域渗透基础(二)

1.wmic常用命令(更为强大的cmd)

参考：https://www.cnblogs.com/lsgxeva/p/8283662.html，很详细！
cmd下直接输入wmic，进入交互模式

wmic process #查看所有进程
wmic process where name="QQ.exe" list full  #查看name叫做QQ.exe的进程的信息
wmic process where name='QQ.exe' call terminate #停止name叫做QQ.exe的进程

wmic service #查看所有服务
wmic Service where caption="windows time" call stopservice  
#停止caption叫做 windows time的服务
wmic SERVICE where name="Spooler" call startservice
#运行name叫做Spooler服务

wmic /node:"192.168.43.201" /password:"passwd" /user:"administrator" 
#远程连接，本机是win2008，被连接主机win2003，可以看到已经连接上了

wmic computersystem get domain #查看工作组或者域
wmic account #显示账户

wmic datafile where "drive='e:'" list >> log2.txt
#查看e盘下的所有文件，直接输出很不美观，所有让他写进txt里面再打开

wmic LOGICALDISK get name,Description,filesystem,size,freespace
#查看磁盘情况

wmic os #查看操作系统
wmic share #查看共享情况

2.通过SMB(端口445)协议暴力破解域密码

假设你现在拿到了一台域客户端的主机，你可以用net use 连接域控的主机，但是域控密码不知道。

工具：hydra，windows版：https://github.com/maaaaz/thc-hydra-windows
域客户端:192.168.43.201(已经控制下)
域控：192.168.43.200(不知道密码，准备暴力破解)

域客户端下载工具后，，命令行执行
hydra.exe -l administrator -P pass.txt 192.168.43.200 smb

​

可以看到:成功破解出密码

3.通过彩虹表破解hash

除了用mimikatz直接取到明文之外，也可以先取得主机的hash值，然后暴力跑出来

windows 2000，2003，xp中，是LMHASH和NTHASH一起使用。原因是一开始用的LMHASH太容易被破解，但是换成NTHASH(密码强度比较高)会有兼容性的问题，所以都留下了。对这种的攻击主要是对LMHASH的攻击。


vista后只用NTHASH,使得破解难度增大。  

1.得到hash

这里的工具是pwdump7.exe，以管理员身份运行，会显示出hash值
可以看到，这里的lmhash已经没有了，只剩NTHASH

2.破解hash

网站破解：
https://www.objectif-securite.ch/ophcrack
https://www.cmd5.com/

ophcrack.exe配合彩虹表，安装过程不细说了，我一年前就安装了，具体搜索ophrack

可以看到我这里破解失败了，原因:

我密码太复杂，这是一个域账户密码，密码强度有强制要求
我字典太小了，网上最大的一个10G

所以为了演示效果，我从网上找了个简单的NTHASH

3.值得注意的地方

这个软件使用起来很灵活，如果你只有hash的话，形式一般是LMHASH:NTHASH，因为这里我只有NTHASH,，所以：

4.SNMP服务监控系统状态

被监控的主机:win2008，ip:192.168.43.200，在此电脑上安装snmp服务，并开放防火墙udp161端口

实施监控行为的主机:win2003，ip:192.168.43.201，使用工具snmputil.exe监控win2008的行为

1.安装snmp服务

服务管理器->功能->添加功能

​

勾选SNMP服务

一直下一步，到安装结束后
重启(第一次)

服务管理器->配置->防火墙->服务->双击右侧的SNMP Service

安全->添加(接受的社区名称)
团体权限:只读
团体名称:public

接收来自下列主机的SNMP数据包：
添加ip:192.168.43.201(win2003的ip，也就是实施监控行为的主机)

坑点:
配置完后一定要：应用->确定，不然配置无法生效

完成后重启(注意：这是第二次重启)

2.开放防火墙

win2008(被监控的主机)防火墙开放udp的161端口

服务管理器->配置->防火墙->入站规则->新规则

​

下一步默认：允许链接

继续默认下一步

3.常用的监控命令

win2003下载 工具:snmputil

snmputil.exe get 192.168.43.200 public .1.3.6.1.2.1.1.5.0  #查看机器名

snmputil.exe walk 192.168.43.200 public .1.3.6.1.2.1.25.4.2.1.2 #列出系统进程

其他常用
snmputil.exe walk 192.168.43.200 public .1.3.6.1.4.1.77.1.2.25.1.1 #列系统用户列表
snmputil.exe get 192.168.43.200 public .1.3.6.1.4.1.77.1.4.1.0 #列出域名
snmputil.exe walk 192.168.43.200 public .1.3.6.1.2.1.25.6.3.1.2 #列出安装的软件
snmputil.exe walk 192.168.43.200 public .1.3.6.1.2.1.1 #列出系统信息

5.winrar命令行加密

进入winrar下的目录：

压缩命令:
WinRAR.exe a -P123456 e://test.zip e://test.txt

P:指定密码
a:添加文件或文件夹到压缩包中
e://test.txt 待压缩的文件
e://test.zip 压缩完后的文件

6.远控NjRat的使用

下载地址:https://github.com/AliBawazeEer/RAT-NjRat-0.7d-modded-source-code

server端:我的windows10，ip:192.168.43.247
client端(被控制):虚拟机win2008 ip:192.168.43.200

server端

win10：

打开目录：RAT-NjRat-0.7d-modded-source-code-master\RAT-NjRat-0.7d-modded-source-code-master\APP - NjRat 0.7D Moded  

打开NjRat 0.7D.exe

设置监听端口:6522(默认)

​

Builder->设置ip(本机的ip，不能用localhost)

然后点击Build，选择路径保存
生成cilent.exe

client端

直接运行clinet.exe就可以

结果