内网渗透 - 拿下域控

一岁时就很帅   ·   发表于 2020-12-07 14:04:30   ·   CTF&WP专版

看了很多前辈们写的wp之后,发现好像基本上没有大佬实用cs渗透神器,所以小老弟就在这里献丑了。
1、一开始我们使用蚁剑获取了一个普通用户的shell


2、使用cs制作exe的木马文件,然后进行上传木马,执行文件



说明:现在我的shell是普通用户的权限,这里为了方便,我还是使用烂土豆进行提权执行文件。

3、cs成功上线

说明:CS一些基本的命令
shell whoami
shell netatat -ano
shell tasklist
shell systeminfo
shell net users
shell view
shell ipconfig /all


4、端口内网扫描


其中有两种探测端口模式(arp、icmp),个人比较喜欢imcp

已经开始在扫描端口开放情况,速度有点慢,耐心等待

5、用 cs 的 hashdump 读内存密码:hashdump,用 mimikatz 读注册表密码:logonpasswords


在凭证信息一栏可以清楚查看:

6、查看targets,看看有哪些机器

7、使用pxesec登录10.0.1.8机器


8、成功连接上10.0.1.8机器,在图标视图中:

使用 ipconfig /all 查看 DNS 服务器:

还是使用cs 的 hashdump 读内存密码:hashdump,用 mimikatz 读注册表密码:logonpassword

9、发现1.0.1.8存在域,下面是域的一些信息搜集
查看时间服务器:net time /domain

查看主域信息:net view /domain

利用 nslookup 命令直接解析域名服务器:


查看当前域的所有用户:net user /domain

获取域内用户的详细信息:wmic useraccount get /all

可以获取到用户名,描述信息,SID 域名等:

查看所有域成员计算机列表:net group “domain computers” /domain

查看域管理员:net group “domain admins” /domain

查看域控制器:net group “domain controllers” /domain

查看企业管理组:net group “enterprise admins” /domain

10、查看进程列表,获取taskhost.exe的token值

11、利用token值登录域控机器10.0.1.6


11、域控机器成功上线

成功获取域控机器上的flag

终于是拿到flag值了,对内网渗透有进一步了解了

用户名金币积分时间理由
veek 50.00 0 2020-12-08 09:09:08 学到了~

打赏我,让我更有动力~

0 Reply   |  Until 2020-12-7 | 805 View
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.