内网渗透之-域渗透基础

)域环境搭建+认识域+实验环境

1.前言:   一直想搞内网域渗透,可惜没有遇上好的域环境。看着别人发了多篇域渗透的文章。心里痒痒的 = = 于是乎自己搭建了环境来测试……[这就是屌丝和高富帅的差距啊

从搭建慢慢去学习什么是域。然后再去学习如何域渗透

2.搭建dns+域服务器

各种google和百度以后。终于搭建好域环境 = = 尼玛 居然搭建了许久 – –

最终自己在nat环境搭建上了域环境。域控win2008[192.168.233.145 dns.wilson.com]。加上一个win2003的web服务器[192.168.233.130   www.wilson.com]

要搭建域服务器 要先给搭建dns服务器,在活动目录安装。然后才能有域环境。给自己域叫wilson.com[笑~~]

搭建好与环境以后。我们去看看域服务器win2008的用户和组发生什么变化吧:

ͼƬ1

ͼƬ2
我们发现他给我们加上许多用户组。这些组的作用 在图也给说明很清楚了。

重要的是Domain Admin 和Enterprise Admins的介绍。就是域管理员组和企业系统管理员。有着至高无上的权限……. = =

这时候我们看见域服务器的administrator用户已经给默认拉到Domain Admin和Enterprise Admins这用户组中。

可以看到administrator以后就可以对这个域下面的服务器进行统一的管理了。这让管理员的管理变得很方便了….

但是方便同时也是带来了安全问题…..
3.测试环境

再让kali[10.170.10.157 ]桥接到和宿主机[10.170.38.141]到同个局域网。并且为了尽量去模拟真实环境。将win2003进行80端口映射,映射到宿主机[10.170.38.141:8080]。

下面是环境图:

3

=========================================割================================================

二)测试过程

好 我们先假设 对前面的环境全未知[呵呵 装一下吧 。从web服务器开始

1.webshell提权

首先得到是10.170.38.141:8080的一个webshell.经过mysql root的提权后。我准备用msf进入这个内网。

ͼƬ3

2.web服务器信息收集

然后我们收集服务器的信息,并且稳定好自己的权限~~~

转移到一个不易被杀的进程winlogon.exe

ͼƬ4

 

居然提示权限问题 不科学啊 我是root提权应该是system才对撒 – –

不管了 getsystem提到高权限

ͼƬ5(1)

Ok 好了

 

然后收集一些网络情况,hash/明文密码什么的

IP:

ͼƬ6
恩 内网192.168.233.0/24 没错 ok 为了进内网 我先加一个路由表吧

ͼƬ7

然后我们抓下hash 和明文:

ͼƬ8
Administrator是add3开头的 说明不能破解了  但是可以hash传递勒。

不过要是管理员在线或者没有注销。我们可以抓取明文的

ͼƬ9

密码是 qawsed123!@#

[打码那个是我之前win2003的密码。。 – – 我改了 但是还是被抓到了

3.收集域环境信息+找到域控

我想msf的端口转发功能 来转发一下 然后登入对方的远程桌面看看吧。

ͼƬ10

Ok 我们收集一下域的信息

1.ipconfig /all

ͼƬ11

 

看见域的名称叫做wilson.com  – -呵呵 见笑了
2.net view

ͼƬ12

看看当前域下有几个机子 这里我就只有两个机子

[没办法 只有这几台测试机子

net view /domain 看自己的有几个域

要是处于多个域 那渗透就比较蛋疼了  – –

[注:1是自己的工作组 我改了名字 嘿嘿
一般net view 会有解释的。而且不是像这样子 只有这几个机子的

比如:

\\dns        dnsserver

\\sqldata     sqlserver

。。。。。。。

。。。。。。

 

这样我们可以去找自己想要搞的机子。

比如dns[因为dns一般就是域控了]

还有要是备注为servidor master ad[应该域控了。。。。

或者你要数据库 就可以直接去看看sqldata 有没有漏洞什么的

 

  1. 找ip 分析网络结构

接下来一个一个ping

找ip 看网络的分布

嘿嘿 一两个比较简单 但是多了就蛋疼了 = =

有人写了脚本 直接用吧

ͼƬ13

网络结构比较简单 – – only两个机子

ͼƬ14

4.用户和组信息

net user

net user /domain 出错了 – – [这是可以看到域的所有成员

ͼƬ15
net group “domain admins” /domain       —— 查询域管理员用户组

ͼƬ16

两个域控管理员

要是你还想获取某用户的详细信息的话,可以使用  net user 域用户 /domain  命令获取。

但是这两个命令有时候执行会有错误的

  1. 域控在哪里?

我们可以在net view的解释可以发现 要是备注为servidor master ad 那它是域控可能性是很大的。。

由于dns一般就是域控。我们可以通过这个来找域控

那么找dns比较容易了 ipconfig /all 就有了

192.168.233.145  [DNS+域控

还可以nslookup来找等等。。。。


4.搞定域控

可以看看这个http://drops.wooyun.org/tips/646

1.溢出

ms08_067

要是局域网里面有xp/2k的那这个成功率比较高

但是我的域控是 2008 的 = =

暂且不测试

DNS溢出

DNS 服务器可能就是域控 so…

手中没有溢出 作罢

  1. 弱口令+已经控制的服务器口令

将抓下的明文+一些常用弱口令。去扫把。

如果局域有数据库服务器 可以尝试去搞定它。然后收集一下常用口令在加到字典库跑。那么这个成功率会大大提升

嘿 由于2008默认安全口令策略 口令强度比较强 这个扫描就算吧
3.键盘记录+3389登入记录

这个记录了 在线管理员的 键盘记录~

可以用msf的试试

最后将msf的进程转移到explorer.exe .这样可以正常键盘记录了

不转移可能有一些莫名情况

ͼƬ17

ͼƬ18

记录3389登入可以用Winlogon试试

或者gina等等

ͼƬ19

看到密码了 – –  呵呵

4.假冒令牌

Msf渗透指南书是这么说的:在假冒攻击中 我们将盗取目标系统的一个Kerberos令牌,将其用在身份认证中。来假冒当初建立这个令牌的用户。

假冒令牌是meterpreter的强大功能之一。对渗透非常有帮助

那么我们就在这win2003的后门里执行看看[注:为了用域管理员的令牌。我预先用域管理员登入了一下远程桌面

加载了incongnito模块以后 我们用list_token -u 命令来列出令牌

ͼƬ20

看到wilson\administrator 这个域管理员账号 测试去盗取一下

ͼƬ21
命令有几个敲错了 但是最终成功盗取了 而且将test加入了域管理员 。

1.Impersonate_token wilson\\administrator 盗取wilson\\administrato令牌[要多加一个斜杠

2.Add_user 用户名 密码 -h IP \\win2008 有口令安全安全机制 口令复杂一些就可以了

3.add_group_user “Domain Admins”  用户 -h IP   是将其加到域管理员中

这一步部分  可以看看msf渗透指南  我也是看着书学的

出现去2008看看test有没有加入成功 – –

ͼƬ22

Ok 没有问题 这样就搞定域控了~ 嘿嘿

5.嗅探

用cain.exe 吧 这个嗅探神器 = =

补充一个tip cain.exe 有一个老板键哦 我也是刚刚发现 – –

alt+del是隐藏,alt+pgdwn是最小化, alt+pgup是显示软件

。。。。。。。。

还有的别的办法。。。。 学习中。。。

5.搞定域控后

批量中马 – – 这个没有搞过。。。

一般的好人搞定了域控就收手了。。大家只是玩玩而已。不要太坏了

三)总结

终于到了 总结时刻~~~

本次测试自己尽力去 模拟一个真实的渗透环境 但是还是有居多缺陷问题。。与真实的环境还是有很大区别。

比如一些命令测试会有错误。

又比如杀软 防火墙等等蛋疼的事情

而且全过程感觉有点自娱自乐 – – 呵呵

但是自己已经把能想到东西都写上了 = = 希望你看了有收获吧

有错 欢迎指出

[via@wilson-90sec]