass中缓存hash值,并使用它们来ntlm认证,我们在lsass中添加包含目标账号hash的合法数据结构,就可以使用类似dir这些命令进行认证
目标主机:192.168.107.140
domain:SWS-PC
执行后会弹出cmd,执行以下命令即可远程连接:
创建计划任务反弹shell:
理论上来说是可行的,win7复现的时候,任务一直在运行,就是没结束,我也是醉了.....
当然这里使用powershell远程加载也是可以的,但由于环境因素无法复现
前提条件:获取到的beacon为system权限,user中带有*号的用户
在得到一个beacon的基础上,先在该网段portscan,探测存活主机后
选择View-->Target-->Login-->psexec,可批量选择主机pth
个人觉得还是Msf好用,成功率更高一些
项目地址: https://github.com/byt3bl33d3r/CrackMapExec
安装参考: https://github.com/byt3bl33d3r/CrackMapExec/wiki/Installation
Kali安装步骤:
使用命令:
注意:这里的 IP 可以是单个IP也可以是IP段
如果命令使用失败,可能没安装其依赖项(坑点,我弄了两个小时。。。心态爆炸):
项目地址: https://github.com/SecureAuthCorp/impacket
安装过程:
wmi内置在windows操作系统,用于管理本地或远程的 Windows 系统。wmiexec是对windows自带的wmic做了一些强化。攻击者使用wmiexec来进行攻击时,不会记录日志,不会写入到磁盘,具有极高的隐蔽性。
安装成功后,切换到examples目录下,执行如下命令:
exe版本:
项目地址: https://github.com/maaaaz/impacket-examples-windows
执行命令类似
powershell版本:
项目地址: https://github.com/Kevin-Robertson/Invoke-TheHash
注意:这里要先加载Invoke-WMIExec.ps1脚本,因为Invoke-TheHash 里要用到 Invoke-WMIExec方法
该命令执行后该进程会在后台运行,可以结合定时任务执行尝试反弹shell。
KB2871997 补丁将使本地帐号不再可以用于远程接入系统,不管是 Network logon 还是 Interactive login。其后果就是:无法通过本地管理员权限对远程计算机使用 Psexec、WMI、smbexec、IPC 等,也无法访问远程主机的文件共享等。
在安装了kb2871997 这个补丁后,常规的Pass The Hash已经无法成功。但administrator(SID=500) 账号例外,使用该账号的散列值依然可以进行哈希传递攻击。这里需要强调的是 SID=500 的账号。即使将administrator账号改名,也不会影响SID的值
普通用户测试:
前提:只适用于域环境,并且目标主机需要安装 KB2871997补丁
利用获得到的AES256或AES128进行Key攻击:
弹出cmd后,查看DC的共享文件夹:
这里也不知道算成功没有
详情请参考谢公子博客: https://blog.csdn.net/qq_36119192/article/details/103941590
LocalAccountTokenFilterPolicy 值默认设置为 0 来禁止非administrator账号的远程连接(包括哈希传递攻击),但是administrator用户不受影响
将LocalAccountTokenFilterPolicy设置为1,就可以使用普通管理员账号进行哈希传递攻击
利用工具:hashcat
比如说密码为:admin888?
NTLM加密之后为:c4e51613d9ab888ac3d43538840b271c
hashcat具体用法参考: Hashcat的使用手册总结
这里可以看到成功破解出了密码:
当然也可以去cmd5等破解网站,有钱的话直接冲个会员多香啊
Pass The Hash(Key) 凭据传递攻击PTH
哈希传递攻击(Pass-the-Hash,PtH)
Windows用户密码的加密与破解利用
横向渗透之Pass The Hash
QT学习小结之鼠标事件
qt鼠标事件所包含的头文件<QMouseEvent>,QMouseEvent中包含了两个坐标,一是全局坐标(globalPos()),即桌面坐标,这个跟Windows下的调用的getCursorPos函数得到的结果一致。
鼠标事件常见的有mousePressEvent(),mouseReleaseEvent(),mouseDoubleClickEvent(),mouseMoveEvent(),下面我就贴上几段代码吧
void Event_test::mouseMoveEvent(QMouseEvent *event) //鼠标拖动事件
{
QPoint point;
point = QCursor::pos();
qDebug()<<"point"<<point.x()<<" "<<point.y();
qDebug()<<"move :"<<" "<<event->pos().x()<<" "<<event->pos().y();
}
void Event_test::mousePressEvent(QMouseEvent *event) //鼠标按下事件
{
QString str="("+QString::number(event->x())+","+QString::number(event->y())+")";
if(event->button()==Qt::LeftButton)
{
statusBar()->showMessage (tr("Mouse Left Button Pressed:")+str);//在状态栏中显示临时信息
}
else if(event->button()==Qt::RightButton)
{
statusBar()->showMessage (tr("Mouse Right Button Pressed:")+str);
}
else if(event->button()==Qt::MidButton)
{
statusBar()->showMessage (tr("Mouse Middle Button Pressed:")+str);
}
qDebug()<<"Press "<<" "<<event->pos().x()<<" "<<event->pos().y();
}
void Event_test::mouseReleaseEvent(QMouseEvent *event) //鼠标释放事件
{
QString str="("+QString::number(event->x())+","+QString::number(event->y())+")";
statusBar()->showMessage (tr("Mouser Released:")+str,3000);
qDebug()<<"release "<<" "<<event->pos().x()<<" "<<event->pos().y();
}
void Event_test::mouseDoubleClickEvent(QMouseEvent *event) //鼠标双击事件
{
QString str="("+QString::number(event->x())+","+QString::number(event->y())+")";
if(event->button()==Qt::LeftButton)
{
statusBar()->showMessage (tr("Mouse Left Button Double Clicked:")+str);
}
else if(event->button()==Qt::RightButton)
{
statusBar()->showMessage (tr("Mouse Right Button Double Clicked:")+str);
}
else if(event->button()==Qt::MidButton)
{
statusBar()->showMessage (tr("Mouse Middle Button Double Clicked:")+str);
}
}
本文出自 “11699921” 博客,请务必保留此出处http://11709921.blog.51cto.com/11699921/1787760
以上是关于Windows之hash利用小结的主要内容,如果未能解决你的问题,请参考以下文章