我的一次内网域渗透实战

一、前言

我是一名热爱渗透测试的大三狗,前段时间想找个国外网站练手,正好碰到个域环境,我就把我的渗透思路记录下来了,分享给大家,

有错误的地方大佬们请指出来,毕竟我太菜了,希望大佬不要喷我。

二、CobaltStrike反弹shell

通过CNVD-C-2019-48814获取到shell,由于这个网站存在ETES杀毒软件,写入jsp木马或者利用vbs,certutil,powershell下载msf木马均会被杀,这里可以利用powershell反弹shell的形式在自己的vps上获取到一个shell。具体这个漏洞怎么利用我不说了,网上很多复现文章。

在cobaltstrike生成一段powershell代码,插入payload

执行payload就会在cs上获取到一个会话

将cobaltstrike上的会话移到metasploit上(怎么移植,网上有很多教程)

在metasploit上接收到shell

三、内网信息收集

通过ping主机名获取域控ip地址

补丁情况:systeminfo

MS14-068打了补丁,无奈只能上mimikatz读取密码,但是有eset杀毒软件,一上传就被杀了,有没有免杀的mimikatz,幸好powershell没被拦截,通过Invoke-Mimikatz读取密码。

本地nc监听本地35602端口:

在burpsuite上执行powercat反弹shell

Invoke-Mimikatz读取密码

成功读取到域控的管理员账号密码

四、拿下其他主机

有了域控账号密码,ip地址,就可以连接域控了,这里有很多种方法(ipc,wmic,p**ec,sc等等,这里我详细介绍3种方法)

1.IPC连接

2.wmic

3.p**e

这里我通过wmic来连接,由于wmic没有回显

可以执行powershell反弹到cobaltstrike上,在移植到msf上面

在域控中进行下信息收集,获取域成员机器

先获取域内计算机名

通过PING获取域成员主机的ip地址,然后再用域管理wmic进行连接反弹shell,获取的ip如下(没包括域控和存在web漏洞的ip)

cobaltstrike上线0.4和0.7的主机

在对0.11主机进行连接时,ipc出现了错误代码86,指定的网络密码不正确。

应该是域管理限制了这个域用户登录这台主机,要其他域用户可能会登录,由于要system权限才可以利用mimikatz抓取密码,所以这里需要提权。

五、域控提权

systeninfo先查看下那些补丁

批量获取未打那些补丁

获取到 KB3164038(ms16-075)补丁没有打,metasploit提供了个exp

成功提到system权限,可以利用mimikatz读取密码了。

由于域控上存在eset杀软,可以通过procdump+mimikatz读取密码

先下载procdump到域控上

执行:

将lsass.dmp下载本地利用mimikatz读取出密码明文(两部操作都需要管理员权限)

下载到本地之后,mimikatz执行:

读取到5个用户明文,这里我只给一张图吧

最后登录0.11那个地址,由于cobaltstrike一直都不上线,我就采用的nc反弹

六、后记

渗透到这里,之后就不想搞了,希望这个对刚入门内网渗透的朋友们有帮助,希望大佬们看了不要喷我

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190815A006P600?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券