0x01前言
本次實驗利用ms17010與ms14068兩個老漏洞,用kali在一個極簡域環境的理想狀態下模擬復現從控制一臺域內主機到獲得域控shell的簡單流程
關于漏洞原理已經講爛了,不再復述,網上大神們寫得很好
老版kali ip:192.168.1.16
winserver2008 ip:192.168.1.28 (域控,dns服務器)
win7 x64 ip:192.168.1.13(域內主機)
0x02獲得域內主機shell

打開msf,尋找ms17010應用模塊

采用auxiliary/scanner/smb/smb_17_010來搜尋目標網段是否有開放445埠存在永恒之藍的機器IP,執行緒50即可
設定好options后run一下

run到了192.168.1.13這臺機器(目標域內主機)有此漏洞

提示目標機器為64位win7,所以采用模塊exploit/windows/smb/ms_17_010_eternalblue,不同位數機器對應的payload不盡相同,msf中沒有的可自行尋找撰寫,再加入框架中

設定目標ip、反彈連接payload、監聽ip,設定好后執行

獲得meterpreter(如果有殺毒軟體的話,用此payload shell可能會彈不回來,可用auxiliary/admin/smb/ms17_010_command來進行命令執行避開反彈shell操作)

看一下當前uid,權限很高
如果發現有亂碼,可能是編碼問題,改成GB編碼就不會亂碼
改成GB編碼就能正常顯示


進入shell后,ipconfig /all whoami /all查看資訊,發現可能是域環境,dns與域控一般在一起

之后查找域管理員賬號

找到域中所有用戶名
0x03獲得域控shell

meterpreter下meterpreter>load mimikatz加載mimikatz神器后,kerberos可見登錄過的域用戶明文密碼,msv可見hash(省著往域主機win7上傳mimikatz可能涉及權限殺軟等
問題難以執行,當然也可以搞procdump+mimikatz),由此抓到當前主機域用戶密碼

由于域控沒打相關補丁,可利用ms14068獲得域控權限的shell
利用goldenPac.exe工具,類似ms14068工具和psexec的結合體,成功了將直接回傳一個域控互動式shell,當然還有很多其他辦法
用meterpreter把工具從kali傳到win7域主機c盤上去,閑的無聊可以在C:\>下執行attrib goldenPac.exe +s +h 設定檔案的系統屬性 為 隱藏屬性,更隱蔽一些

執行工具 goldenPac.exe 域名/域用戶名:域用戶明文密碼@域名
報錯,提示域控主機名SERVER

再次執行工具 goldenPac.exe 域名/域用戶名:域用戶明文密碼@完整域名
在此時回傳的shell中執行ipconfig,會看到ip由原來域主機win7的ip192.168.1.13變成域控winserver2008的ip 192.168.1.28,證明這已經是一個域控的shell了,利用成功

之后可以在域中新建用戶并加入到域管理員組中
也可以進行開埠,寫腳本等操作,最后別忘了清理痕跡
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/1998.html
標籤:其他
