首页 > 其他分享 >131-横向移动-Kerberos攻击&SPN扫描&WinRM&WinRS&RDP

131-横向移动-Kerberos攻击&SPN扫描&WinRM&WinRS&RDP

时间:2024-08-22 19:56:36浏览次数:12  
标签:扫描 服务 RDP Windows WinRM Kerberos winrm SPN

1、RDP协议

        Remote Desktop Protocol 远程桌面协议通常开放3389 ,Windows上面使用mstsc就可以弹出最常见的远程桌面连接方式,一般都是使用明文进行连接其实还可以使用hash进行

        在内网中使用RDP协议一般是需要进行代理转发或者建立节点的

端口扫描

  • shell命令

        tasklist /svc | find "TermService" # 找到对应服务进程的PID

        netstat -ano | find "PID值" # 找到进程对应的端口号

  • 或者使用cs自带的进行扫描

明文连接:

        mstsc /console /v:192.168.3.32 /admin

hash:

        mimikatz privilege::debug (这一步结果是OK才可以)

        mimikatz sekurlsa::pth /user:administrator /domain:192.168.3.32 /ntlm:518b98ad4178a53695dc997aa02d455c "/run:mstsc.exe /restrictedadmin" #mimikatz使用HASH连接

        使用hash就需要用到这个mimikatz,但是我用自己的宿主机去运行mimikatz好像有点问题,只用用虚拟机win7去运行执行命令连接虚拟靶机,可能是mimikatz的版本不匹配吧。

        另外同时想要使用hash值连接远程桌面,不单单是本地要支持Restricted Admin Mode,对端也要支持Restricted Admin Mode。

        想要知道支不支持这个hash连接,可以使用命令来进行测试,如果当前系统支持Restricted Admin mode,那么可以直接弹出远程桌面,如果不支持则会弹出远程桌面的参数说明。(命令: mstsc.exe /restrictedadmin)

        然后特别注意,我之前没怎么玩过mimikatz,这个东西很注意空格,复制进去一定要注意空格再执行,我试了几遍出错发现是空格的原因。。。

我这里运行出来老是爆一个警告,好像是命令输错了一样。。。

2、WinRM&WinRS

        WinRM 是一个基于Web服务管理(WS-Management)标准的远程管理框架,它允许管理员从远程位置执行管理任务。WinRS 是WinRM的一个组件,它提供了一个基于PowerShell的远程命令行界面。        

        WinRS 允许用户通过PowerShell脚本或命令行工具远程执行命令和脚本。WinRS 是PowerShell的一个扩展,它使得PowerShell的远程功能更加强大和灵活。

        WinRM 和 WinRS 通常一起使用,WinRS 提供了WinRM的一个用户友好的界面。要使用这些工具,你需要在目标系统上启用WinRM服务,并且可能需要配置防火墙规则以允许远程连接。在Windows 10和Windows Server 2016及更高版本中,WinRM 默认是启用的。在旧版本的Windows中,你可能需要手动安装和配置WinRM。

        如果想要利用WinRM服务,并且让winrm命令行工具执行操作,那么通信双方必须同时安装并配置好Windows远程管理。

        同时winrs适用于Windows server 2008及Windows 7 以后的操作系统上并自动与操作系统一同安装,但是只有在Windows server 2008以上的操作系统winrs服务才会自启动,其它的都是需要手动开启的。

        不过通过验证Windows 2008以上版本都是自动开启默认状态,Windows 7则必须手动开启,同时Windows server 2012之后的版本默认开启同时运行远程任意主机来管理。

  • 查看WinRM监听器配置情况

Address:表示监听器所监听的地址。

Transport:用于指定用于发送和接收 WS-Management 协议请求和响应的传输类型,如 HTTP 或 HTTPS,其默认值为 HTTP。

Port:表示监听器所监听 TCP 端口。

Hostname:正在运行 WinRM 服务的计算机的主机名。该值必须是完全限定的域名、IPv4 或 IPv6 文本字符串或通配符。

Enabled:表示是启用还是禁用侦听器,其默认值为 True,表示启用。

URLPrefix:用于指定要在其上接受 HTTP 或 HTTPS 请求的 URL 前缀。例如,如果计算机名称为 SampleMachine,则 WinRM 客户端将在目标地址中指定 https://SampleMachine/。默认 URL 前缀为 "wsman"。

CertificateThumbprint:用于指定服务证书的指纹。

ListeningOn:用于指定侦听器使用的 IPv4 和 IPv6 地址。

命令:

winrm e winrm/config/listener 或 winrm enumerate winrm/config/listener

winrm get winrm/config #查看具体配置

我这个是winerver2012

使用winrm quickconfig 启动WinRM服务

其他的配置命令

使用 PowerShell 查询 WinRM 状态:Get-WmiObject-Class win32_service | Where-Object{$_.name -like "WinRM"}
开启 WinRM 远程管理:Enable-PSRemoting–force
设置 WinRM 自启动:Set-ServiceWinRM-StartModeAutomatic
对 WinRM 服务进行快速配置,包括开启 WinRM 和开启防火墙异常检测, HTTPS传输, 5986端口:winrm quickconfig -transport:https    
为 WinRM 服务配置认证:winrm set winrm/config/service/auth @{Basic="true"}
修改 WinRM 默认端口:winrm set winrm/config/client/DefaultPorts @{HTTPS="8888"}
为 WinRM 服务配置加密方式为允许非加密:winrm set winrm/config/service @{AllowUnencrypted="true"}
设置只允许指定 IP 远程连接:winrm set winrm/config/Client @{TrustedHosts="192.168.10.*"}
设置允许所有 IP 远程连接:winrm set winrm/config/Client @{TrustedHosts="*"}

如果遇到拒绝访问就是权限的问题,换成管理员的账号就好了,如果提示需要将网络由公用改为域或专用,直接在网络设置中找到以太网将公用改为专用即可(我的Windows7 就遇到了这个问题,然后我没搞成功,我也不知道什么原因实在我是设置了专有网络了可能是我设置的不正确吧。。。不过winserver2012是默认开启的)

默认情况下winrm使用5985端口,所以可以先扫描端口开放情况确认是否开启(本机和靶机都要开启)

然后输入

winrm quickconfig

winrm set winrm/config/Client @{TrustedHosts="*"}

winrs -r:[ip] -u:[username] -p:[password]

还可以获取交互式shell

能执行命令了上线cs无疑简单了许多

3、SPN&kerberos

SPN:

        服务主体名称(SPN)是Kerberos客户端用于唯一标识给特定Kerberos目标计算机的服务实例名称。Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。如果在整个林中的计算机上安装多个服务实例,则每个实例都必须具有自己的SPN。如果客户端可能使用多个名称进行身份验证,则给定的服务实例可以具有多个SPN。例如,SPN总是包含运行服务实例的主机名称,所以服务实例可以为其主机的每个名称或别名注册一个SPN。

spn扫描:

        spn扫描也可以叫扫描Kerberos服务实例名称,在Active Directory环境中发现服务的最佳方法是通过“SPN扫描”。通过请求特定SPN类型的服务主体名称来查找服务,SPN扫描攻击者通过网络端口扫描的主要好处是SPN扫描不需要连接到网络上的每个IP来检查服务端口。SPN扫描通过LDAP查询向域控制器执行服务发现。由于SPN查询是普通Kerberos票据的一部分,因此如果不能被查询,但可以用网络端口扫描来确认。

        在活动目录中发现服务的最佳方法就是SPN扫描。SPN扫描通过请求特定SPN类型的服务主体名称来查找服务。与网络端口扫描相比,SPN扫描的主要特点是不需要通过连接网络中的每个IP地址来检查服务端口(不会因为触发内网中的IPS、IDS等设备的规则而产生大量的警告日志)。因为SPN查询是Kerberos票据行为的一部分,所以检测难度很大。

        由于SPN扫描是基于LDAP协议向域控制器进行查询的,所以,攻击者只需要获得一个普通的域用户权限,就可以进行SPN扫描。

        在域环境中,发现服务的最好办法就是通过”SPN扫描”。通过请求特定SPN类型服务主体名称来查找服务。

SPN格式:

SPN = serviceclass “/” hostname [“:”port] [“/” servicename]

serviceclass:标识服务类的字符串,例如Web服务的www

hostname:一个字符串,是系统的名称。这应该是全限定域名(FQDN)

port:一个数字,是该服务的端口号

servicename:一个字符串,它是服务的专有名称(DN),objectGuid,Internet主机名或全限定域名(FQDN)

注意: 服务类和主机是必需参数,但 端口和服务名是可选的,主机和端口之间的冒号只有当端口存在时才需要。

setspn -T niganm.hhh -q */* 扫描全部服务

CN=Computers那就是主机,CN=Users那就是在域用户下注册 CN=DC就是域控机

通过这个可以收集到哪些主机上开放了哪些服务的信息,但是这里显示的只有一些Windows相关的服务,第三方服务不会显示

Kerberos攻击:

Kerberos的加密类型

win+R 输入Secpol.msc在安全选项里可以找到

如果是RC4加密方式就可以逆向

此方式使用建立在没有获取到任何明文密码以及hash值的一种思路

工具GitHub - GhostPack/Rubeus: Trying to tame the three-headed dog.

不过这个工具没有编译只发行了源代码。。。我也不会编译C#语言的代码然后去网上看看怎么编译的

还好我之前下的有vs,用vs生成一下就可以了,使用那个Rubeus.csproj 作为入口

这个3请求的目的就是得到票据,因为只有发生了请求才会有票据的产生才可以判断是否采用的RC4加密还是其他的加密方式(这是手工判断的方式)

为了方便可以直接使用2用工具检测

我这里没有对应的环境。。。所以检测不出来和RC4加密有关的服务

如果有就使用mimikatz导出票据

mimikatz kerberos::list /export

然后将对应的RC4加密的服务票据找到,使用脚本进行(工具地址 GitHub - nidem/kerberoast

python tgsrepcrack.py 字典.txt路径 票据文件名

能否成功看字典能不能跑出来密码,这里跑出来的就是明文密码

总结来说比较看运气是大部分横向移动都失效的情况下的一个办法

标签:扫描,服务,RDP,Windows,WinRM,Kerberos,winrm,SPN
From: https://blog.csdn.net/qq_63855540/article/details/141436271

相关文章

  • 服务器主机wordpress多网站启用redis缓存数据“混乱”解决办法
    近两天在搞网站数据迁移搬家的事情,是将A网站做为B网站的一个子目录,这样就牵涉到一个服务器两个网站的问题,因为这两个wordpress网站都使用了redis缓存,但在建站之初并没有设定不同的数据表前缀,后期修改我也不懂,直接导致了因为redis缓存两个网站数据“混乱”的问题。但好在网络......
  • Wordpress漏洞
    WPScanWPScan是KaliLinux默认自带针对wordpress的一款扫描神器1、刺探基础信息:wpscan--urlhttp://www.example.com2、猜解后台用户名wpscan--urlhttp://www.example.com--enumerateu3、使用字典暴破用户名admin的密码wpscan--urlhttp://www.example.com-Pp......
  • 深入理解Kerberos:现代网络身份验证的基石
    在当今的分布式计算环境中,网络安全已成为企业和组织最为关注的问题之一。为了确保用户在网络上的身份真实性并保护敏感数据,采用安全且有效的身份验证机制至关重要。而Kerberos,作为一种经典且广泛应用的网络身份验证协议,正是解决这一问题的核心工具之一。一、什么是Kerberos......
  • 宝塔面板安装后wordpress优化教程
    宝塔面板安装wordpress之后,一直有一个头痛的问题按F5会导致cpu和内存100%,这个问题也困扰了我一个月,后面也是各种解决方案都不太理想!现在我出来一个教程,按我的思路我的服务器是2H2G的阿里云服务器!里面只有一个wordpress站点,也就是现在你所看到的站点运行环境:nginx1.......
  • 好代码网同款wordpress主题,适合搭建资源分享类网站
    代码简介:好代码资源网是个还不错的资源分享类网站,基于wordpress搭建的。它的主题看起来还是不错的。这里分享一下这个网站的主题包。说是主题包,其实就是整站打包的,集成了主题(wordpress+美化主题包+几个插件)和一千多条资源数据,可以开箱即用,快速搭建一个和好代码网一样的资源网......
  • WordPress网站克隆:用户指南
    在这个数字化时代,拥有自己的网站已经非常普遍了。不管是个人博客还是企业官网,WordPress都提供了便捷的建站方式。但是,有时候我们需要复制一个现有的网站,无论是为了测试新功能还是迁移到新服务器。那么,如何克隆一个WordPress网站呢?本文将为大家详细介绍三种方法:使用Softaculous......
  • 如何利用 LNMP 搭建 WordPress 站点
    在这个信息爆炸的时代,拥有一个能够迅速传达信息、展示个性、并能够与世界互动的在线平台,已成为企业和个人的基本需求。WordPress,以其无与伦比的易用性和强大的扩展性,成为了构建此类平台的首选工具。而LNMP,这个由Linux、Nginx、MySQL和PHP组成的强大组合,为WordPress提供了一个稳定......
  • Windows远程桌面(RDP)错误代码:0x516
    错误代码0x516和错误信息“你已断开连接,因为已与远程电脑建立了另一个连接”通常表示在尝试建立远程桌面连接时,目标计算机上已经有一个远程桌面会话活跃。检查隐藏的远程会话如果你有管理员权限,你可以通过命令行工具query和logoff来结束会话。即使看起来没有活......
  • 怎么一键自动备份WordPress博客
    插件名称:BackWPup●第1步插件安装完毕启动后,点击【BackWPup】→【AddNew】,进入后请设定排程名称,接着请勾选要备份的类型(在此只选择DatabaseBackup资料库备份),接着请选择资料表(预设全选),再来请选择备份送达地点(在此选「BackuptoE-Mail」),之后请设定排程时间,然后点﹝SaveChanges﹞......
  • WordPress 简单吗?
     是的,WordPress对于初学者来说非常简单易用。WordPress是一个开源的网站构建平台,专为简单性和用户友好性而设计,使其非常适合初学者和技术水平较低的用户。以下是几个使WordPress易于使用的原因:1.直观的用户界面:WordPress拥有一个干净且直观的界面,菜单和选项清晰易懂。......