[The Hacker Playbook] 4.THE LATERAL PASS - MOVING THROUGH THE NETWORK

1. ON THE NETWORK WITHOUT CREDENTIALS:

工具：responder.py

下载：https://github.com/SpiderLabs/Responder

Responder可以监听并应答LLMNR(link local multicast name resolution)以及NBT-NS(netbios over tcp/ip name service)

Responder也可以利用WPAD的漏洞

利用此工具的前提是攻击者已经与目标机器在同一个网络中。

使用工具时的命令为

python ./Responder.py -i [Attacker IP] -b Off -r Off -w On

攻击成功实施后，所有的web流量都会经过攻击者的机器，此时攻击者相当于一个代理，同时也意味着所有的明文信息对于攻击者来说都是可见的，如果得到cookie信息，便可以劫持用户会话。

2.WITH ANY DOMAIN CREDENTIALS(NON-ADMIN)

这一步假设攻击者的主机能够连接到活动目录域，但是并非域管理员，但是却有一些权限。攻击者希望能够将权限从普通的域用户提升为管理员用户。

2.1 GROUP POLICY PREFERENCES（组策略首选项）

GPP是动态目录的扩展，并且与组策略对象（GPO）一同作为可配置的选项。

所有帐户的信息被保存在\\[Domain Controller]\SYSVOL\[Domain]\Policies中，在此文件夹内搜索Groups.xml，打开文件，参数cpassword是最有价值的。

cpassword的值是AES加密后的密文，可以对其解密就得到了本地GPP的管理员帐户。

metasploit中的模块可以被用来完成上述工作

use post/windows/gather/credentials/gpp

上述工作完成后，攻击者就拥有了一个本地管理员帐户，可能使黑客能够访问网络上的每一台主机。

2.2 PULLING CLEAR TEXT CREDENTIALS（得到明文口令）

下面介绍的两个工具可以在目标主机的内存中提取明文密码。

工具：WCE-Windows Credential Editor

下载：http://www.ampliasecurity.com/research/wcefaq.html

此工具运行时需要是管理员身份，执行如下命令：

>wce -l
>wce -w

-l选项用于列出登录会话和NTLM口令（hash）

-w选项用于dump出保存在摘要认证包内的明文密码。

工具：Mimikatz

下载：http://blog.gentilkiwi.com/mimikatz

此工具与WCE类似，可以从LSASS中恢复出明文密码。

执行如下命令：

privilege::debug
sekurlsa::logonPasswords full

2.3 POST EXPLOITATION TIPS

下面的这些网站展示了，当成功拿下了某台机器后，应该关注其中的什么信息，以及相应的命令。

Post Exploitation Lists from Room362.com:

Linux/Unix/BSD Post Exploitation: http://bit.ly/pgJxA5
Windows Post Exploitation: http://bit.ly/1em7gvG
OSX Post Exploitation: http://bit.ly/1kVT1Mf
Obscure System's Post Exploitation: http://bit.ly/1eR3cbz

Metasploit Post Exploitation: http://bit.ly/JpJ1TR
3.WITH ANY LOCAL ADMINISTRATIVE OR DOMAIN ADMIN ACCOUNT

3.1 OWNING THE NETWORK WITH CREDENTIALS AND PSEXEC