概述WinRM是Windows Remote Managementd(Windows远程管理)的简称,它基于Web服务管理(WebService-Management)标准,WinRM2.0默认端口5985(HTTP端口)或5986(HTTPS端口)。如果所有的机器都是在域环境下,则可以使用默认的5985端口,否则的话需要使用HTTPS传输(5986端口)。WinRM允许远程用户使用工具和脚本对Windows服务器进行管理并获取数据,Windows server 2008 r2默认开启此服务,server 2012开始并集成在系统中默认开启,家庭版的计算机是默认关闭。这种远程连接不容易被...
概述2013年在defcon大会中首次提出smbexec,该工具支持明文认证、NTLM认证、aeskey认证等方式相关命令smbexec.exe username:password@IP地址工具原理大致流程如下:建立IPC$连接通过服务执行命令将命令存储在%temp%/execute.bat文件中运行execute.bat文件,将结果存储在C:/\_output文件中删除execute.bat文件通过客户端读取目标机器的C:/\_output文件内容用提供的账户和密码进行NTLM协议认证在数据包中过滤输入的命令 ipconfig%COMSPEC% /Q /c echo ipconfig ...
概述psexec工具是微软提供的pstools工具集合中的一款远程命令行工具,psexec工具不需要对方计算机开放3389端口,只需要对方计算机开启admin$共享和ipc$(依赖于445端口和135端口)微软官方下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstools常用命令psexec.exe \\IP地址 -u username -p password -s cmd.exe #交互式shell psexec.exe \\IP地址 -u username -p password -i -w c:\ ...
概述PTT(Pass The Ticket),票据传递攻击,PTT攻击只能用于Kerberos认证,PTT是通过票据进行认证的。注意:进行票据的传递,不需要提权,域用户或者system用户即可。原理在认证中主要涉及两个票据:TGT与ST如何获取这两票据呢域账户明文密码域账户的NTLM-HASH域账号的AES直接伪造系统漏洞系统本身就存在票据(mimikatz工具命令 Sekurlsa::tickets /export 可导出票据)三种传递PTH,NTLM-HASH值进行认证,支持Kerberos与NTLM认证PTK,AES值进行认证,只能用于Kerberos认证PTT,票据进行认证,只能...
概述PTK(Pass The Key),中文称之为密钥传递攻击。在PTH密钥传递攻击中,使用的是NTLM-HASH值。PTK密钥传递攻击中使用的是AES256或者AES128的方式,PTK攻击只能用于Kerberos协议认证。原理在kerberos协议中 PTK攻击原理AS-REQ(AS-requests)主要包含用户的身份信息,由客户端发送给AS的数据包,其中有几个重要信息:PA-DATA pA-ENC-TIMESTAMP:使用用户的hash值或者AES key加密时间戳生成的keyPA-DATA pA-PAC-REQUEST:是否包含有pac(PAC 包含用户的SID、用户所在组等信...
原理及条件PTH概述PTH(pass the hash),中文称之为哈希传递攻击,在NTLM和Kerberos认证中,都需要使用用户的NTLM-Hash值进行加密认证,所以知道了对方用户的NTLM-Hash值之后就可以使用PTH进行认证。在域环境中,用户登录计算机时一般使用的都是域账户,大量计算机在安装时会使用相同的本地管理员账户和密码。如果计算机的本地管理员账户和密码也是相同的,故攻击者就可以使用哈希传递攻击这种方法登录内网中其他计算机。PTH原理-NTLM认证中response是如何生成的呢?response = NTProofStr+blob两部分组成的NTProofStr:NTL...
概述IPC$IPC(Internet process connection)共享,为了实现进程间通信而开放的命名管道。IPC可以通过验证用户名和密码获得相应的权限,通常在远程管理和查看计算机的共享资源时使用。通过IPC$可以与目标机器建立连接,不仅可以访问目标机器的文件进行上传、下载等操作,还可以在目标机器上运行其他命令,以获取目标机器的目标结构、用户列表等信息。共享文件文件共享指的是主动在网络上共享自己计算机中的文件,默认共享是为了方便管理员进行远程管理而默认开启的。逻辑磁盘默认都是处于共享状态的。访问的命令格式为\\IP地址\磁盘符$注意:如果当前计算机A的用户账户是administ...
横向移动指的是攻击者在内部网络中获得初始访问权限之后,通过相关技术扩大敏感数据和高价值资产权限的行为。横向移动的方式有如下几种:通过Web漏洞;通过远程桌面;通过账户密码;通过不安全的配置;通过系统漏洞;利用远控工具横向通过远程桌面横向概述远程桌面协议(RDP)是一个多通道(multi-channel)的协议,让使用者(所在计算机称为用户端或“本地计算机”)连上提供微软终端机服务的计算机(称为服务端或“远程计算机”)。利用条件开启了3389端口;防火墙等安全设备允许通行;网络必须相通;有账户名和密码(或者HASH值);查询3389端口开放情况netstat -ano手动开启3389端口R...
明文密码抓取原理Credentials的解密是Windows系统信息收集中非常重要的一环在平时的工作中,管理员为了方便管理计算机,经常会进行远程桌面连接,由于每次都需要输入密码觉得麻烦,就点击了保留凭据。这个过程是可逆,所以我们可以将保存的密码进行还原。还原的原理Windows通过MasterKey将我们的密码加密后保存在本地,由于Windows还需要解密使用这个密码,所以这个过程是可逆,我们只要拿到 MasterKey就能将密码解出来。查看凭证方法1、查看远程桌面的连接记录 命令:cmdkey /list2、查找本地的的Credentialsdir /a %userprofile%\a...
概述什么是Dcsync(domain Controller synchronization )域控同步:在内网中一般不是一个域控, 会有域树或者域森林等,域控之间是要同步数据的,不同的域控15分钟之间要发起一次数据同步请求,请求里面就包含同步的数据,这里采用的协议是DRS(目录复制服务),这个就是 DCsync哪些用户可以运行DCsync服务呢administrators组内用户domain admins组内用户enterprise admins组内用户域控制器的计算机账户域控的administrator和system也可以DCsync利用思路找到有权限的用户,从而远程读取域控用户的信息...
NTDS概述NTDS.DIT为DC的数据库,存放着有域用户、域组、用户hash值等信息。域控上面的NTDS.DIT只有登录到域控的用户(例如:域管用户、DC本地管理员用户)可以访问,为了进一步保护密码hash值,使用存储在SYSTEM注册表配置单元中的密钥对这些hash值进行了加密。位置:C:\Windows\NTDS如果要读取该文件的内容有以下几种方式离线读取,将NTDS文件复制到攻击者的计算机,然后再使用工具进行读取在线读取,通过给域控电脑传送可以读取NTDS文件的工具远程读取,不需要上线域控,可以通过Dcsync远程读取卷影拷贝概述从Windows XP SP2和Windows s...
需要抓取哪些密码呢?本地账户密码(或者hash)域账户密码(或者hash)RDP账户密码浏览器账户密码数据库账户密码本地保存的账户密码文件GetPassword注意:需使用高权限用户操作打开GetPass工具所在的目录。打开命令行环境。运行64位程GetPassword。运行该程序后,即可获得明文密码PwDump7以高权限用户身份打开cmd,直接运行PwDump7.exe 就可得到用户的hash值QuarksPwDump同样为NTLM hash值命令格式(高权限用户执行):QuarksPwDump.exe --dump-hash-localMimikatz项目地址:https://git...
查询当前机器名/用户命令:whoami判断是否在域内命令:ipconfig /allsysteminfonet config workstationnet time /domain查询域内所有用户组信息命令:net group /domain查询域内特定组的计算机成员命令:net group “组名” /domain定位域控-命令1nltest /DCLIST:域名定位域控-命令2nslookup -type=SRV \_ldap._tcp定位域控-命令3net time /domain定位域控-命令4net group "Domain Controllers" /domain查询域内...
查询当前机器的IP地址命令:ipconfig 或者 ipconfig /all查询操作系统和版本信息命令:systeminfo | findstr /B /C:"OS Name" /C:"OS Version" 或者systeminfo| findstr /B /C:"OS 名称" /C:"OS查询系统架构命令:echo %PROCESSOR_ARCHITECTURE%查询安装的软件及版本命令:wmic product get name,version或者powershell "Get-WmiObject -class win32_product | Select-Object -Pro...
协议简介Kerberos协议是一种网络认证协议,设计目的是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。认证过程中的实现不依赖于主机操作系统的认证,不需要基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意读取、修改和插入数据。 Kerberos协议作为一种可信任的第三方认证服务,是通过传统的密码技术(如共享密钥)执行认证服务的。角色划分客户端(client):发送请求的一方服务端(server):接收请求的一方密钥分发中心(key distribution center,KDC),密钥分发中心分为两部分:AS(authentication s...
