大家好!我们在这个write up 里讲下几个不同的入侵 windows domian 时的横向操作。 内容不会过于深入,而会介绍一些基本技巧和流程. 为了保证测试客观性所以我将使用我们的测试对象 lock domain “REDHOOK”. 希望这会成为我们第一个关于 windows domian 的系列教程. 如果你要具体了解某些细节(比如kerberos 的 tickets)欢迎发email 谢谢 (作者鬼佬,要问写英文)!
实例:
我们的目标是获取 "redhook.DA" 域账号的鉴别信息. 假设我们做为攻击者已经成功的进入到目标企业的内部网络,但是我们和目标不在同一个 domian controller 的管理范围, 如下图所示.
另外我们作为攻击者假设已经获得了Client 1.主机上一些有用的本地管理员的鉴别信息。怎么获得的?如果目标网络够大, 就很有可能会在网络分享上找到有用的鉴别信息 (例如各种batch, vbs, .NET, ps1, etc. 文件中), 在找的过程中 "dir /s", "findstr /SI" andFind-InterestingFile 相当管用. 取决于一开始你怎么获得的权限,你可能已经用到了一些很好用的像cobalt strike类型入侵框架,或者你已经在目标网络某台机器是有了一些基本权限功能。虽然在本讲中入侵者使用的是kali,但我也会介绍一些windows 上的小技巧. 最后,本讲中我不会去讲关于绕过防护的技巧,记住实战中触发了防护的话那就代表没戏了。
黑掉 Client 1
像我之前说的我们已经在内网分享内容里得到了 “Client 1” 的鉴别信息。看一下代码
我们可以尝试获取上面batch脚本中IP地址的NetBIOS的信息。
如果在windows上使用cmd命令
如上图中所示我们可以看出主机 “WIN7-ENT-CLI1” 连接的是 REDHOOK domain.
P**ec:
我们使用 metasploit's P**ec 可以很容易的获取到反弹shell。 注意smbuser设置的bob是本地账,如果“net use” 命令下我们必须用 “REDHOOK\bob” 同时我们就不设置SMBDomain 参数
除了Metasploit的P**ec,我们还能用 Impacket的P**ec(RemComSvc 模拟P**ec),
在没有明文密码的时候我们通过它来传递获取到的HASH作为代替,之后细讲.(下图为 Impacket的P**ec脚本使用获取目标shell)。
微软也有自带的 P**ec (合法的数字签名过)。
图中命令后面加个 "-s" 可以返回 SYSTEM 权限的shell.
WMI:
Windows 下我们也能用WMIC(内置不需要下载),
最低0.47元/天 解锁文章
4441
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
