一 、域环境搭建 + 认识域 + 实验环境
1.前言: 一直想搞内网域渗透,可惜没有遇上好的域环境。看着别人发了多篇域渗透的文章。心里痒痒的 = = 于是乎自己搭建了环境来测试……[这就是屌丝和高富帅的差距啊
从搭建慢慢去学习什么是域。然后再去学习如何域渗透
2.搭建dns+域服务器
各种google和百度以后。终于搭建好域环境 = = 尼玛 居然搭建了许久 - -
最终自己在nat环境搭建上了域环境。域控win2008[192.168.233.145 dns.wilson.com]。加上一个win2003的web服务器[192.168.233.130 www.wilson.com ]
要搭建域服务器 要先给搭建dns服务器,在活动目录安装。然后才能有域环境。给自己域叫wilson.com[笑~~]
搭建好与环境以后。我们去看看域服务器win2008的用户和组发生什么变化吧:
我们发现他给我们加上许多用户组。这些组的作用 在图也给说明很清楚了。
重要的是Domain Admin 和Enterprise Admins的介绍。就是域管理员组和企业系统管理员。有着至高无上的权限……. = =
这时候我们看见域服务器的administrator用户已经给默认拉到Domain Admin和Enterprise Admins这用户组中。
可以看到administrator以后就可以对这个域下面的服务器进行统一的管理了。这让管理员的管理变得很方便了….
但是方便同时也是带来了安全问题…..
3.测试环境
再让kali[10.170.10.157 ]桥接到和宿主机[10.170.38.141]到同个局域网。并且为了尽量去模拟真实环境。将win2003进行80端口映射,映射到宿主机[10.170.38.141:8080]。
下面是环境图:
=========================================割================================================
二、测试过程
好 我们先假设 对前面的环境全未知[呵呵 装一下吧 。从web服务器开始
1.webshell提权
首先得到是10.170.38.141:8080的一个webshell.经过mysql root的提权后。我准备用msf进入这个内网。
2.web服务器信息收集
然后我们收集服务器的信息,并且稳定好自己的权限~~~
转移到一个不易被杀的进程winlogon.exe
居然提示权限问题 不科学啊 我是root提权应该是system才对撒 - -
不管了 getsystem提到高权限
Ok 好了
然后收集一些网络情况,hash/明文密码什么的
IP:
恩 内网192.168.233.0/24 没错 ok 为了进内网 我先加一个路由表吧
然后我们抓下hash 和明文:
Administrator是add3开头的 说明不能破解了 但是可以hash传递勒。
不过要是管理员在线或者没有注销。我们可以抓取明文的
密码是 qawsed123!@#
[打码那个是我之前win2003的密码。。 - - 我改了 但是还是被抓到了
3.收集域环境信息+找到域控
我想msf的端口转发功能 来转发一下 然后登入对方的远程桌面看看吧。
Ok 我们收集一下域的信息
1.ipconfig /all
看见域的名称叫做wilson.com - -呵呵 见笑了 2.net view
看看当前域下有几个机子 这里我就只有两个机子
[没办法 只有这几台测试机子
net view /domain 看自己的有几个域
要是处于多个域 那渗透就比较蛋疼了 - -
[注:1是自己的工作组 我改了名字 嘿嘿 一般net view 会有解释的。而且不是像这样子 只有这几个机子的
比如:
\dns dnsserver
\sqldata sqlserver
。。。。。。。
。。。。。。
这样我们可以去找自己想要搞的机子。
比如dns[因为dns一般就是域控了]
还有要是备注为servidor master ad[应该域控了。。。。
或者你要数据库 就可以直接去看看sqldata 有没有漏洞什么的
找ip 分析网络结构
接下来一个一个ping
找ip 看网络的分布
嘿嘿 一两个比较简单 但是多了就蛋疼了 = =
有人写了脚本 直接用吧
网络结构比较简单 – - only两个机子
4.用户和组信息
net user
net user /domain 出错了 – - [这是可以看到域的所有成员
net group "domain admins" /domain —— 查询域管理员用户组
两个域控管理员
要是你还想获取某用户的详细信息的话,可以使用 net user 域用户 /domain 命令获取。
但是这两个命令有时候执行会有错误的
域控在哪里?
我们可以在net view的解释可以发现 要是备注为servidor master ad 那它是域控可能性是很大的。。
由于dns一般就是域控。我们可以通过这个来找域控
那么找dns比较容易了 ipconfig /all 就有了
192.168.233.145 [DNS+域控
还可以nslookup来找等等。。。。
4.搞定域控
可以看看这个 http://drops.wooyun.org/tips/646
1.溢出
ms08_067
要是局域网里面有xp/2k的那这个成功率比较高
但是我的域控是 2008 的 = =
暂且不测试
DNS溢出
DNS 服务器可能就是域控 so…
手中没有溢出 作罢
弱口令+已经控制的服务器口令
将抓下的明文+一些常用弱口令。去扫把。
如果局域有数据库服务器 可以尝试去搞定它。然后收集一下常用口令在加到字典库跑。那么这个成功率会大大提升
嘿 由于2008默认安全口令策略 口令强度比较强 这个扫描就算吧 3.键盘记录+3389登入记录
这个记录了 在线管理员的 键盘记录~
可以用msf的试试
最后将msf的进程转移到explorer.exe .这样可以正常键盘记录了
不转移可能有一些莫名情况
记录3389登入可以用Winlogon试试
或者gina等等
看到密码了 – - 呵呵
4.假冒令牌
Msf渗透指南书是这么说的:在假冒攻击中 我们将盗取目标系统的一个Kerberos令牌,将其用在身份认证中。来假冒当初建立这个令牌的用户。
假冒令牌是meterpreter的强大功能之一。对渗透非常有帮助
那么我们就在这win2003的后门里执行看看[注:为了用域管理员的令牌。我预先用域管理员登入了一下远程桌面
加载了incongnito模块以后 我们用list_token -u 命令来列出令牌
看到wilsonadministrator 这个域管理员账号 测试去盗取一下
命令有几个敲错了 但是最终成功盗取了 而且将test加入了域管理员 。
1.Impersonate_token wilson\administrator 盗取wilson\administrato令牌 [要多加一个斜杠
2.Add_user 用户名 密码 -h IP \win2008 有口令安全安全机制 口令复杂一些就可以了
3.add_group_user "Domain Admins" 用户 -h IP 是将其加到域管理员中
这一步部分 可以看看msf渗透指南 我也是看着书学的
出现去2008看看test有没有加入成功 – -
Ok 没有问题 这样就搞定域控了~ 嘿嘿
5.嗅探
用cain.exe 吧 这个嗅探神器 = =
补充一个tip cain.exe 有一个老板键哦 我也是刚刚发现 – -
alt+del是隐藏,alt+pgdwn是最小化, alt+pgup是显示软件
。。。。。。。。
还有的别的办法。。。。 学习中。。。
5.搞定域控后
批量中马 – - 这个没有搞过。。。
一般的好人搞定了域控就收手了。。大家只是玩玩而已。不要太坏了
三、总结
终于到了 总结时刻~~~
本次测试自己尽力去 模拟一个真实的渗透环境 但是还是有居多缺陷问题。。与真实的环境还是有很大区别。
比如一些命令测试会有错误。
又比如杀软 防火墙等等蛋疼的事情
而且全过程感觉有点自娱自乐 – - 呵呵
但是自己已经把能想到东西都写上了 = = 希望你看了有收获吧
有错 欢迎指出