本文全部工具网上都能下到(github)
搭建环境
由于下面三个部分都需要用到域,环境搭建起来有点复杂,涉及到的知识点多,而且失败了很多次,所以也就记录下来了。
本文只是域渗透基础,用的都是常规手段,所以没有涉及绕过防火墙以及杀软。
梳理思路
这是参照拓扑图
所需要了解的知识点(自己谷歌学习)
- 子网划分与子网掩码
- NAT模式
- DHCP服务器
- DNS服务器
- 域和域之间的关系
- 域和林的区别
- 域控常规操作
- 计算机与域
- 将要搭建的环境拓扑图,以及进攻路线(对域环境熟悉的可跳过这部分)
第一步:chuanxiao主域配置
域控:win2008
域成员:win2003、win2012
域控
首先在win2008配置域控,运行:dcpromo
下一步到
命名
林功能级别:我调到最大
需要安装DNS服务器,选是,一路是
下一步一直到安装并重启
改一波主机名,方便识别
配置下IP
可以上网
能ping通2个域成员(这一步需要添加完域成员再测试)
域成员
将win2003加入域,配置IP,因为要求2003要能上网,所以就让它自动获取
改个名,然后加入域
可上网,可ping通域控
也可ping通另一个域成员
将win2012加入域,配置IP,这里要注意两点
- 不可上网:默认网关不能填
- 能和其他域成员通信:相同网段
改名,加域
不可上网,可ping通域控
可ping通其他域成员
来检查下域成员
chuanxiao域环境搞定
第二步 :segregation子域配置
子域控
和2008大同小异,添加角色和功能
域服务
一路下一步到安装完毕,开始配置
切换域管理账号添加子域
一路安装到重启
子域成员
win7配置IP
改名并加入segregation子域,注意域名的填写
先检查是否能上网:不能
再检查是否能ping通子域控:能
最后检查是否能ping通非子域段的成员:不能(以主域控为例)
大功告成,喜极而泣
复现
先来操作一些常规手段
GPP
首先,如果不创建一个新的组策略或者进行相应配置,是没有那些个XML文件的
打开组策略管理,创建一个GPO,起个名:chuanxiao
设置 -> 右键 -> 编辑
本地用户和组 -> 右键 -> 新建 -> 本地用户
如图配置好
回到最初的文件夹,多出了一个
点进去,会看到和其他两个不同的是,有一个新的Goup Policy文件夹
进到user文件夹,一路点下去,就能看到我们的目标Goups.xml了
打开,成功找到cpassword:vzJGjUknHacpyDTYoGSnsDrMV hiJ1umoeXb/J aVZs
parrot解密一波
搞定,下一个
MS14-068
搞之前来个快照,以免给下面几个实验造成影响
拿SID:S-1-5-21-3768270215-1557359955-1468639445-500
下面有2种方法,亲测都OK
第一种:python的exp,不过我这里 -d 参数后面加的是IP,要不然会出问题
第二种:metasploit,先找模块再生成文件
两种方法的设置都大同小异,用python生成的文件在win2012(win2008主域内)继续操作
搞定,下一个
黄金票据
恢复一下快照
不知道什么原因一直报错
试了N多办法,查了N多资料还是没搞定,只能迂回解决,dump出所有user,目标krbtgt就在里面
记录下sid和NTLM
sid: S-1-5-21-3768270215-1557359955-1468639445
NTLM: a93576ad393e1247ad4e7155060bdac2
利用
验证
和上面一样,没输入账号密码,搞定,下一个
白银票据
恢复一下快照,写之前,比较一下两种票据的区别
访问权限不同:
Golden Ticket:伪造TGT,可以获取任何Kerberos服务权限
Silver Ticket:伪造TGS,只能访问指定的服务
加密方式不同:
Golden Ticket由Kerberos的Hash加密
Silver Ticket由服务账号(通常为计算机账户)Hash加密
认证流程不同:
Golden Ticket的利用过程需要访问域控,而Silver Ticket不需要
导出登陆过这台计算机的域控账号信息
记录下主域控的SID和NTLM
SID: S-1-5-21-3768270215-1557359955-1468639445
NTLM: 5e7a0d02674521d8d335bfc0eff7107e
先清除下票据,不过我们已经恢复了快照。。直接利用
验证
搞定
渗透实验
这次实验用主要用metasploit解决,当然Empire也是可以的。
WIN-2003
首先,我们的起点是一台win2003,把它作为内网渗透的突破口
加载kiwi模块(其实就是mimikatz)
失败,我们现在只是administrator权限
因为是win2003,可以getsystem直接提权到system
creds_all,看到域管理员账号,而且抓到明文密码(域管必须登陆过这台计算机才能有明文密码)
通过查询服务器时间查看域控计算机名
域名:chuanxiao.com,域控计算机名:WIN-2008-DC,反查域控IP
域控IP:192.168.0.25,下面又有很多方法弹回域控的shell,纠结了很久,传一个wmiexec.vbs上去弹吧
因为是域控,可以用dsquery查询域内计算机
发现win-2012主机,反查ip
不过就这么放过域控有点可惜,就用web_delivery弹一个meterpreter回来
WIN-2008-DC
先生成一个powershell代码
回到那个WIN-2008-DC的那个普通shell那里执行这段powershell
成功拿到,不过要等一会,而且看网速,总之还有很多办法。。。
老样子提权加载kiwi
看了看没什么有价值信息,不废话,直接老办法跳到win2012去
出问题了,删了wmi.dll依然没用,上传个psexec上去弹,依然失败
既然没用,那就先在win2008弹个远程桌面,用EarthWorm转发下端口
这次用本机监听
用meterpreter操纵传上去的EarthWorm转发端口
本机成功接收
远程桌面本机的1080,并登录
完美
WIN-2012
继续用psexec弹shell
果然成功了,看来普通shell还是有点限制的
用老办法,生成一段payload,在192.168.0.166执行,这次换regsvr32
从meterpreter转为普通shell,查看域名和域成员
发现新成员WIN-7,因为一台计算机不能加多个域,所以segregation为子域,查询域控
WIN-2012为域控,完整域名为segregation.chuanxiao.com,反查win7的IP
由于这台win7没打过补丁,永恒之蓝搞一波,退回meterpreter,添加下路由
退回msfconsole,杀掉其他shell
查找永恒之蓝模块,因为已经知道win7有这个漏洞就不扫了,直接攻击
我家网差,打了好多次都没打进去。。。
截个失败的图,至少可以看出正在攻击192.168.66.66(上面添加路由的步骤成功),最后连shell都崩溃了。。。
没办法,还是远程桌面吧,用EarthWorm连到192.168.0.166,再从里面直连192.168.66.66
先拿密码
登录192.168.0.166,再连192.168.66.66
WIN-7
拿报表
管理员账号登上去啥都没有,而且目标报表放在普通用户的桌面上,莫慌
拉进192.168.0.166的共享里
退出远程桌面,查看
目标一搞定
卷影
下面拿卷影
拿卷影要登录该计算机的账户,如果用子域控WIN2012来操作会报错
上传mimikatz抓取明文密码
切到本地账户导出log
切回win2012的c盘查看
生成ntds.dit
修复卷影
用ditsnap打开
一切正常,全部搞定。
此章完
TO BE CONTINUED... ... ...
作者:传销 (文章转载请注明来自:IT同路人论坛)
