69内网安全-域横向CobaltStrikeSPNRDP

这节课主要讲spn和rdp协议,

案例一域横向移动RDP传递-Mimikatz 

rdp是什么,rdp是一个远程的链接协议,在linux上面就是ssh协议,

我们在前期信息收集的时候,得到一些hash值和明文密码可以进行一些相关协议的链接的,比如之前讲的ipc,vmi,smb协议,除了这些,rdp协议也是可以进行链接的,

rdp协议对应的开放端口就是3389

明文密码连接时很简单得可以直接xin+r输入mstsc调用出来远程连接窗口,

2.mstsc.exe /console /v:192.168.3.21 /admin

3.linux: rdesktop 192.168.3.21:3389

用hash也可以链接,但是有部分系统有还要执行一下这个命令


windows Server需要开启 Restricted Admin mode,在Windows 8.1和Windows Server 2012 R2中默认开启,
同时如果Win 7 和Windows Server 2008 R2安装了2871997、2973351补丁也支持;

REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

就比较鸡肋

rdp协议判断;判断对方是否开启了3389端口即可,端口扫描

 案例二域横向移动SPN服务-探针,请求,导出,破解,重写

参考链接,https://www.cnblogs.com/backlion/p/8082623.html 

spn扫描也可以叫扫描Kerberos服务实例名称,

他的攻击流程在思维导图里面写了,探针spn服务,请求服务票据,导出服务票据,破解服务票据,重写服务票据,吃西瓜

设计的服务;mssql,wsman,exchange,iermserv,hyper-v host等等,在参考里面有详细

一般spn攻击可以通过网络端口扫描,通过端口开放可以判断内网主机的一些其他服务,不过进行端口扫描可能会遇到防火墙,比如在用namp扫描的时候遇到防火墙就会扫描不准确;

spn扫描就可以避免这个防火墙,他扫描是走的Kerberos服务,走的地方不一样,SPN查询是普通Kerberos票据的一部分,不会触发防火墙,杀软,

攻击流程,探针spn服务((看一下有那些服务),请求服务票据(根据不同的服务,选择要操作的服务,然后请求),导出服务票据(请求之后会建立会话连接,在用工具把数据导出来),破解服务票据(导出来之后数据的加密形式是可以破解的,通过破解找到这个链接的东西),重写服务票据,吃西瓜

黑客可以使用有效的域用户的身份验证票证(TGT)去请求运行在服务器上的一个或多个目标服务的服务票证。DC在活动目录中查找SPN,并使用与SPN关联的服务帐户加密票证,以便服务能够验证用户是否可以访问。请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5,这意味着服务帐户的NTLM密码哈希用于加密服务票证。黑客将收到的TGS票据离线进行破解,即可得到目标服务帐号的HASH,这个称之为Kerberoast攻击。如果我们有一个为域用户帐户注册的任意SPN,那么该用户帐户的明文密码的NTLM哈希值就将用于创建服务票证。这就是Kerberoasting攻击的关键。

以下操作都在PowerShell进行 

探针

setspn -q */*

可以看到域内主机的详细服务目标,

setspn -q */* | findstr "MSSQL"

这个命令就是寻找特定的服务,这个就是寻找的mssqk服务,

然后删除别的票据

请求

Add-Type -AssemblyName System.IdentityModel

    New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "[服务名]"

再查看凭据

这就多了一条刚刚的请求凭据,产生了票据之后再用mimikatz给他导出来

也可以使用mimikatz请求

    mimikatz.exe "kerberos::ask /target:[服务名]" 

请求之后就会产生出凭据

导出

用mimikatz导出来,

mimikatz.exe "kerberos::list /export"

破解

用一个python脚本写一个字典爆破、

因为在破解的时候,是利用到一个脚本,最好还是在自己本机上破解,

把要爆破的凭据复制到爆破文件的目录来

   python3 .\tgsrepcrack.py .\[密码文件.txt] .\[凭据.kirbi]

    python3 .\tgsrepcrack.py .\password.txt .\1-40a00000-jerry@MSSQLSvcSrv-DB-0day.0day.org1433-0DAY.ORG.kirbi 

然后直接运行它爆破

域控的服务被请求的时候,会自动进行验证,所以里面就有密码信息,密码就包含在凭据里面,

重写

python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -u 500

-p后面跟的是得到的密码,-r就是凭据 ,-w重写成一个凭据文件 ,-u就是用户的编号,500是值得管理员的编号
python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -g 512

-g值得是组,512就是管理员组
mimikatz.exe kerberos::ptt xxxx.kirbi # 将生成的票据注入内存

他就是伪造了一个管理员用户,管理员组的用户的票据进行链接

但是我们在这种服务破解,破解的服务账户并不是管理员账户

链接上去之后权限也比较小,但是管理员账户的破解不了的,在这个协议里面不显示

案例三域横向移动测试流程一把梭哈-CobaltStrike初体验 

 把前面涉及到的东西,总结了,在实战情况下,我们的一个操作,全部实战操作,把会遇到问题都解决掉

CobaltStrike4.0用户手册:

https://pan.baidu.com/s/15DCt2Rzg5cZjXnEuUTgQ9Q 提取码:dtm2 

CobaltStrike也成为多人认证工具,也叫打枪工具,

简单介绍;他呢有一个团队服务器,可以通过任意终端连接到靶机上,可以建立一个多人攻击一个靶机的场景,

面对的内网环境

大概流程:

启动-配置-监听-执行-上线-提权-信息收集(网络,凭证,定位等)-渗透 

关于启动及配置讲解

这个工具需要java环境,自己装一下jdk和java

来到那个工具目录下,启动文件,在文件名字后面跟上服务器ip和密码,这个密码后续链接工具会用到

公共服务区配置好之后,在来到自己的本机,启动CobaltStrike

输入服务器ip,端口不用变,账户随便输一个,密码输入服务器设置的密码

就启动完成了,它可以理解为是一个远控工具,然后这个工具又带有一些渗透功能。

这个工具就是先控制电脑,控制服务器,然后在在肉鸡上面做一些操作

然后这个工具是多人操作的,有时候需要区分谁搞的那个肉鸡,这个就可以通过配置一个监听器解决,从你这个监听器过来的就是你的主机,而从别的监听器过来的,就是别人的肉鸡,监听器就是配置木马的传输的管道,

常见的就是dns,http,smb,c2;这里老师选择的c2

然后配置一下基本信息,名字,ip,端口,然后就生成监听文件,进入监听状态,然后就是生成后门文件

红色框框的这个是windows64位的后门文件;ms office是宏病毒,这个病毒是插入到word类的文件;我们选择就用windwos倒数第二个后门

64兼容模式选择上,

然后后门绑定好监听器,

然后利用webshell把后门文件,上传到肉鸡上面,运行它

肉鸡上线,还打开试图看一下基础信息

关于提权及插件加载

在视图界面,选中机器右键。“Interact”,打开命令行终端;“Session”,链接的管理和笔记等功能;中间是包括端口扫描、黄金票据、运行MimiKatz等常用功能 

自带的提权只有两个,所以要加载一些插件,

点击加载这个插件,然后再点upload加载上,之后提权哪里的选项就多了

选择这个ms14-058,直接提权操作

提权速度过慢:

选择“Session”“Sleep”,设置为1或者0 ,直接把延关掉

关于信息收集命令讲解

探针内网架构 net view

选择“View”“Targets”,会展示所有已探测的信息 

输入“net computers”,探测所有的机器的名字与IP

输入“net dclist”,获取当前域控的信息

输入“net user”,获取当前用户信息

输入“shell net user /domain”,加“shell”调用cmd执行命令,得到域内所有用户的名字

选择“Access”“Run Mimikatz”或者输入“mimikatz”来运行mimikatz

选择“View”“Credentials”,会展示mimikatz收集的密码信息 

回到“Targets”界面,选中一台机器,右键“Jump”,选择合适的攻击方法进攻。这里以“psexec”为例

 

ssh是linux的等等

用系统权限的主机去链接,选择后监听器,账户密码可以根据刚刚获取的套用试试

然后发现这台电脑,他没有联网,我们该怎么拿下他呢

这时候域内有另一台主机,是开启外网的,我们在去攻击那台主机,

这台肉鸡就上线了

问题;

可以upload上传工具

自助工具;如果提权成功(没成功也可以上传吖),可以通过上次其它第三方的软件进行辅助(这里把Ladon上传上去) 

Ladon一款用于大型内网渗透的多线程插件化综合扫描神器,含端口扫描、服务识别、网络资产、密码爆破、高危漏洞检测以及一键GetShell,支持批量A段/B段/C段以及跨网段扫描,支持URL、主机、域名列表扫描。 

代理问题;

刚刚老师为了链接效果,给每一台主机都开外网了,但是外网一关,就下线了,这该怎么办。

这就涉及到代理

而对于那个没有开外网的主机,是正向链接还是反向链接好呢?

看到这个图,sqlserver就是没有开外网的靶机,webserver是有一个外网可以对外链接,但是webserver有内网网卡是可以和sqlserver正常链接,这时候我们就可以,让sqlserver把数据传输给webserve,在让webserver传输给我,

反向代理

但这里有一个问题,结果回显不过来,这就需要到代理隧道,

关于试图自动化功能讲解

涉及资源:

kerberos中的spn详解:https://www.cnblogs.com/backlion/p/8082623.html

kerberoast:https://github.com/nidem/kerberoast

taowu-cobalt-strike(插件-小迪精选):https://github.com/pandasec888/taowu-cobalt-strike

Cobalt Strike 4.0手册:https://pan.baidu.com/s/15DCt2Rzg5cZjXnEuUTgQ9Q 提取码:dtm2

红队实战演练环境:https://pan.baidu.com/s/14eVDglqba1aRXi9BGcBbug 提取码:taqu

Erebus(插件-小迪使用):https://github.com/DeEpinGh0st/Erebus

(Cobalt Strike插件):https://github.com/rsmudge/Elevatekit

(Cobalt Strike插件):https://github.com/harleyQu1nn/AggressorScripts

(Cobalt Strike插件):https://github.com/bluscreenofjeff/AggressorScripts

(Cobalt Strike插件):https://github.com/michalkoczwara/aggressor_scripts_collection

(Cobalt Strike插件):https://github.com/vysecurity/Aggressor-VYSEC

(Cobalt Strike插件):https://github.com/killswitch-GUI/CobaltStrike-ToolKit

(Cobalt Strike插件):https://github.com/ramen0x3f/AggressorScripts

(Cobalt Strike插件):https://github.com/FortyNorthSecurity/AggressorAssessor

(Cobalt Strike插件):https://github.com/threatexpress/persistence-aggressor-script

(Cobalt Strike插件):https://github.com/threatexpress/aggressor-scripts

(Cobalt Strike插件):https://github.com/branthale/CobaltStrikeCNA

(Cobalt Strike插件):https://github.com/gaudard/scripts/tree/master/red-team/aggressor

(Cobalt Strike插件):https://github.com/001SPARTaN/aggressor_scripts

(Cobalt Strike插件):https://github.com/Und3rf10w/Aggressor-scripts

(Cobalt Strike插件):https://github.com/rasta-mouse/Aggressor-Script

(Cobalt Strike插件):https://github.com/vysec/Aggressor-VYSEC

(Cobalt Strike插件):https://github.com/threatexpress/aggressor-scripts

(Cobalt Strike插件):https://github.com/threatexpress/red-team-scripts

(Cobalt Strike插件):https://github.com/vysecurity/CVE-2018-4878

(Cobalt Strike插件):https://github.com/harleyQu1nn/AggressorScripts

(Cobalt Strike插件):https://github.com/bluscreenofjeff/AggressorScripts

(Cobalt Strike插件):https://github.com/QAX-A-Team/CobaltStrike-Toolset

(Cobalt Strike插件):https://github.com/ars3n11/Aggressor-Scripts

(Cobalt Strike插件):https://github.com/michalkoczwara/aggressor_scripts_collection

(Cobalt Strike插件):https://github.com/killswitch-GUI/CobaltStrike-Toolkit

(Cobalt Strike插件):https://github.com/ZonkSec/persistence-aggressor-script

(Cobalt Strike插件):https://github.com/rasta-mouse/Aggressor-Script

(Cobalt Strike插件):https://github.com/RhinoSecurityLabs/Aggressor-Scripts

(Cobalt Strike插件):https://github.com/Kevin-Robertson/Inveigh

(Cobalt Strike插件):https://github.com/Genetic-Malware/Ebowla

(Cobalt Strike插件):https://github.com/001SPARTaN/aggressor_scripts

(Cobalt Strike插件):https://github.com/gaudard/scripts/tree/master/red-team/aggressor

(Cobalt Strike插件):https://github.com/branthale/CobaltStrikeCNA

(Cobalt Strike插件):https://github.com/oldb00t/AggressorScripts

(Cobalt Strike插件):https://github.com/p292/Phant0m_cobaltstrike

(Cobalt Strike插件):https://github.com/p292/DDEAutoCS

(Cobalt Strike插件):https://github.com/secgroundzero/CS-Aggressor-Scripts

(Cobalt Strike插件):https://github.com/skyleronken/Aggressor-Scripts

(Cobalt Strike插件):https://github.com/tevora-threat/aggressor-powerview

(Cobalt Strike插件):https://github.com/tevora-threat/PowerView3-Aggressor

(Cobalt Strike插件):https://github.com/threatexpress/persistence-aggressor-script

(Cobalt Strike插件):https://github.com/FortyNorthSecurity/AggressorAssessor

(Cobalt Strike插件):https://github.com/mdsecactivebreach/CACTUSTORCH

(Cobalt Strike插件):https://github.com/C0axx/AggressorScripts

(Cobalt Strike插件):https://github.com/offsecginger/AggressorScripts

(Cobalt Strike插件):https://github.com/tomsteele/cs-magik

(Cobalt Strike插件):https://github.com/bitsadmin/nopowershell

(Cobalt Strike插件):https://github.com/SpiderLabs/SharpCompile 作者:shtome https://www.bilibili.com/read/cv14802167/ 出处:bilibili

fa

cai

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/279703.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

python+django校园篮球论坛交流系统v5re9

本课题使用Python语言进行开发。基于web,代码层面的操作主要在PyCharm中进行,将系统所使用到的表以及数据存储到MySQL数据库中 技术栈 系统权限按管理员和用户这两类涉及用户划分。 (a) 管理员;管理员使用本系统涉到的功能主要有:首页、个人中…

Java Spring

目录 一、spring简介 1.1、什么是Spring 1.2 IOC 1.3、DI 二.创建Spring项目 2.1 创建一个普通的maven项目 2.2 引入maven依赖 三、Spring的创建和使用 3.1 创建Bean 3.2 将Bean放入到容器中 3.3 获取Bean对象 3.4、创建 Spring 上下文 3.5 获取指定的 Bean …

win部署stable-diffusion

win部署stable-diffusion 1.环境2.模型3.使用4.效果 1.环境 首先下载stable-diffusion-webui,这个包了一层ui,特别好用。 git clone https://github.com/AUTOMATIC1111/stable-diffusion-webui.git然后搭建conda环境。 这里的pytorch,自己去…

挑战Python100题(8)

100+ Python challenging programming exercises 8 Question 71 Please write a program which accepts basic mathematic expression from console and print the evaluation result. 请编写一个从控制台接受基本数学表达式的程序,并打印评估结果。 Example: If the follo…

集群部署篇--Redis 哨兵模式

文章目录 前言一、哨兵模式介绍:1.1 介绍:1.2 工作机制: 二、哨兵模式搭建:2. 1 redis 主从搭建:2.2 setinel 集群搭建:2.2.1 配置: sentinel.conf :2.2.2 运行容器:2.2.…

提升效率:使用注解实现精简而高效的Spring开发

IOC/DI注解开发 1.0 环境准备1.1 注解开发定义bean步骤1:删除原XML配置步骤2:Dao上添加注解步骤3:配置Spring的注解包扫描步骤4:运行程序步骤5:Service上添加注解步骤6:运行程序知识点1:Component等 1.2 纯注解开发模式1.2.1 思路分析1.2.2 实现步骤步骤1:创建配置类…

智能硬件(8)之蜂鸣器模块

学好开源硬件,不仅仅需要会编程就可以了,电路基础是很重要的;软件和硬件都玩的溜,才是高手,那么小编为了方便大家的学习,特别画了一块智能传感器板子,来带领大家学习电路基础,玩转智…

nodejs+vue网上书城图书销售商城系统io69w

功能介绍 该系统将采用B/S结构模式,使用Vue和ElementUI框架搭建前端页面,后端使用Nodejs来搭建服务器,并使用MySQL,通过axios完成前后端的交互 系统的主要功能包括首页、个人中心、用户管理、图书类型管理、图书分类管理、图书信…

[C++] : 贪心算法专题(第一部分)

1.柠檬水找零&#xff1a; 1.思路一&#xff1a; 柠檬水找零 class Solution { public:bool lemonadeChange(vector<int>& bills) {int file0;int ten 0;for(auto num:bills){if(num 5) file;else if(num 10){if(file > 0)file--,ten;elsereturn false;}else{i…

Python生成器 (Generators in Python)

Generators in Python 文章目录 Generators in PythonIntroduction 导言贯穿全文的几句话为什么 Python 有生成器Generator&#xff1f;如何获得生成器Generator&#xff1f;1. 生成器表达式 Generator Expression2. 使用yield定义生成器Generator 更多Generator应用实例表示无…

准备用vscode代替sourceinsight

vscode版本1.85.1 有的符号&#xff0c;sourceinsight解析不到。 看网上说vscode内置了ripgrep&#xff0c;但ctrlshiftf在文件里查找的时候&#xff0c;速度特别慢&#xff0c;根本不像ripgrep的速度。ripgrep的速度是很快的。 但今天再查询&#xff0c;速度又很快了&#x…

Large-Precision Sign using PBS

参考文献&#xff1a; [CLOT21] Chillotti I, Ligier D, Orfila J B, et al. Improved programmable bootstrapping with larger precision and efficient arithmetic circuits for TFHE[C]//Advances in Cryptology–ASIACRYPT 2021: 27th International Conference on the T…

前后端分离nodejs+vue+ElementUi网上订餐系统69b9

课题主要分为两大模块&#xff1a;即管理员模块和用户模块&#xff0c;主要功能包括个人中心、用户管理、菜品类型管理、菜品信息管理、留言反馈、在线交流、系统管理、订单管理等&#xff1b; 运行软件:vscode 前端nodejsvueElementUi 语言 node.js 框架&#xff1a;Express/k…

10.定时器各功能分析及编码

知识汇总&#xff1a; STM32的定时器有三种&#xff0c;高级定时器&#xff0c;通用定时器&#xff0c;基本定时器 就是功能多与少的差别&#xff0c;下面来逐个解释功能&#xff1a;在此之前&#xff0c;需要对几个概念有认知 几个概念&#xff1a; 1.定时器时钟频率&…

【论文笔记】Radar Fields: An Extension of Radiance Fields to SAR

原文链接&#xff1a;https://arxiv.org/abs/2312.12961 1. 引言 本文针对合成孔径雷达&#xff08;SAR&#xff09;的3D重建&#xff0c;提出雷达场&#xff0c;基于多个SAR对场景的测量学习体积模型。 3. 辐射场的介绍 NeRF将静态场景表达为连续的体积函数 F \mathcal{F}…

长城杯2021政企组-魔鬼凯撒的RC4茶室 WP

魔鬼凯撒的RC4茶室 知识点&#xff1a;UPX 移位密码 XOR 分析 查壳 32bit&#xff1b;UPX壳&#xff0c;upx -d直接脱。 查看主函数。 第一处输入Str1然后做一个比较。这里进去。 有个小技巧&#xff0c;这里传入的参数是Str字符串&#xff0c;但是原本IDA自动识别出来的…

智能监控平台/视频共享融合系统EasyCVR海康设备国标GB28181接入流程

TSINGSEE青犀视频监控汇聚平台EasyCVR可拓展性强、视频能力灵活、部署轻快&#xff0c;可支持的主流标准协议有国标GB28181、RTSP/Onvif、RTMP等&#xff0c;以及支持厂家私有协议与SDK接入&#xff0c;包括海康Ehome、海大宇等设备的SDK等。平台既具备传统安防视频监控的能力&…

shiro1.10版本后-IniSecurityManagerFactory过期失效

1、问题概述&#xff1f; 今天在研究了shiro的新版本shiro1.13.0版本&#xff0c;发现用了很长时间的IniSecurityManagerFactory工厂失效了。 从下图中可以看出&#xff0c;在新版本中IniSecurityManagerFactory被打上了过期线了。 那么问题来了&#xff0c;新版本如何使用呢…

Python 命令补全工具 argcomplete

1. 概述 在使用Python 命令或者 Python的命令行工具的时候&#xff0c;一个痛点是没有补全。比如python -m后面输入包名字&#xff0c;就没有提示&#xff0c;每次想运行一个http server的时候&#xff0c;都需要搜索一下http服务的包名。另外&#xff0c;像pip&#xff0c;pi…

Java注解学习,一文掌握@Autowired 和 @Resource 注解区别

&#x1f3c6;作者简介&#xff0c;普修罗双战士&#xff0c;一直追求不断学习和成长&#xff0c;在技术的道路上持续探索和实践。 &#x1f3c6;多年互联网行业从业经验&#xff0c;历任核心研发工程师&#xff0c;项目技术负责人。 &#x1f389;欢迎 &#x1f44d;点赞✍评论…