内网渗透:拿下一台内网主机后如何继续攻击拿下域控主机

zbs   ·   发表于 2023-12-19 17:18:05   ·   学习杂记


从上篇文章拿下10.0.1.4这台服务器后,发展对内网进行攻击,打穿这个内网:

拿下这台电脑,最重要的也就是先信息收集:
先探测下内网主机,再探测下主机端口,这是最简单的方法。

先ipconfig查看下当前ip,是什么ip段


然后上传nmap或其他扫描工具(fscan):nmap 10.0.1.1/24 探测10.0.1.1 - 10.0.1.255
fscan.exe -h 10.0.1.1/24 (默认使用全部模块)fscan.exe -h 10.0.1.1/16 (B段扫描)


发现10.0.1.3、6、8这三台服务器主机存活
然后开始翻一翻本机里面的文件,看看有没有有用的东西:


比如这里有数据库的账号密码:
我们就可以连上数据库

内网很多情况是这样的,内网很多机器,但是管理员可能就是那么几个人,所以各个机器的用户账号密码相同的可能性极高,那么我们如果能获取本机所有用户的密码,就可以看到管理员原本设置的密码。

我们可以利用一个老师强力推荐的内网攻击工具:猕猴桃


privilege::debug 提升权限
sekurlsa::logonpasswords 抓取密码
log 日志会记录内容


需要用管理员身份运行:

响应结果也会在log保留:


这些东西都是这台服务器之前有人用过这些账号密码登陆过的,所以内网其他服务器很有可能也是用这些账户密码(人喜欢方便记忆)
密码喷洒攻击
针对另外三台主机:

使用的账号密码,可能是1.4中收集到的这些账号密码
于是可以对内网中的其他主机进行密码爆破
到这里时,最好把收集到的信息放到本地进行整理


【因为这远程连接老是掉,太痛苦了】
fscan也有漏扫的功能:例如这里检测到了MS17-010永恒之蓝

收集完信息后,就准备进行域渗透了:

#### 域的定义:将网络中的多台计算机在逻辑上组织到一起,进行集中管理。

域的模型:
​ 域管理员 和 普通用户 =》 域控主机 普通主机

域控攻击目标

拿下域控主机和管理员账号
拿下域控之后,就等于控制了所有加入该域的主机。

接下来我们就去进行对域的渗透攻击:

1. 判断当前主机是否在域中

ipconfig /all:

这里如果dns后缀有域名,一般就是在域里,如果没有,一般也没在域里
systeminfo:


域这里有域的信息,workgroup代表工作组,也就是没有在任何域里
net time /domain (需要你有域用户登录主机)


这种情况就说明没有在域里

这台主机不在域中,就需要利用我们信息收集的其他存活主机,利用猕猴桃:
privilege::debug 提升权限
sekurlsa::logonpasswords 抓取密码
然后进行密码喷洒攻击【不需要任何协议,利用心理】去登录其他内网存活主机

这里对10.0.1.8的mstsc:
Administrator woshifengge1.
登录成功


对它继续按照之前的方法信息收集:


看到它在zkaq.cn域,我们这时登录的是本地用户Administrator【线上用户应为zkaq.cn\Administrator】
试试切换为线上用户-》这时woshifengge1.的密码就失败了


我们只能换个方式,去查找域控主机:
=》查找内网的dns服务器,从而确定域控主机
nslookup zkaq.cn
ping zkaq.cn

发现回应的都是 10.0.1.6 ,说明它很有可能就是域控主机的ip【只通过ping还不确定,因为可能域控不是直接使用zkaq.cn,可能是使用子域名。但是nslookup 通常由域控主机ip回应】
可使用查看域控制器的机器名
nltest /DCLIST:域名:

DC.zkaq.cn,这样得到的主机一般都是域控主机


再确认一下,10.0.1.6就是我们的域控主机了;
接下来我们就是对域控主机发动攻击:
通过检查域控主机是否存在可利用的漏洞,如果存在可以利用的漏洞,直接对漏洞发动攻击,拿下目标服务器。
还是先对1.8用猕猴桃信息收集一波密码【猕猴桃 抓取 10.0.1.8主机的历史登录记录,可能能获得域用户名和密码。】:
privilege::debug 提升权限
sekurlsa::logonpasswords 抓取密码


但是win server 2008 之后的版本,系统不在明文存储密码,存放的是加密后的数据
NTLM : 61465a991b168727b65b3644aab823cd
SHA1 : 5b48c7f5a5facbb5df950bb501b9da8dcd86db3d
hash理论上不能被破解,但是可以通过类似MD5解密的爆破手法破解
若破解不成功,只能另取它法:

windows系统的三种登录方式

  1. 本地登录

  2. 远程登录 (rdp)

    使用 明文的用户名和密码进行登录的。

  3. 网络登录

    登录记录,凭证【登录后的特征数据,来去进行身份校验】:
    NTLM 协议认证
    kerberos 协议认证

NTLM协议

哈希传递 的方式实现一个攻击

​ 攻击原理: 认证过程中有一个缺陷,可以让我们直接传递密文的hash值,和存储在数据库中的hash值进行比对

1. 用户提供账号密码
1. windows接收到账号密码之后 = > 对密码进行NTLM哈希计算 
1. 将加密后的数据 和 电脑中保存的数据进行比较

哈希传递 : 跳过前两步,直接通过 提供加密后的 hash值,让电脑进行比较
我们同样是通过猕猴桃进行哈希传递:
通过得到的NTLM : 61465a991b168727b65b3644aab823cd 明文密码加密后的哈希值
username:administrator
然后执行猕猴桃指令:
privilege::debug 提升权限
sekurlsa::pth /user:administrator /domain:”zkaq.cn” /ntlm:61465a991b168727b65b3644aab823cd
【登陆用户+域地址+ntlm加密值】


我们就登陆到了1.8域zkaq.cn的线上用户:zkaq.cn\administrator
验证:
net time/domain


这是域用户才可以执行的指令


这里就可以看出差异;
通过域用户cmd执行:
dir \DC.zkaq.cn\c$:查看域服务器的目录:


可以查看到C盘就代表着,你有了操作域控的权限


但我此时还只是个成员服务器,我还更想贪心变成域控服务器为所欲为:
这里用一个Windows官方出的工具。[PsExec.exe] 因为官方,所以自带免杀
PsExec.exe \dc.zkaq.cn cmd [他会去调用域控主机的cmd]


我们就拿下了域控服务器

打赏我,让我更有动力~

0 条回复   |  直到 2023-12-19 | 513 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.