Windows之hash利用小结

Posted 2023-04-07

参考技术A 攻击机：kali 2020（192.168.107.129）
DC：Windows Server 2012 R2（192.168.107.137）
msf已成功通过msf获取到DC的shell

刚获取的shell为普通用户权限，需要进行提权，然后获取hash
直接使用getsystem失败，使用ps命令查看当前进程及运行用户权限

可以看到所运行的进程皆为普通用户权限

这里为了方便，直接使用msf提供的模块，用于快速识别系统中可能被利用的漏洞：

具体原理参考： BypassUAC------使用EVENTVWR.EXE和注册表劫持实现“无文件”UAC绕过

成功绕过UAC获取shell：

通过进程注入获取system权限，并获取hash

原理：

哈希传递攻击是基于NTLM认证的一种攻击方式。哈希传递攻击的利用前提是我们获得了某个用户的密码哈希值，但是解不开明文。这时我们可以利用NTLM认证的一种缺陷，利用用户的密码哈希值来进行NTLM认证。在域环境中，大量计算机在安装时会使用相同的本地管理员账号和密码。因此，如果计算机的本地管理员账号密码相同，攻击者就能使用哈希传递攻击登录内网中的其他机器。

哈希传递攻击适用情况：
在工作组环境中：

在域环境中：

Metasploit下面有3个psexec模块都可以进行Hash传递利用

第一个模块（auxiliary/admin/smb/psexec_command）：
缺点：只能运行单条命令，不支持网段格式批量验证
优点：奇怪的是其他普通用户的hash也可以执行系统命令，这个模块可能不属于hash传递的范畴？这个坑以后再来解，我太菜了，望大佬指点~

设置命令的时候可以配合exploit/multi/script/web_delivery从而获取meterpreter
在上面进行Hash传递的时候，只要后面的NTLM Hash是正确的，前面填写什么都是可以顺利登陆成功的。

第二个模块（exploit/windows/smb/psexec）：
利用条件：

优点：该模块支持网段格式批量验证，成功后可直接获取meterpreter且为system权限，在实战中优先使用

第三个模块（exploit/windows/smb/psexec_psh）：
使用powershell作为payload。这个模块也支持网段批量验证，这里就不再赘述了

当我们获得了内网中一台主机的NTLM哈希值，我们可以利用mimikatz对这个主机进行哈希传递攻击，执行命令成功后将会反弹回cmd窗口

mimikatz中pth功能的原理：
windows会在lsass中缓存hash值，并使用它们来ntlm认证，我们在lsass中添加包含目标账号hash的合法数据结构，就可以使用类似dir这些命令进行认证

目标主机：192.168.107.140
domain：SWS-PC

执行后会弹出cmd，执行以下命令即可远程连接：

创建计划任务反弹shell：

理论上来说是可行的，win7复现的时候，任务一直在运行，就是没结束，我也是醉了.....

当然这里使用powershell远程加载也是可以的，但由于环境因素无法复现

前提条件：获取到的beacon为system权限，user中带有*号的用户
在得到一个beacon的基础上，先在该网段portscan，探测存活主机后

选择View-->Target-->Login-->psexec，可批量选择主机pth

个人觉得还是Msf好用，成功率更高一些

项目地址： https://github.com/byt3bl33d3r/CrackMapExec
安装参考： https://github.com/byt3bl33d3r/CrackMapExec/wiki/Installation

Kali安装步骤：

使用命令：

注意：这里的 IP 可以是单个IP也可以是IP段

如果命令使用失败，可能没安装其依赖项（坑点，我弄了两个小时。。。心态爆炸）：

项目地址： https://github.com/SecureAuthCorp/impacket
安装过程：

wmi内置在windows操作系统，用于管理本地或远程的 Windows 系统。wmiexec是对windows自带的wmic做了一些强化。攻击者使用wmiexec来进行攻击时，不会记录日志，不会写入到磁盘，具有极高的隐蔽性。

安装成功后，切换到examples目录下，执行如下命令：

exe版本：
项目地址： https://github.com/maaaaz/impacket-examples-windows
执行命令类似

powershell版本：
项目地址： https://github.com/Kevin-Robertson/Invoke-TheHash

注意：这里要先加载Invoke-WMIExec.ps1脚本，因为Invoke-TheHash 里要用到 Invoke-WMIExec方法

该命令执行后该进程会在后台运行，可以结合定时任务执行尝试反弹shell。

KB2871997 补丁将使本地帐号不再可以用于远程接入系统，不管是 Network logon 还是 Interactive login。其后果就是：无法通过本地管理员权限对远程计算机使用 Psexec、WMI、smbexec、IPC 等，也无法访问远程主机的文件共享等。
在安装了kb2871997 这个补丁后，常规的Pass The Hash已经无法成功。但administrator(SID=500) 账号例外，使用该账号的散列值依然可以进行哈希传递攻击。这里需要强调的是 SID=500 的账号。即使将administrator账号改名，也不会影响SID的值

普通用户测试：

前提：只适用于域环境，并且目标主机需要安装 KB2871997补丁

利用获得到的AES256或AES128进行Key攻击:

弹出cmd后，查看DC的共享文件夹：

这里也不知道算成功没有

详情请参考谢公子博客： https://blog.csdn.net/qq_36119192/article/details/103941590

LocalAccountTokenFilterPolicy 值默认设置为 0 来禁止非administrator账号的远程连接(包括哈希传递攻击)，但是administrator用户不受影响

将LocalAccountTokenFilterPolicy设置为1，就可以使用普通管理员账号进行哈希传递攻击

利用工具：hashcat
比如说密码为：admin888?
NTLM加密之后为：c4e51613d9ab888ac3d43538840b271c

hashcat具体用法参考： Hashcat的使用手册总结
这里可以看到成功破解出了密码：

当然也可以去cmd5等破解网站，有钱的话直接冲个会员多香啊

Pass The Hash(Key) 凭据传递攻击PTH
哈希传递攻击(Pass-the-Hash,PtH)
Windows用户密码的加密与破解利用
横向渗透之Pass The Hash

QT学习小结之鼠标事件

qt鼠标事件所包含的头文件<QMouseEvent>，QMouseEvent中包含了两个坐标，一是全局坐标（globalPos()），即桌面坐标，这个跟Windows下的调用的getCursorPos函数得到的结果一致。

鼠标事件常见的有mousePressEvent()，mouseReleaseEvent()，mouseDoubleClickEvent()，mouseMoveEvent()，下面我就贴上几段代码吧

void Event_test::mouseMoveEvent(QMouseEvent *event)     //鼠标拖动事件

{

    QPoint point;

    point = QCursor::pos();

    qDebug()<<"point"<<point.x()<<"    "<<point.y();

    qDebug()<<"move :"<<"  "<<event->pos().x()<<"  "<<event->pos().y();

}

void Event_test::mousePressEvent(QMouseEvent *event)   //鼠标按下事件

{

    QString str="("+QString::number(event->x())+","+QString::number(event->y())+")";

    if(event->button()==Qt::LeftButton)

    {

        statusBar()->showMessage (tr("Mouse Left Button Pressed:")+str);//在状态栏中显示临时信息

    }

    else if(event->button()==Qt::RightButton)

    {

        statusBar()->showMessage (tr("Mouse Right Button Pressed:")+str);

    }

    else if(event->button()==Qt::MidButton)

    {

         statusBar()->showMessage (tr("Mouse Middle Button Pressed:")+str);

    }

    qDebug()<<"Press "<<"   "<<event->pos().x()<<"   "<<event->pos().y();

}

void Event_test::mouseReleaseEvent(QMouseEvent *event)      //鼠标释放事件

{
    QString str="("+QString::number(event->x())+","+QString::number(event->y())+")";
    
    statusBar()->showMessage (tr("Mouser Released:")+str,3000);

    qDebug()<<"release "<<"    "<<event->pos().x()<<"    "<<event->pos().y();

}

void Event_test::mouseDoubleClickEvent(QMouseEvent *event)    //鼠标双击事件

{

    QString str="("+QString::number(event->x())+","+QString::number(event->y())+")";

    if(event->button()==Qt::LeftButton)

    {

          statusBar()->showMessage (tr("Mouse Left Button Double Clicked:")+str);

    }

     else if(event->button()==Qt::RightButton)

    {

          statusBar()->showMessage (tr("Mouse Right Button Double Clicked:")+str);

    }

    else if(event->button()==Qt::MidButton)

    {

          statusBar()->showMessage (tr("Mouse Middle Button Double Clicked:")+str);

    }

}

本文出自 “11699921” 博客，请务必保留此出处http://11709921.blog.51cto.com/11699921/1787760