zoukankan      html  css  js  c++  java
  • 内网渗透之-域渗透基础

     、域环境搭建 + 认识域 + 实验环境

    1.前言:    一直想搞内网域渗透,可惜没有遇上好的域环境。看着别人发了多篇域渗透的文章。心里痒痒的 = = 于是乎自己搭建了环境来测试……[这就是屌丝和高富帅的差距啊

    从搭建慢慢去学习什么是域。然后再去学习如何域渗透

    2.搭建dns+域服务器

    各种google和百度以后。终于搭建好域环境 = = 尼玛 居然搭建了许久 - -

    最终自己在nat环境搭建上了域环境。域控win2008[192.168.233.145 dns.wilson.com]。加上一个win2003web服务器[192.168.233.130 www.wilson.com ]

    要搭建域服务器 要先给搭建dns服务器,在活动目录安装。然后才能有域环境。给自己域叫wilson.com[~~]

    搭建好与环境以后。我们去看看域服务器win2008的用户和组发生什么变化吧:

    我们发现他给我们加上许多用户组。这些组的作用 在图也给说明很清楚了。

    重要的是Domain Admin Enterprise Admins的介绍。就是域管理员组和企业系统管理员。有着至高无上的权限……. = =

    这时候我们看见域服务器的administrator用户已经给默认拉到Domain AdminEnterprise Admins这用户组中。

    可以看到administrator以后就可以对这个域下面的服务器进行统一的管理了。这让管理员的管理变得很方便了….

    但是方便同时也是带来了安全问题…..

    3.测试环境

    再让kali[10.170.10.157 ]桥接到和宿主机[10.170.38.141]到同个局域网。并且为了尽量去模拟真实环境。将win2003进行80端口映射,映射到宿主机[10.170.38.141:8080]

    下面是环境图:

    =========================================================================================

    二、测试过程

    我们先假设 对前面的环境全未知[呵呵 装一下吧 。从web服务器开始

    1.webshell提权

    首先得到是10.170.38.141:8080的一个webshell.经过mysql root的提权后。我准备用msf进入这个内网。

    2.web服务器信息收集

    然后我们收集服务器的信息,并且稳定好自己的权限~~~

    转移到一个不易被杀的进程winlogon.exe

    居然提示权限问题 不科学啊 我是root提权应该是system才对撒 - -

    不管了 getsystem提到高权限

    Ok 好了

    然后收集一些网络情况,hash/明文密码什么的

    IP:

    内网192.168.233.0/24 没错 ok 为了进内网 我先加一个路由表吧

    然后我们抓下hash 和明文:

    Administratoradd3开头的 说明不能破解了  但是可以hash传递勒。

    不过要是管理员在线或者没有注销。我们可以抓取明文的

    密码是 qawsed123!@#

    [打码那个是我之前win2003的密码。。 - - 我改了 但是还是被抓到了

       

    3.收集域环境信息+找到域控

    我想msf的端口转发功能 来转发一下 然后登入对方的远程桌面看看吧。

    Ok 我们收集一下域的信息

    1.ipconfig /all

    看见域的名称叫做wilson.com  - -呵呵 见笑了 2.net view

    看看当前域下有几个机子 这里我就只有两个机子

    [没办法 只有这几台测试机子

       

    net view /domain 看自己的有几个域

    要是处于多个域 那渗透就比较蛋疼了  - -

    [:1是自己的工作组 我改了名字 嘿嘿 一般net view 会有解释的。而且不是像这样子 只有这几个机子的

       

    比如:

    \dns        dnsserver

    \sqldata     sqlserver

    。。。。。。。

    。。。。。。

    这样我们可以去找自己想要搞的机子。

    比如dns[因为dns一般就是域控了]

    还有要是备注为servidor master ad[应该域控了。。。。

    或者你要数据库 就可以直接去看看sqldata 有没有漏洞什么的

    ip 分析网络结构

    接下来一个一个ping

    ip 看网络的分布

    嘿嘿 一两个比较简单 但是多了就蛋疼了 = =

    有人写了脚本 直接用吧

    网络结构比较简单 – - only两个机子

    4.用户和组信息

    net user

    net user /domain 出错了 – - [这是可以看到域的所有成员

    net group "domain admins" /domain       —— 查询域管理员用户组

    两个域控管理员

    要是你还想获取某用户的详细信息的话,可以使用  net user 域用户 /domain  命令获取。

    但是这两个命令有时候执行会有错误的

    域控在哪里?

    我们可以在net view的解释可以发现 要是备注为servidor master ad 那它是域控可能性是很大的。。

    由于dns一般就是域控。我们可以通过这个来找域控

    那么找dns比较容易了 ipconfig /all 就有了

    192.168.233.145  [DNS+域控

    还可以nslookup来找等等。。。。

    4.搞定域控

    可以看看这个 http://drops.wooyun.org/tips/646

    1.溢出

    ms08_067

    要是局域网里面有xp/2k的那这个成功率比较高

    但是我的域控是 2008 = =

    暂且不测试

    DNS溢出

    DNS 服务器可能就是域控 so…

    手中没有溢出 作罢

    弱口令+已经控制的服务器口令

    将抓下的明文+一些常用弱口令。去扫把。

    如果局域有数据库服务器 可以尝试去搞定它。然后收集一下常用口令在加到字典库跑。那么这个成功率会大大提升

    由于2008默认安全口令策略 口令强度比较强 这个扫描就算吧 3.键盘记录+3389登入记录

    这个记录了 在线管理员的 键盘记录~

    可以用msf的试试

    最后将msf的进程转移到explorer.exe .这样可以正常键盘记录了

    不转移可能有一些莫名情况

    记录3389登入可以用Winlogon试试

    或者gina等等

    看到密码了 – -  呵呵

    4.假冒令牌

    Msf渗透指南书是这么说的:在假冒攻击中 我们将盗取目标系统的一个Kerberos令牌,将其用在身份认证中。来假冒当初建立这个令牌的用户。

    假冒令牌是meterpreter的强大功能之一。对渗透非常有帮助

    那么我们就在这win2003的后门里执行看看[:为了用域管理员的令牌。我预先用域管理员登入了一下远程桌面

    加载了incongnito模块以后 我们用list_token -u 命令来列出令牌

    看到wilsonadministrator 这个域管理员账号 测试去盗取一下

    命令有几个敲错了 但是最终成功盗取了 而且将test加入了域管理员

    1.Impersonate_token wilson\administrator 盗取wilson\administrato令牌 [要多加一个斜杠

    2.Add_user 用户名 密码 -h IP \win2008 有口令安全安全机制 口令复杂一些就可以了

    3.add_group_user "Domain Admins"  用户 -h IP   是将其加到域管理员中

    这一步部分  可以看看msf渗透指南  我也是看着书学的

    出现去2008看看test有没有加入成功 – -

    Ok 没有问题 这样就搞定域控了~ 嘿嘿

    5.嗅探

    cain.exe 这个嗅探神器 = =

    补充一个tip cain.exe 有一个老板键哦 我也是刚刚发现 – -

    alt+del是隐藏,alt+pgdwn是最小化, alt+pgup是显示软件

    。。。。。。。。

    还有的别的办法。。。。 学习中。。。

    5.搞定域控后

    批量中马 – - 这个没有搞过。。。

    一般的好人搞定了域控就收手了。。大家只是玩玩而已。不要太坏了

    三、总结

    终于到了 总结时刻~~~

    本次测试自己尽力去 模拟一个真实的渗透环境 但是还是有居多缺陷问题。。与真实的环境还是有很大区别。

    比如一些命令测试会有错误。

    又比如杀软 防火墙等等蛋疼的事情

    而且全过程感觉有点自娱自乐 – - 呵呵

    但是自己已经把能想到东西都写上了 = = 希望你看了有收获吧

    有错 欢迎指出

  • 相关阅读:
    Java类对象转json字符串,servlet或js的json字符串转json对象或数组
    大三下每周总结--第一周
    阅读架构漫谈九篇博客有感-1500字
    大三上寒假15天--第15天
    大三上寒假15天--第14天
    大三上寒假15天--第13天
    jenkins+appium android app自动化测试
    windows jenkins 卸载
    jenkins运行Python
    pytest+jenkins安装+allure导出报告
  • 原文地址:https://www.cnblogs.com/h4ck0ne/p/5154677.html
Copyright © 2011-2022 走看看