第五十一节
作者 传销
搭建环境
由于下面三个部分都需要用到域,环境搭建起来有点复杂,涉及到的知识点多,而且失败了很多次,所以就记录下来
梳理思路
先把养生佬给的环境拓扑图拿上来
所需要了解的知识点(自己谷歌学习)
子网划分与子网掩码
NAT模式
DHCP服务器
DNS服务器
域和域之间的关系
域和林的区别
域控常规操作
计算机与域
将要搭建的环境拓扑图,以及进攻路线
第一步:chuanxiao主域配置
域控:win2008
域成员:win2003、win2012
防火墙友情提示:加入域之后有域防火墙,所以避免不必要的麻烦,进域之后一起关闭
域控
首先在win2008配置域控,运行:dcpromo
下一步到
命名
林功能级别:我调到最大
需要安装DNS服务器,选是,一路是
下一步一直到安装并重启
改一波主机名,方便识别
配置下IP
可以上网
能ping通2个域成员(这一步需要添加完域成员再测试)
域成员
将win2003加入域,配置IP,因为要求2003要能上网,所以就让它自动获取
改个名,然后加入域
可上网,可ping通域控
也可ping通另一个域成员
将win2012加入域,配置IP,这里要注意两点
不可上网:默认网关不能填
能和其他域成员通信:相同网段
改名,加域
不可上网,可ping通域控
可ping通其他域成员
来检查下域成员
chuanxiao域环境搞定
第二步 :segregation子域配置
子域控
和2008大同小异,添加角色和功能
域服务
一路下一步到安装完毕,开始配置
切换域管理账号添加子域
一路安装到重启
子域成员
win7配置IP
改名并加入segregation子域,注意域名的填写
先检查是否能上网:不能
再检查是否能ping通子域控:能
最后检查是否能ping通非子域段的成员:不能(以主域控为例)
大功告成,喜极而泣
复现
友情提示:所有操作在域内进行
GPP
这是上一节的内容。。。
首先,如果不创建一个新的组策略或者进行相应配置,是没有那些个XML文件的
打开组策略管理,创建一个GPO,起个名:chuanxiao
设置 -> 右键 -> 编辑
本地用户和组 -> 右键 -> 新建 -> 本地用户
如图配置好
回到最初的文件夹,多出了一个
点进去,会看到和其他两个不同的是,有一个新的Goup Policy文件夹
进到user文件夹,一路点下去,就能看到我们的目标Goups.xml了
打开,成功找到cpassword: vzJGjUknHacpyDTYoGSnsDrMV+hiJ1umoeXb/J+aVZs
parrot解密一波
搞定,下一个
MS14-068
搞之前来个快照,以免给下面几个实验造成影响
拿SID: S-1-5-21-3768270215-1557359955-1468639445-500
下面有2种方法,亲测都OK
第一种:python的exp,也就是养生佬视频里的,不过我这里 -d 参数后面加的是IP,要不然会出问题
第二种:metasploit,先找模块再生成文件
两种方法的设置都大同小异,用python生成的文件在win2012(win2008主域内)继续操作
搞定,下一个
黄金票据
恢复一下快照
不知道什么原因一直报错
试了N多办法,查了N多资料还是没搞定,只能迂回解决,dump出所有user,目标krbtgt就在里面
记录下sid和NTLM
sid:S-1-5-21-3768270215-1557359955-1468639445
NTLM:a93576ad393e1247ad4e7155060bdac2
利用
验证
和上面一样,没输入账号密码,搞定,下一个
白银票据
恢复一下快照,写之前,比较一下两种票据的区别
访问权限不同:
Golden Ticket:伪造TGT,可以获取任何Kerberos服务权限
Silver Ticket:伪造TGS,只能访问指定的服务
加密方式不同:
Golden Ticket由Kerberos的Hash加密
Silver Ticket由服务账号(通常为计算机账户)Hash加密
认证流程不同:
Golden Ticket的利用过程需要访问域控,而Silver Ticket不需要
导出登陆过这台计算机的域控账号信息
记录下主域控的SID和NTLM
SID:S-1-5-21-3768270215-1557359955-1468639445
NTLM:5e7a0d02674521d8d335bfc0eff7107e
先清除下票据,不过我们已经恢复了快照。。直接利用
验证
搞定
pentest_study
2个域(这里我们比原项目环境好)4台虚拟机全部打开,要不然有些命令无法执行(反弹代理部分上一节有)
查看域
子域和子域控并没有查出来,进入AD管理界面,win2012的确还在主域内
根据计算机名获取IP并验证(win2003)
查询域中用户,第一条命令可以发现子域segregation,不过是隐藏起来了
查询域组
查询域管理员
查询当前计算机名,全名,用户名,系统版本,工作站域,登陆域
在子域控上再查一次,可以看到父域chuanxiao
查看域控
查询所有计算机名称,相比较,dsquery有优势
子域控上再看一次,dsquery可以看出父域
查看域控时间及域控名
根据域名查看域控
通过ipconfig配置查找dns地址
子域控再查一遍,这就非常详细了
查询域控
获取mac地址(win2003)
获取计算机名、分析dc、是否开放共享(nbtscan自己下载),2个域控都发现了
大部分内网渗透工具都集成mimikatz,没集成的也没mimikatz好用,所以就用这个实操一个很好用的命令
mimikatz抓取登录过用户的详细信息(太长,列出一小部分),上面黄金白银票据也很好的展示了mimikatz的功能
本来不想测试QuarksPwDump的,不过为了对比mimikatz的强大,给大家看看它dump下来的东西吧。。
ntdsutil导出快照(至少2008DC)
卷影拷贝(工具官网也有)
导出来,具体利用下部分会有
添加at任务执行并查看
查看所有连接
磁盘映射具体看上面2个票据的实操
pstools小工具应用,这个依然还是微软自己提供的,用psexec.exe远程使用目标机cmd,这个和弹shell差不多
远程分享复制
wmiexec.vbs(这个记得很久以前在windows章节提过,复习一遍)弹shell
DLL劫持上一节也有了,至于sc命令,win2008虽然有,但是一直没反应,改用win2012
列举所有的交互式服务 sc query type=service type=interact
(内容太多,截取一小部分)
渗透实验
看起来复杂,但只要对metasploit熟悉就很相对容易一点,毕竟拿学校内网练过手了
WIN-2003
首先,我们的起点是一台win2003,把它作为内网渗透的突破口
加载kiwi模块(其实就是mimikatz)
其实我们现在只是administrator权限,因为是win2003,可以meterpreter提权到system
creds_all,看到域管理员账号,而且抓到明文密码(域管必须登陆过这台计算机才能有明文密码)
查看域控计算机名,经过pentest_study知道该命令很多,随便挑一个
域名: chuanxiao.com
,域控计算机名: WIN-2008-DC
,反查域控IP
域控IP: 192.168.0.25
,下面又有很多方法弹回域控的shell,纠结了很久,传一个wmiexec.vbs上去弹吧
因为是域控,可以用dsquery查询域内计算机
发现win-2012主机,反查ip
不过就这么放过域控有点可惜,用web_delivery弹一个meterpreter回来
WIN-2008-DC
先生成一个powershell代码
回到那个WIN-2008-DC的那个普通shell那里执行这段powershell
成功拿到,不过要等一会,而且看网速,总之还有很多办法。。。
老样子提权加载kiwi
看了看没什么有价值信息,不废话,直接老办法跳到win2012去
出问题了,删了wmi.dll依然没用,上传个psexec上去弹,依然失败
既然没用,那就先在win2008弹个远程桌面,用上一节的EarthWorm
这次用本机监听
用meterpreter操纵传上去的EarthWorm转发端口
本机成功接收
远程桌面本机的1080,并登录
完美
WIN-2012
继续用psexec弹shell
果然成功了,看来普通shell还是有点限制的
用老办法,生成一段payload,在192.168.0.166执行,这次换regsvr32
从meterpreter转为普通shell,查看域名和域成员
发现新成员WIN-7,因为一台计算机不能加多个域,所以segregation为子域,查询域控
WIN-2012为域控,完整域名为segregation.chuanxiao.com,反查win7的IP
按养生佬要求,永恒之蓝搞,退回meterpreter,添加一波路由
退回msfconsole,杀掉其他shell
查找永恒之蓝模块,因为已经知道win7有这个漏洞就不扫了,直接攻击
我家网差,打了好多次都没打进去。。。
截个失败的图,至少可以看出正在攻击192.168.66.66(上面添加路由的步骤成功),最后连shell都崩溃了。。。
没办法,曲线救国,用EarthWorm连到192.168.0.166,再从里面直连192.168.66.66
先拿密码
登录192.168.0.166,再连192.168.66.66
WIN-7
拿报表
管理员账号登上去啥都没有,而且目标报表放在普通用户的桌面上,莫慌
拉进192.168.0.166的共享里
退出远程桌面,查看
目标一搞定
卷影
下面要拿卷影了,pentest_study里工具会很方便,但是要上传,所以就按养生佬的来
拿卷影要登录该计算机的账户,如果用子域控WIN2012来操作会报错
上传mimikatz抓取明文密码
切到本地账户导出log
切回win2012的c盘查看
生成ntds.dit
修复
用ditsnap打开
一切正常,全部搞定
完
TO BE CONTINUED... ... ...