专栏首页it同路人攻防环境之域渗透

攻防环境之域渗透

注意:本文章图片较多,请在WIFI环境下浏览文章。

本文全部工具网上都能下到(github)

搭建环境

由于下面三个部分都需要用到域,环境搭建起来有点复杂,涉及到的知识点多,而且失败了很多次,所以也就记录下来了。

本文只是域渗透基础,用的都是常规手段,所以没有涉及绕过防火墙以及杀软。

梳理思路

这是参照拓扑图

所需要了解的知识点(自己谷歌学习)

  • 子网划分与子网掩码
  • NAT模式
  • DHCP服务器
  • DNS服务器
  • 域和域之间的关系
  • 域和林的区别
  • 域控常规操作
  • 计算机与域
  • 将要搭建的环境拓扑图,以及进攻路线(对域环境熟悉的可跳过这部分)

第一步:chuanxiao主域配置

域控:win2008

域成员:win2003、win2012

域控

首先在win2008配置域控,运行:dcpromo

下一步到

命名

林功能级别:我调到最大

需要安装DNS服务器,选是,一路是

下一步一直到安装并重启

改一波主机名,方便识别

配置下IP

可以上网

能ping通2个域成员(这一步需要添加完域成员再测试)

域成员

将win2003加入域,配置IP,因为要求2003要能上网,所以就让它自动获取

改个名,然后加入域

可上网,可ping通域控

也可ping通另一个域成员

将win2012加入域,配置IP,这里要注意两点

  • 不可上网:默认网关不能填
  • 能和其他域成员通信:相同网段

改名,加域

不可上网,可ping通域控

可ping通其他域成员

来检查下域成员

chuanxiao域环境搞定

第二步 :segregation子域配置

子域控

和2008大同小异,添加角色和功能

域服务

一路下一步到安装完毕,开始配置

切换域管理账号添加子域

一路安装到重启

子域成员

win7配置IP

改名并加入segregation子域,注意域名的填写

先检查是否能上网:不能

再检查是否能ping通子域控:能

最后检查是否能ping通非子域段的成员:不能(以主域控为例)

大功告成,喜极而泣

复现

先来操作一些常规手段

GPP

首先,如果不创建一个新的组策略或者进行相应配置,是没有那些个XML文件的

打开组策略管理,创建一个GPO,起个名:chuanxiao

设置 -> 右键 -> 编辑

本地用户和组 -> 右键 -> 新建 -> 本地用户

如图配置好

回到最初的文件夹,多出了一个

点进去,会看到和其他两个不同的是,有一个新的Goup Policy文件夹

进到user文件夹,一路点下去,就能看到我们的目标Goups.xml了

打开,成功找到cpassword:vzJGjUknHacpyDTYoGSnsDrMV+hiJ1umoeXb/J+aVZs

parrot解密一波

搞定,下一个

MS14-068

搞之前来个快照,以免给下面几个实验造成影响

拿SID:S-1-5-21-3768270215-1557359955-1468639445-500

下面有2种方法,亲测都OK

第一种:python的exp,不过我这里 -d 参数后面加的是IP,要不然会出问题

第二种:metasploit,先找模块再生成文件

两种方法的设置都大同小异,用python生成的文件在win2012(win2008主域内)继续操作

搞定,下一个

黄金票据

恢复一下快照

不知道什么原因一直报错

试了N多办法,查了N多资料还是没搞定,只能迂回解决,dump出所有user,目标krbtgt就在里面

记录下sid和NTLM

sid: S-1-5-21-3768270215-1557359955-1468639445

NTLM: a93576ad393e1247ad4e7155060bdac2

利用

验证

和上面一样,没输入账号密码,搞定,下一个

白银票据

恢复一下快照,写之前,比较一下两种票据的区别

访问权限不同:

Golden Ticket:伪造TGT,可以获取任何Kerberos服务权限

Silver Ticket:伪造TGS,只能访问指定的服务

加密方式不同:

Golden Ticket由Kerberos的Hash加密

Silver Ticket由服务账号(通常为计算机账户)Hash加密

认证流程不同:

Golden Ticket的利用过程需要访问域控,而Silver Ticket不需要

导出登陆过这台计算机的域控账号信息

记录下主域控的SID和NTLM

SID: S-1-5-21-3768270215-1557359955-1468639445

NTLM: 5e7a0d02674521d8d335bfc0eff7107e

先清除下票据,不过我们已经恢复了快照。。直接利用

验证

搞定

渗透实验

这次实验用主要用metasploit解决,当然Empire也是可以的。

WIN-2003

首先,我们的起点是一台win2003,把它作为内网渗透的突破口

加载kiwi模块(其实就是mimikatz)

失败,我们现在只是administrator权限

因为是win2003,可以getsystem直接提权到system

creds_all,看到域管理员账号,而且抓到明文密码(域管必须登陆过这台计算机才能有明文密码)

通过查询服务器时间查看域控计算机名

域名:chuanxiao.com,域控计算机名:WIN-2008-DC,反查域控IP

域控IP:192.168.0.25,下面又有很多方法弹回域控的shell,纠结了很久,传一个wmiexec.vbs上去弹吧

因为是域控,可以用dsquery查询域内计算机

发现win-2012主机,反查ip

不过就这么放过域控有点可惜,就用web_delivery弹一个meterpreter回来

WIN-2008-DC

先生成一个powershell代码

回到那个WIN-2008-DC的那个普通shell那里执行这段powershell

成功拿到,不过要等一会,而且看网速,总之还有很多办法。。。

老样子提权加载kiwi

看了看没什么有价值信息,不废话,直接老办法跳到win2012去

出问题了,删了wmi.dll依然没用,上传个psexec上去弹,依然失败

既然没用,那就先在win2008弹个远程桌面,用EarthWorm转发下端口

这次用本机监听

用meterpreter操纵传上去的EarthWorm转发端口

本机成功接收

远程桌面本机的1080,并登录

完美

WIN-2012

继续用psexec弹shell

果然成功了,看来普通shell还是有点限制的

用老办法,生成一段payload,在192.168.0.166执行,这次换regsvr32

从meterpreter转为普通shell,查看域名和域成员

发现新成员WIN-7,因为一台计算机不能加多个域,所以segregation为子域,查询域控

WIN-2012为域控,完整域名为segregation.chuanxiao.com,反查win7的IP

由于这台win7没打过补丁,永恒之蓝搞一波,退回meterpreter,添加下路由

退回msfconsole,杀掉其他shell

查找永恒之蓝模块,因为已经知道win7有这个漏洞就不扫了,直接攻击

我家网差,打了好多次都没打进去。。。

截个失败的图,至少可以看出正在攻击192.168.66.66(上面添加路由的步骤成功),最后连shell都崩溃了。。。

没办法,还是远程桌面吧,用EarthWorm连到192.168.0.166,再从里面直连192.168.66.66

先拿密码

登录192.168.0.166,再连192.168.66.66

WIN-7

拿报表

管理员账号登上去啥都没有,而且目标报表放在普通用户的桌面上,莫慌

拉进192.168.0.166的共享里

退出远程桌面,查看

目标一搞定

卷影

下面拿卷影

拿卷影要登录该计算机的账户,如果用子域控WIN2012来操作会报错

上传mimikatz抓取明文密码

切到本地账户导出log

切回win2012的c盘查看

生成ntds.dit

修复卷影

用ditsnap打开

一切正常,全部搞定。

此章完

TO BE CONTINUED... ... ...

作者:传销 (文章转载请注明来自:IT同路人论坛)

本文分享自微信公众号 - it同路人(ittongluren)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-06-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 一次利用updatexml()函数注入测试

    然后心瞬间就凉了一半,这里报错了 测试了好几种,后面恍然醒悟用updatexml()更新xml文档的函数使之报错

    ittongluren
  • MSF中Jboss模块直接利用

    在MSF中本身自带一些针对JBOSS漏洞的攻击模块,本次测试使用的JBOSS版本为4.2.3。

    ittongluren
  • 记一次用sqlmap写入文件测试

    ittongluren
  • 硅谷践行工程文化的6条军规,看你的团队差在哪?

    “ 技术的发展迎来盛世,是机遇还是挑战?环境在急剧变化,竞争压力在不断增加,技术型企业和研发团队如何在竞争的大潮中屹立不倒稳步向前? ? 一位常年征战于硅谷技术...

    企鹅号小编
  • [转]Python 守护进程

    守护进程:通常被定义为一个后台进程,而且它不属于任何一个终端会话(terminal session)。许多系统服务由守护程序实施;如网络服务,打印等。  下面...

    py3study
  • Lua中的原表介绍及其使用举例

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

    bering
  • mysql解析binlog日志

    binlog日志用于记录所有更新了数据或者已经潜在更新了数据(例如,没有匹配任何行的一个DELETE)的所有语句。语句以“事件”的形式保存,它描述数据更改。因为...

    ytkah
  • 塔荐 | 计算机领域顶级科学家、学术会议、期刊影响力排名(附国内排名)

    导读:近日,Guide2Research 发布了计算机科学领域的论文期刊、学术会议和科学家等内容的学术影响力排名。其排名根据 Google Scholar Me...

    灯塔大数据
  • 计算机领域顶级科学家、学术会议、期刊影响力排名(附国内排名)

    机器之心报道 参与:李亚洲、蒋思源 近日,Guide2Research 发布了计算机科学领域的论文期刊、学术会议和科学家等内容的学术影响力排名。其排名根据 Go...

    机器之心
  • 小型ERP调研:云端转型已成必然 快慢将决定谁最后胜出

    实施服务 移动信息化研究中心发现,在实施服务方面,小型ERP的实施并没有大中型ERP那样繁琐,由于产品较为简单小巧,实施比较快捷,用户对于实施质量表示没有太...

    人称T客

扫码关注云+社区

领取腾讯云代金券