[The Hacker Playbook] 4.THE LATERAL PASS - MOVING THROUGH THE NETWORK
2016-05-13 14:46
197 查看
1. ON THE NETWORK WITHOUT CREDENTIALS:
工具:responder.py
下载:https://github.com/SpiderLabs/Responder
Responder可以监听并应答LLMNR(link local multicast name resolution)以及NBT-NS(netbios over tcp/ip name service)
Responder也可以利用WPAD的漏洞
利用此工具的前提是攻击者已经与目标机器在同一个网络中。
使用工具时的命令为
攻击成功实施后,所有的web流量都会经过攻击者的机器,此时攻击者相当于一个代理,同时也意味着所有的明文信息对于攻击者来说都是可见的,如果得到cookie信息,便可以劫持用户会话。
2.WITH ANY DOMAIN CREDENTIALS(NON-ADMIN)
这一步假设攻击者的主机能够连接到活动目录域,但是并非域管理员,但是却有一些权限。攻击者希望能够将权限从普通的域用户提升为管理员用户。
2.1 GROUP POLICY PREFERENCES(组策略首选项)
GPP是动态目录的扩展,并且与组策略对象(GPO)一同作为可配置的选项。
所有帐户的信息被保存在\\[Domain Controller]\SYSVOL\[Domain]\Policies中,在此文件夹内搜索Groups.xml,打开文件,参数cpassword是最有价值的。
cpassword的值是AES加密后的密文,可以对其解密就得到了本地GPP的管理员帐户。
metasploit中的模块可以被用来完成上述工作
use post/windows/gather/credentials/gpp
上述工作完成后,攻击者就拥有了一个本地管理员帐户,可能使黑客能够访问网络上的每一台主机。
2.2 PULLING CLEAR TEXT CREDENTIALS(得到明文口令)
下面介绍的两个工具可以在目标主机的内存中提取明文密码。
工具:WCE-Windows Credential Editor
下载:http://www.ampliasecurity.com/research/wcefaq.html
此工具运行时需要是管理员身份,执行如下命令:
-w选项用于dump出保存在摘要认证包内的明文密码。
工具:Mimikatz
下载:http://blog.gentilkiwi.com/mimikatz
此工具与WCE类似,可以从LSASS中恢复出明文密码。
执行如下命令:
下面的这些网站展示了,当成功拿下了某台机器后,应该关注其中的什么信息,以及相应的命令。
Post Exploitation Lists from Room362.com:
Linux/Unix/BSD Post Exploitation: http://bit.ly/pgJxA5
Windows Post Exploitation: http://bit.ly/1em7gvG
OSX Post Exploitation: http://bit.ly/1kVT1Mf
Obscure System's Post Exploitation: http://bit.ly/1eR3cbz
Metasploit Post Exploitation: http://bit.ly/JpJ1TR
3.WITH ANY LOCAL ADMINISTRATIVE OR DOMAIN ADMIN ACCOUNT
3.1 OWNING THE NETWORK WITH CREDENTIALS AND PSEXEC
工具:responder.py
下载:https://github.com/SpiderLabs/Responder
Responder可以监听并应答LLMNR(link local multicast name resolution)以及NBT-NS(netbios over tcp/ip name service)
Responder也可以利用WPAD的漏洞
利用此工具的前提是攻击者已经与目标机器在同一个网络中。
使用工具时的命令为
python ./Responder.py -i [Attacker IP] -b Off -r Off -w On
攻击成功实施后,所有的web流量都会经过攻击者的机器,此时攻击者相当于一个代理,同时也意味着所有的明文信息对于攻击者来说都是可见的,如果得到cookie信息,便可以劫持用户会话。
2.WITH ANY DOMAIN CREDENTIALS(NON-ADMIN)
这一步假设攻击者的主机能够连接到活动目录域,但是并非域管理员,但是却有一些权限。攻击者希望能够将权限从普通的域用户提升为管理员用户。
2.1 GROUP POLICY PREFERENCES(组策略首选项)
GPP是动态目录的扩展,并且与组策略对象(GPO)一同作为可配置的选项。
所有帐户的信息被保存在\\[Domain Controller]\SYSVOL\[Domain]\Policies中,在此文件夹内搜索Groups.xml,打开文件,参数cpassword是最有价值的。
cpassword的值是AES加密后的密文,可以对其解密就得到了本地GPP的管理员帐户。
metasploit中的模块可以被用来完成上述工作
use post/windows/gather/credentials/gpp
上述工作完成后,攻击者就拥有了一个本地管理员帐户,可能使黑客能够访问网络上的每一台主机。
2.2 PULLING CLEAR TEXT CREDENTIALS(得到明文口令)
下面介绍的两个工具可以在目标主机的内存中提取明文密码。
工具:WCE-Windows Credential Editor
下载:http://www.ampliasecurity.com/research/wcefaq.html
此工具运行时需要是管理员身份,执行如下命令:
>wce -l >wce -w-l选项用于列出登录会话和NTLM口令(hash)
-w选项用于dump出保存在摘要认证包内的明文密码。
工具:Mimikatz
下载:http://blog.gentilkiwi.com/mimikatz
此工具与WCE类似,可以从LSASS中恢复出明文密码。
执行如下命令:
privilege::debug sekurlsa::logonPasswords full2.3 POST EXPLOITATION TIPS
下面的这些网站展示了,当成功拿下了某台机器后,应该关注其中的什么信息,以及相应的命令。
Post Exploitation Lists from Room362.com:
Linux/Unix/BSD Post Exploitation: http://bit.ly/pgJxA5
Windows Post Exploitation: http://bit.ly/1em7gvG
OSX Post Exploitation: http://bit.ly/1kVT1Mf
Obscure System's Post Exploitation: http://bit.ly/1eR3cbz
Metasploit Post Exploitation: http://bit.ly/JpJ1TR
3.WITH ANY LOCAL ADMINISTRATIVE OR DOMAIN ADMIN ACCOUNT
3.1 OWNING THE NETWORK WITH CREDENTIALS AND PSEXEC
相关文章推荐
- linux socket 客户端和服务器端 基础框架代码
- C++智能指针详解
- 数组中的逆序对
- gcc/g++/ldd等常用命令基本参数(整理)
- 常用Meta整理
- nodejs连接mongodb的方法
- RabbitMQ Server的安装、配置及常用命令
- hdu 4496(并查集的边删除)
- 线性代数中向量、矩阵深度理解(PartI)
- 关于oracle实例即localhost:1521/orcl中的orcl
- 论Android网络请求库——android-async-http
- 数据库应用软件
- Android通知代码
- HDU 2089 不要62 数位dp
- webService 客户端接口调用【java】
- Android Studio使用gradle打包指定包名和类的jar
- mysql Sort aborted: Out of sort memory, consider increasing server sort buffer size的解决方法
- 使用WebRTC搭建前端视频聊天室——入门篇
- vs2010使用boost库,安装
- 《构建之法》阅读笔记--2