兰州网站建设lst0931,免费的室内装修设计软件,网站开发和优化关系,内网网站建设的必要性文章目录一、IPC二、HashDump三、PTH四、PTT五、PsExec六、WMI七、DCOM八、SPN九、Exchange在内网中#xff0c;从一台主机移动到另外一台主机#xff0c;可以采取的方式通常有文件共享、计划任务、远程连接工具、客户端等。
一、IPC
IPC#xff08;Internet Process Conn…
文章目录一、IPC二、HashDump三、PTH四、PTT五、PsExec六、WMI七、DCOM八、SPN九、Exchange在内网中从一台主机移动到另外一台主机可以采取的方式通常有文件共享、计划任务、远程连接工具、客户端等。
一、IPC
IPCInternet Process Connection是为了实现进程间通信而开放的命名管道。 IPC可以通过验证用户名和密码获得相应的权限 通过ipc$可以与目标机器建立连接利用这个连接可以在目标机器上运行命令。
net use \\192.168.1.1\ipc$ pass /user:adstudy\administrator利用条件开启139、445端口管理员开启了默认共享。
二、HashDump
LM Hash“LAN Manager Hash”本质是DES加密还是硬编码密钥从Windows Vista和Windows Server 2008开始默认禁用 dump出的LM Hash为“**aad**3b435b51404eeaad3b435b51404ee”表示为空或被禁用。
NTLM Hash“New Technology LM Hash”MD4加密。
Hash散列可以通过在线数据库、彩虹表等来破解也可以使用PTHPass the Hash 哈希传递来进行横向渗透。
要想在Windows操作系统中抓取散列值或明文密码必须将权限提升至System。 本地用户名、散列值和其他安全验证信息都保存在SAM文件中。 lsass.exe进程用于实现Windows的本地安全策略和登陆策略。 可以使用工具将散列值和明文密码从内存中的lsass.exe进程或SAM文件中导出。
e.g. GetPassword、PwDump7、QuarksPwDump、mimikatz、PowerShell
SAM文件保存位置C:\Windows\System32\config该文件不允许复制但可以使用U盘进入PE系统进行复制。
利用reg导出SAM和System文件通过mimikatz或者Cain来从文件读取hash。
利用任务管理器或者微软出品的Procdump导出lsass.dmp文件通过mimikatz来从内存文件中获取hash。
Windows Server 2012开始默认关闭WDigest使攻击者无法从内存中获取明文密码2012以下版本如果安装KB2871997补丁同样效果。WDigest功能状态可以在注册表中查看修改。
Hashcat只支持CPU破解oclHashcat支持GPU破解AMD、NIVDA支持破解Windows密码、Linux密码、Office密码、Wi-Fi密码、MySQL密码、SQL Server密码以及由MD5、SHA1、SHA256等国际主流加密算法加密的密码。 如何防范hashdump 1、Windows Server 2012 R2新增了一个名为受保护的用户组Protected Users只要将需要保护的用户放入该组攻击者就无法使用mimikatz等工具抓取明文密码和散列值了。2、安装KB2871997是微软用来解决PsExec或IPC远程查看c$问题的补丁能是本地账号不再被允许远程接入计算机系统**但是SID500的本地管理员账号默认Administrator除外**。3、微软在Windows XP中添加了一个名为WDigest的协议该协议能够使Windows将明文密码存储在内存中以方便用户登录本地计算机。4、根据Debug权限确定哪些用户可以将调试器附加到任何进程或内核中默认情况下只有Administrator。mimikatz在抓取散列值或明文密码时需要使用Debug权限因为mimikatz需要和lsass进程进行交互。将Administrator从Debug组中移除。三、PTH
PTHPass the Hash 哈希传递。在域环境中用户登录计算机时使用的大都是域账号大量计算机在安装时会使用相同的本地管理员账号和密码因此攻击者就能使用哈希传递攻击的方法登录内网中的其他计算机。
在Windows网络中散列值就是用来证明身份的有正确的用户名和密码散列值就能通过验证。从Windows Server 2012 R2开始默认在内存中不会记录明文密码因此攻击者往往会使用工具将散列值传递到其他计算机中进行权限验证实现对远程计算机的控制。
进行身份验证时不会使用明文口令而是将明文口令通过系统API转换成散列值再与数据库中存储的散列值进行对比如果完全相同则表示验证成功。不过攻击者在获得密码散列值之后依旧可以使用pth攻击来模拟用户进行验证。
使用NTLM Hash进行哈希传递使用AES-256秘钥进行哈希传递Pass the Key。
e.g. mimikatz
四、PTT
要想使用mimikatz的哈希传递功能必须具有本地管理员权限。mimikatz同样提供了不需要本地管理员权限进行横向渗透测试的方法例如票据传递Pass the TicketPTT。
五、PsExec
PsExec是微软官方PsTools工具包中的软件期初主要是用于大批量Windows主机的运维在域环境下效果甚好。
通过PsExec可以在远程计算机上执行命令也可以将管理员权限提升到System权限以运行指定的程序。
PsExec的基本原理是通过管道在远程目标计算机上创建一个psexec服务并在本地磁盘中生成一个名为“PSEXECSVC”的二进制文件然后通过psexec服务运行命令运行结束后删除任务。
需要远程系统开启admin$共享默认是开启的会产生大量日志。
e.g. Metasploit 六、WMI
WMIWindows Management Instrumentation从Windows 98开始支持可以在本地或者远程管理计算机系统。
自从PsExec在内网中被严格监控后越来越多的反病毒厂商将PsExec加入了黑名单于是攻击者逐渐开始使用WMI进行横向移动。通过渗透测试发现在使用wmiexec进行横向移动时Windows默认不会记录WMI的操作日志。
使用wmic远程执行命令在远程系统中启动Windows Management Instrumentation服务目标服务器需要开放135端口wmic会以管理员权限在远程系统中执行命令。如果服务器开启了防火墙wmic将无法进行连接。此外wmic命令如果没有回显可以将命令结果输出到某文件并使用ipc$和type来读取信息。如果wmic执行的是恶意程序将不会留下日志。
e.g. wmic、wmiexec.py、wmiexec.vbs、Invoke-WmiCommand.ps1、Invoke-WMIMethod
七、DCOM
DCOMDistributed Component Object Model分布式组件对象模型是微软的一系列概念和程序接口。 通过DCOM客户端程序对象能够对网络中的另一台计算机上的服务器程序对象发送请求。
DCOM是基于组件对象模型COM的。 COM提供了一套允许在同一台计算机上的客户端和服务端之间进行通信的接口。
执行流程同样通过ipc$连接远程计算机执行命令。
八、SPN
微软给与内的每种资源分配了不同的服务主体名称Service Principal NameSPN。
因为域环境中的每台服务器都需要在Kerberos身份验证服务中注册SPN所以攻击者会直接向域控制器发送查询请求获取其需要的服务的SPN从而知晓其需要使用的服务资源在哪台机器上。
SPN扫描也称作“扫描Kerberos服务实例名称”在活动目录中发现服务的最佳方法就是SPN扫描。与网络端口扫描相比SPN扫描的主要特点是不需要通过连接网络中的每个IP地址来检查服务端口不会因触发内网中的IPS、IDS等设备的规则而产生大量的警告日志。因为SPN查询是Kerberos票据行为的一部分所以检测难度较大。
SPN是通过LDAP协议向域控制器进行查询的所以攻击者只要获得一个普通的域用户权限就可以进行SPN扫描。
Kerberoast攻击。导出票据破解票据。
防御确保服务账号密码的长度超过25位确保密码的随机性避免相同定期修改密码。
九、Exchange
电子邮件中可能包含大量的源码、企业内部通讯录、明文密码、敏感业务登陆地址及可以从外网访问内网的VPN账号密码等信息。
Exchange支持PowerShell对其进行本地或远程操作。
邮箱服务器、客户端访问服务器、集线传输服务器是核心角色只要部署这三个角色就能提供基本的电子邮件处理功能且这仨可以部署在同一台主机上。
邮件发送使用统一的通信协议即SMTP简单邮件传输协议邮件接收则会使用多种协议标准如从POP邮局协议发展而来的POP3以及使用较为广泛的IMAPInternet邮件访问协议。Exchange开发了私有的MAPI协议用于收取邮件。
Exchange支持的访问接口和协议
OWAOutlook Web AppExchange提供的Web邮箱。EACExchange Administrative CenterExchange管理中心后台。Outlook AnywhereRPC-over-HTTPRPC/HTTPMAPIMAPI-over-HTTPMAPI/HTTPExchange ActiveSyncEASXML/HTTPExchange Web ServiceEWSSOAP-over-HTTP
Exchange服务发现基于端口扫描发现nmap、SPN查询在安装Exchange时SPN就被注册在AD中了。
Exchange数据库的后缀为“.edb”存储在Exchange服务器上使用PowerShell可以查看相应信息。
Exchange邮件的文件后缀为“.pst”。
UNCUniversal Naming Convention通用命名规则也称通用命名规范、通用命名约定。类似于\\hostname\sharename\\ip\address\sharename的网络路径就是UNC路径sharename为网络共享名称。
