Windows之hash利用小结

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Windows之hash利用小结相关的知识,希望对你有一定的参考价值。

参考技术A 攻击机:kali 2020(192.168.107.129)
DC:Windows Server 2012 R2(192.168.107.137)
msf已成功通过msf获取到DC的shell

刚获取的shell为普通用户权限,需要进行提权,然后获取hash
直接使用getsystem失败,使用ps命令查看当前进程及运行用户权限

可以看到所运行的进程皆为普通用户权限

这里为了方便,直接使用msf提供的模块,用于快速识别系统中可能被利用的漏洞:

具体原理参考: BypassUAC------使用EVENTVWR.EXE和注册表劫持实现“无文件”UAC绕过

成功绕过UAC获取shell:

通过进程注入获取system权限,并获取hash

原理:

哈希传递攻击是基于NTLM认证的一种攻击方式。哈希传递攻击的利用前提是我们获得了某个用户的密码哈希值,但是解不开明文。这时我们可以利用NTLM认证的一种缺陷,利用用户的密码哈希值来进行NTLM认证。在域环境中,大量计算机在安装时会使用相同的本地管理员账号和密码。因此,如果计算机的本地管理员账号密码相同,攻击者就能使用哈希传递攻击登录内网中的其他机器。

哈希传递攻击适用情况:
在工作组环境中:

在域环境中:

Metasploit下面有3个psexec模块都可以进行Hash传递利用

第一个模块(auxiliary/admin/smb/psexec_command):
缺点:只能运行单条命令,不支持网段格式批量验证
优点:奇怪的是其他普通用户的hash也可以执行系统命令,这个模块可能不属于hash传递的范畴?这个坑以后再来解,我太菜了,望大佬指点~

设置命令的时候可以配合exploit/multi/script/web_delivery从而获取meterpreter
在上面进行Hash传递的时候,只要后面的NTLM Hash是正确的,前面填写什么都是可以顺利登陆成功的。

第二个模块(exploit/windows/smb/psexec):
利用条件:

优点:该模块支持网段格式批量验证,成功后可直接获取meterpreter且为system权限,在实战中优先使用

第三个模块(exploit/windows/smb/psexec_psh):
使用powershell作为payload。这个模块也支持网段批量验证,这里就不再赘述了

当我们获得了内网中一台主机的NTLM哈希值,我们可以利用mimikatz对这个主机进行哈希传递攻击,执行命令成功后将会反弹回cmd窗口

mimikatz中pth功能的原理:
windows会在lsass中缓存hash值,并使用它们来ntlm认证,我们在lsass中添加包含目标账号hash的合法数据结构,就可以使用类似dir这些命令进行认证

目标主机:192.168.107.140
domain:SWS-PC

执行后会弹出cmd,执行以下命令即可远程连接:

创建计划任务反弹shell:

理论上来说是可行的,win7复现的时候,任务一直在运行,就是没结束,我也是醉了.....

当然这里使用powershell远程加载也是可以的,但由于环境因素无法复现

前提条件:获取到的beacon为system权限,user中带有*号的用户
在得到一个beacon的基础上,先在该网段portscan,探测存活主机后

选择View-->Target-->Login-->psexec,可批量选择主机pth

个人觉得还是Msf好用,成功率更高一些

项目地址: https://github.com/byt3bl33d3r/CrackMapExec
安装参考: https://github.com/byt3bl33d3r/CrackMapExec/wiki/Installation

Kali安装步骤:

使用命令:

注意:这里的 IP 可以是单个IP也可以是IP段

如果命令使用失败,可能没安装其依赖项(坑点,我弄了两个小时。。。心态爆炸):

项目地址: https://github.com/SecureAuthCorp/impacket
安装过程:

wmi内置在windows操作系统,用于管理本地或远程的 Windows 系统。wmiexec是对windows自带的wmic做了一些强化。攻击者使用wmiexec来进行攻击时,不会记录日志,不会写入到磁盘,具有极高的隐蔽性。

安装成功后,切换到examples目录下,执行如下命令:

exe版本:
项目地址: https://github.com/maaaaz/impacket-examples-windows
执行命令类似

powershell版本:
项目地址: https://github.com/Kevin-Robertson/Invoke-TheHash

注意:这里要先加载Invoke-WMIExec.ps1脚本,因为Invoke-TheHash 里要用到 Invoke-WMIExec方法

该命令执行后该进程会在后台运行,可以结合定时任务执行尝试反弹shell。

KB2871997 补丁将使本地帐号不再可以用于远程接入系统,不管是 Network logon 还是 Interactive login。其后果就是:无法通过本地管理员权限对远程计算机使用 Psexec、WMI、smbexec、IPC 等,也无法访问远程主机的文件共享等。
在安装了kb2871997 这个补丁后,常规的Pass The Hash已经无法成功。但administrator(SID=500) 账号例外,使用该账号的散列值依然可以进行哈希传递攻击。这里需要强调的是 SID=500 的账号。即使将administrator账号改名,也不会影响SID的值

普通用户测试:

前提:只适用于域环境,并且目标主机需要安装 KB2871997补丁

利用获得到的AES256或AES128进行Key攻击:

弹出cmd后,查看DC的共享文件夹:

这里也不知道算成功没有

详情请参考谢公子博客: https://blog.csdn.net/qq_36119192/article/details/103941590

LocalAccountTokenFilterPolicy 值默认设置为 0 来禁止非administrator账号的远程连接(包括哈希传递攻击),但是administrator用户不受影响

将LocalAccountTokenFilterPolicy设置为1,就可以使用普通管理员账号进行哈希传递攻击

利用工具:hashcat
比如说密码为:admin888?
NTLM加密之后为:c4e51613d9ab888ac3d43538840b271c

hashcat具体用法参考: Hashcat的使用手册总结
这里可以看到成功破解出了密码:

当然也可以去cmd5等破解网站,有钱的话直接冲个会员多香啊

Pass The Hash(Key) 凭据传递攻击PTH
哈希传递攻击(Pass-the-Hash,PtH)
Windows用户密码的加密与破解利用
横向渗透之Pass The Hash

QT学习小结之鼠标事件


qt鼠标事件所包含的头文件<QMouseEvent>,QMouseEvent中包含了两个坐标,一是全局坐标(globalPos()),即桌面坐标,这个跟Windows下的调用的getCursorPos函数得到的结果一致。


鼠标事件常见的有mousePressEvent(),mouseReleaseEvent(),mouseDoubleClickEvent(),mouseMoveEvent(),下面我就贴上几段代码吧


void Event_test::mouseMoveEvent(QMouseEvent *event)     //鼠标拖动事件
{
    QPoint point;
    point = QCursor::pos();
    qDebug()<<"point"<<point.x()<<"    "<<point.y();
    qDebug()<<"move :"<<"  "<<event->pos().x()<<"  "<<event->pos().y();
}


void Event_test::mousePressEvent(QMouseEvent *event)   //鼠标按下事件
{
    QString str="("+QString::number(event->x())+","+QString::number(event->y())+")";
    if(event->button()==Qt::LeftButton)
    {
        statusBar()->showMessage (tr("Mouse Left Button Pressed:")+str);//在状态栏中显示临时信息
    }
    else if(event->button()==Qt::RightButton)
    {
        statusBar()->showMessage (tr("Mouse Right Button Pressed:")+str);
    }
    else if(event->button()==Qt::MidButton)
    {
         statusBar()->showMessage (tr("Mouse Middle Button Pressed:")+str);
    }
    qDebug()<<"Press "<<"   "<<event->pos().x()<<"   "<<event->pos().y();
}


void Event_test::mouseReleaseEvent(QMouseEvent *event)      //鼠标释放事件
{
   QString str="("+QString::number(event->x())+","+QString::number(event->y())+")";
   
   statusBar()->showMessage (tr("Mouser Released:")+str,3000);
    qDebug()<<"release "<<"    "<<event->pos().x()<<"    "<<event->pos().y();
}


void Event_test::mouseDoubleClickEvent(QMouseEvent *event)    //鼠标双击事件
{
    QString str="("+QString::number(event->x())+","+QString::number(event->y())+")";
    if(event->button()==Qt::LeftButton)
    {
          statusBar()->showMessage (tr("Mouse Left Button Double Clicked:")+str);
    }
     else if(event->button()==Qt::RightButton)
    {
          statusBar()->showMessage (tr("Mouse Right Button Double Clicked:")+str);
    }
    else if(event->button()==Qt::MidButton)
    {
          statusBar()->showMessage (tr("Mouse Middle Button Double Clicked:")+str);
    }
}


本文出自 “11699921” 博客,请务必保留此出处http://11709921.blog.51cto.com/11699921/1787760

以上是关于Windows之hash利用小结的主要内容,如果未能解决你的问题,请参考以下文章

Windows认证机制小结

Net-NTLM hash利用方法

windows 抓hash获取管理员密码

Windows免杀小结(工具篇)

git之sourceTree使用github和码云的代码小结

MySQL中Btree和Hash的局限小结