[The Hacker Playbook] 4.THE LATERAL PASS - MOVING THROUGH THE NETWORK

1. ON THE NETWORK WITHOUT CREDENTIALS:
工具:responder.py

下载:https://github.com/SpiderLabs/Responder
Responder可以监听并应答LLMNR(link local multicast name resolution)以及NBT-NS(netbios over tcp/ip name service)
Responder也可以利用WPAD的漏洞
利用此工具的前提是攻击者已经与目标机器在同一个网络中。
使用工具时的命令为
python ./Responder.py -i [Attacker IP] -b Off -r Off -w On

攻击成功实施后,所有的web流量都会经过攻击者的机器,此时攻击者相当于一个代理,同时也意味着所有的明文信息对于攻击者来说都是可见的,如果得到cookie信息,便可以劫持用户会话。

2.WITH ANY DOMAIN CREDENTIALS(NON-ADMIN)
这一步假设攻击者的主机能够连接到活动目录域,但是并非域管理员,但是却有一些权限。攻击者希望能够将权限从普通的域用户提升为管理员用户。
2.1 GROUP POLICY PREFERENCES(组策略首选项)
GPP是动态目录的扩展,并且与组策略对象(GPO)一同作为可配置的选项。
所有帐户的信息被保存在\\[Domain Controller]\SYSVOL\[Domain]\Policies中,在此文件夹内搜索Groups.xml,打开文件,参数cpassword是最有价值的。
cpassword的值是AES加密后的密文,可以对其解密就得到了本地GPP的管理员帐户。
metasploit中的模块可以被用来完成上述工作
use post/windows/gather/credentials/gpp
上述工作完成后,攻击者就拥有了一个本地管理员帐户,可能使黑客能够访问网络上的每一台主机。
2.2 PULLING CLEAR TEXT CREDENTIALS(得到明文口令)
下面介绍的两个工具可以在目标主机的内存中提取明文密码。
工具:WCE-Windows Credential Editor
下载:http://www.ampliasecurity.com/research/wcefaq.html
此工具运行时需要是管理员身份,执行如下命令:

>wce -l
>wce -w
-l选项用于列出登录会话和NTLM口令(hash)
-w选项用于dump出保存在摘要认证包内的明文密码。
工具:Mimikatz
下载:http://blog.gentilkiwi.com/mimikatz
此工具与WCE类似,可以从LSASS中恢复出明文密码。
执行如下命令:
privilege::debug
sekurlsa::logonPasswords full
2.3 POST EXPLOITATION TIPS
下面的这些网站展示了,当成功拿下了某台机器后,应该关注其中的什么信息,以及相应的命令。
Post Exploitation Lists from Room362.com:
Linux/Unix/BSD Post Exploitation:  http://bit.ly/pgJxA5
Windows Post Exploitation:  http://bit.ly/1em7gvG
OSX Post Exploitation:  http://bit.ly/1kVT1Mf
Obscure System's Post Exploitation:  http://bit.ly/1eR3cbz

Metasploit Post Exploitation:  http://bit.ly/JpJ1TR

3.WITH ANY LOCAL ADMINISTRATIVE OR DOMAIN ADMIN ACCOUNT

3.1 OWNING THE NETWORK WITH CREDENTIALS AND PSEXEC



你可能感兴趣的:(理论知识)