文章讲述了在特定网络环境中,如何利用模拟内外网配置,通过WebLogic漏洞、MSF工具如MSF和Impacket进行内网渗透,包括密码获取、域控攻击、NTDS数据导出和管理员权限提升的过程。
机器配置
仅主机1模拟外网,仅主机2模拟内网
这里配置web,mssql双网卡
这里实际环境可以不用nat,但是我有些工具放到主机里了方便起见还是用了一个nat
靶机发现
这里因为我只把kali 和web放在一个网段下,所以只能扫出来web
端口常见的 3389 7001
weblogic
这里直接可以用现成工具利用
注入内存马上哥斯拉
这里可以看到是存在360的,到这卡了很久。
目前思路就是两条
1.想办法导出密码缓存文件,3389连接。
2.上线msf或cs,考虑免杀
这里我通过另一个博主的方法上线了msf,用哥斯拉自带的msf转发工具
设置好host和port以后直接弹
后续load kiwi 然后导出所有密码即可
最简单直接连上去3389关掉杀软即可
已经没有杀软了!
内网横向
这里msf断开连接了半天连不上很蛋疼,而且虽然administrator这个用户已经关闭杀软,但是mssql用户的360还是会影响渗透,而恰巧这个用户无法通过远程连接登上去。不过在任务管理器查看时发现可以链接上去
后续关闭杀软即可完全关闭防护!
arpscan可以发现存在其他两台内网机器
上线fscan突突突
此时已经跨网段了,需要进行代理设置,这里工具选择也很多利用msf sock模块即可
因为这里为了方便设置的nat模式,所以其实是不需要代理的
这里扫到1.1.1.140时候发现开放了88端口,基本可以判断是域控,并且存在17010
这里不知道为什么没有利用成功。。。。
这里直接用脚本横向即可
利用msf模块绑定正向shell即可,这里不知道为什么psexec不起作用,我用的wmi模块
同样设置好代理用impacket脚本也是一样的效果
后渗透
在拿下域管理主机权限之后可以导出ntds.dit,从中得到krbtgt用户的hash
msf自带模块
windows/gather/ntds_grabber
设置好session即可
或使用windows自带命令
ntdsutil "ac i ntds" ifm "create full c:\\"
导出ntds,system到c盘下
利用impacket自带模块secredump即可导出
制作白银,黄金票据
这里以低权限用户访问域控不行
获取域管理员sid,krbtgt哈希后制作管理员tgt票据
前者可以通过whoami /all查看,后者可以通过impacke脚本 secretedump或者上传mimikatz到域控进行导出
去掉-500即可
mimikatz域控导出
脚本
制作金票
导入票据后
利用官方psexec工具即可获得一个交互shell
后续添加影子账户进管理员组即可
白银票据
获取主机hash
sid还用域管的即可
扫一扫
439
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
