win10开机自动进去admi-(win10开机自动进去bios)
来源:191路由网 2022-12-31 00:31:57
环境拓扑
我们的目的是获取redhook.DA域的一个可用的账户,当前攻击者已在公司网络内,但并未在同一个子网。
Compromising Client 1
假设我们已经获取到了Client1的登陆凭据,如果网络足够大,你可以发现存储在某处网络共享上面的其他凭据(通过批量的脚本:vbs,ps1,.net等等)。关于怎么访问网络,你可以使用Cobalt Strike框架。
我们可以这样做:
我们可以通过批量的脚本快速的获得NETBIOS的信息。
在win上,可以用命令nbtstat -A IP获得相同的信息,可以看到机器名是WIN7-ENT-CLI1,属于REDHOOK域。
PsExec:
使用msf的psexec可以很容易的获取到一个shell。BOB是一个本地用户,不用指定SMBDomain参数。
我们也可以使用Impacket’s PsExec,但psexec的好处是可以传递hash。
不要忘了微软自己的PSEXEC有额外的好处,添加一个-s参数会给你一个system的shell。
WMI
一些WMI的选项也可以让你远程系统上执行命令。最值得注意的是WMIC,不仅可以在远程系统上执行命令,还可以通过内置的命令获取系统的敏感信息和配置操作系统。
最好使用cmd.exe /c或powershell -exec bypass -command。
我们使用Impacket WmiExec可以获取到一个半交互式的shell,执行命令并获取输出。
最后使用PowerSploit的Invoke-WmiCommand命令。
Pass-The-Hash, WCE & Mimikatz:
有时候你只能获取到NTLM的hash值,可以使用msf的psexec或WCE或Mimikatz。
缺点是WCE可能会被发现,而mimikatz是直接加载内存。
电脑Smash-And-Grab
Metasploit (Mimikatz & hashdump):
Secretsdump & Invoke-Mimikatz:
也可以使用Impacket’s SecretsDump和Powersploit’s Invoke-Mimikatz来获取。mimikatz的脚本托管在攻击者的服务器上。
可能还有其他技术,但是以上是最经典的。
Impersonation:
现在我们有了redhook域里的一台机器并且能连接到不同的子网中,现在开始做一个信息收集。
要查询域的信息,需要有一个域用户,当前的bob用户并不是域用户或system权限,但是我们可以通过
NtQuerySystemInformation来发现其他用户的token,进而模拟他们登陆。
meterpreter有这个插件,使这个过程非常简单。
电脑也可以使用incognito(下载地址:https://labs.mwrinfosecurity.com/blog/2012/07/18/incognito-v2-0-released/)
Reconnaissance
域侦察:
现在我们有了一个域用户,我们需要尽快扩大战果。
以上命令分别是:
获取当前用户获取当前机器名获取IP信息获取域内共享资源列表返回验证当前登录会话的域控制器的名称获取域控地址查看本机所有用户查看域用户查看所有本地管理员组的用户列出域内活跃的机器和会话获取从域控上的连接源获取本地管理员的信息获取域管理员的信息通过简单的信电脑息收集,我们能了解到让我们自己成为域管理员的途径。
TemplateAdmin 是client1和client2的管理员虽然我们没有明文,但是我们有TemplateAdmi的hash来访问client2REDHOOK\ Administrator认证在client2,如果搞定client2,即可获得域控Socks Proxy:
最后一个事就是添加路由,让我们通过代理能访问系统,如果使用msf或cobalt strike那么就非常简单。
使用session1 通过socks4a来进行进一步的扫描。
使用proxychains。
Compromising Client 2
Metasploit (PortProxy & PsExec):
共享的本地管理员账户,客户端1和客户端2的TemplateAdmin是通用的账号,密码也一样。
我们可以使用portproxy从client1进行端口转发。
client1监听10.1.1.2:9988向10.0.0.128:9988发送流量。再配置psexec。
Impacket (PsExec) & netsh:
在client1上使用netsh手动设置转发规则。
现在有个规则是把流量从10.0.0.129:5678转发到10.1.1.3:445,Impacket’s PsExec需要一个自定义端口,编辑源码来实现。
当完成转发之后,记得清理规则。
C:\Windows\system32> netsh interface portproxy reset
如果我们获取不到明文密码,我们仍然可以冒充域管理员的令牌。
Smash-And-Grab 2
Metasploit Easy-Mode (Mimikatz & hashdump & incognito):
Impacket (PsExec) & incognito:
我们使用incognito来执行远程命令。
文件传输
接下来我们就很容易来拖拽文件了。
Compromising Redrum-DC
Socks Proxy & Impacket (WmiExec):
我们要么获取域管理员的密码,要么我们自己新建一个域管理员。
还记得之前用户socks代理么,我们可以使用它来访问域内几乎所有东西。
Sysinternals (PsExec) & Invoke-Mimikatz:
win2k12增强了hash的保护性,所以我们这样来获取hash值。
提取NTDS
很多时候提取了NTDS 说明渗透要结束了,下面我介绍一下访问本地shell或通过wmi来执行命令的方法。
Volume Shadow Copy (Classic-Mode):
把文件拖到攻击者的机器里面有很多方法,我介绍一种,可以简单的使用Impacket’s SecretsDump本地解压传输内容。
注意下NTDS可能会包含很多用户,甚至上千,是非常大的,导出的时候要小心。
Socks Proxy & Impacket (SecretsDump) (Easy-Mode):
如果我们有socks代理,则很容易的使用明文密码来执行SecretsDump 。
资源
Active Directory Security (@PyroTek3) – hereharmj0y (@harmj0y) – hereExploit-Monday (@mattifestation) – herePowerView – herePowerSploit – hereImpacket – hereImpacket compiled by maaaaz – hereMimikatz – hereIncognito – hereWindows Credentials Editor – hereSysinternals Suite – here*原文:fuzzysecurity Mottoin翻译发布
原创文章,作者:Moto,转载:http://www.mottoin.com/article/89413.html
电脑
相关阅读
-
-
bios中文设置u盘启动-(bios中文怎么设置u盘启动)
(bios中文怎么设置u盘启动)BIOS是英文"BasicInputOutputSystem"的缩略词,直译过来后中文名称就是"基本输入输出系统"。在IBMPC兼容系统上,是一种业界标准的固件接口。[1]BIOS这个字眼是在1975年第一次由CP/M操作系...
2022-12-31
-
-
win10开机自动进去admi-(win10开机自动进去bios)
(win10开机自动进去bios)环境拓扑我们的目的是获取redhook.DA域的一个可用的账户,当前攻击者已在公司网络内,但并未在同一个子网。CompromisingClient1假设我们已经获取到了Client1的登陆凭据,如果网络足够大,你可以发现存储在某处网络共享上...
2022-12-31
-
-
u盘分区在手机隐藏-(u盘分区在手机隐藏了)
(u盘分区在手机隐藏了)开篇碎碎念各位朋友们,你们好,我做为一个垃圾佬,就是喜欢瞎折腾,今天不变,又是来瞎搞,要玩的是爱快路由系统,相信玩软路由的朋友对爱快肯定也不陌生,同样是一款免费的路由系统~之所以想玩爱快系统是因为有不少小伙伴私信问我,家中的孩子总是沉迷于某应用无法自拔怎么办,例如一些视频应用,影响了学习之类的~你们是不是也有刷短视频刷到停不下来?又或者是想屏蔽某些不良网站,例...
2022-12-31
-
-
大白菜32位怎么装win10-(大白菜如何装win10)
(大白菜如何装win10)首先需要下载系电脑统文件让你飞一般就下载好了要用电脑下载,下载后找到这4个压缩文件,全部选中减压成一个文件减压成功后就这些文件电脑然后找一个大于8g的u盘插上刚下载好文件的电脑上,然后复制刚...
2022-12-31
-
-
u盘怎么看插没插-(u盘怎么看插没插电脑)
(u盘怎么看插没插电脑)有很多朋友在工作学习当中常常会碰到U盘插上电脑没反映的问题,或者能听到电脑插入设备的提示音,但是打开计算机却没有我们的U盘设备。U盘是usb(universalserialbus)盘的简称,我们国人也称优盘。U盘是闪存盘的一种,它与硬盘最大的不同是,它不需要物理驱动...
2022-12-31
191路由网 - 192.168.1.1,192.168.0.1无线路由器设置教程
版权声明:本站的文章和图片来自互联网收集,仅做分享之用如有侵权请联系站长,我们将在24小时内删除