攻防环境之域渗透

注意：本文章图片较多，请在WIFI环境下浏览文章。

本文全部工具网上都能下到（github）

由于下面三个部分都需要用到域，环境搭建起来有点复杂，涉及到的知识点多，而且失败了很多次，所以也就记录下来了。

本文只是域渗透基础，用的都是常规手段，所以没有涉及绕过防火墙以及杀软。

这是参照拓扑图

所需要了解的知识点（自己谷歌学习）

• 子网划分与子网掩码

• NAT模式

• DHCP服务器

• DNS服务器

• 域和域之间的关系

• 域和林的区别

• 域控常规操作

• 计算机与域

• 将要搭建的环境拓扑图，以及进攻路线（对域环境熟悉的可跳过这部分）

域控：win2008

域成员：win2003、win2012

首先在win2008配置域控，运行：dcpromo

下一步到

命名

林功能级别：我调到最大

需要安装DNS服务器，选是，一路是

下一步一直到安装并重启

改一波主机名，方便识别

配置下IP

可以上网

能ping通2个域成员（这一步需要添加完域成员再测试）

将win2003加入域，配置IP，因为要求2003要能上网，所以就让它自动获取

改个名，然后加入域

可上网，可ping通域控

也可ping通另一个域成员

将win2012加入域，配置IP，这里要注意两点

• 不可上网：默认网关不能填

• 能和其他域成员通信：相同网段

改名，加域

不可上网，可ping通域控

可ping通其他域成员

来检查下域成员

chuanxiao域环境搞定

和2008大同小异，添加角色和功能

域服务

一路下一步到安装完毕，开始配置

切换域管理账号添加子域

一路安装到重启

win7配置IP

改名并加入segregation子域，注意域名的填写

先检查是否能上网：不能

再检查是否能ping通子域控：能

最后检查是否能ping通非子域段的成员：不能（以主域控为例）

大功告成，喜极而泣

先来操作一些常规手段

首先，如果不创建一个新的组策略或者进行相应配置，是没有那些个XML文件的

打开组策略管理，创建一个GPO，起个名：chuanxiao

设置 -> 右键 -> 编辑

本地用户和组 -> 右键 -> 新建 -> 本地用户

如图配置好

回到最初的文件夹，多出了一个

点进去，会看到和其他两个不同的是，有一个新的Goup Policy文件夹

进到user文件夹，一路点下去，就能看到我们的目标Goups.xml了

打开，成功找到cpassword：vzJGjUknHacpyDTYoGSnsDrMV+hiJ1umoeXb/J+aVZs

parrot解密一波

搞定，下一个

搞之前来个快照，以免给下面几个实验造成影响

拿SID：S-1-5-21-3768270215-1557359955-1468639445-500

下面有2种方法，亲测都OK

第一种：python的exp，不过我这里 -d 参数后面加的是IP，要不然会出问题

第二种：metasploit，先找模块再生成文件

两种方法的设置都大同小异，用python生成的文件在win2012（win2008主域内）继续操作

搞定，下一个

恢复一下快照

不知道什么原因一直报错

试了N多办法，查了N多资料还是没搞定，只能迂回解决，dump出所有user，目标krbtgt就在里面

记录下sid和NTLM

sid: S-1-5-21-3768270215-1557359955-1468639445

NTLM: a93576ad393e1247ad4e7155060bdac2

利用

验证

和上面一样，没输入账号密码，搞定，下一个

恢复一下快照，写之前，比较一下两种票据的区别

访问权限不同：

Golden Ticket：伪造TGT，可以获取任何Kerberos服务权限

Silver Ticket：伪造TGS，只能访问指定的服务

加密方式不同：

Golden Ticket由Kerberos的Hash加密

Silver Ticket由服务账号（通常为计算机账户）Hash加密

认证流程不同：

Golden Ticket的利用过程需要访问域控，而Silver Ticket不需要

导出登陆过这台计算机的域控账号信息

记录下主域控的SID和NTLM

SID: S-1-5-21-3768270215-1557359955-1468639445

NTLM: 5e7a0d02674521d8d335bfc0eff7107e

先清除下票据，不过我们已经恢复了快照。。直接利用

验证

搞定

这次实验用主要用metasploit解决，当然Empire也是可以的。

首先，我们的起点是一台win2003，把它作为内网渗透的突破口

加载kiwi模块（其实就是mimikatz）

失败，我们现在只是administrator权限

因为是win2003，可以getsystem直接提权到system

creds_all，看到域管理员账号，而且抓到明文密码（域管必须登陆过这台计算机才能有明文密码）

通过查询服务器时间查看域控计算机名

域名：chuanxiao.com，域控计算机名：WIN-2008-DC，反查域控IP

域控IP：192.168.0.25，下面又有很多方法弹回域控的shell，纠结了很久，传一个wmiexec.vbs上去弹吧

因为是域控，可以用dsquery查询域内计算机

发现win-2012主机，反查ip

不过就这么放过域控有点可惜，就用web_delivery弹一个meterpreter回来

先生成一个powershell代码

回到那个WIN-2008-DC的那个普通shell那里执行这段powershell

成功拿到，不过要等一会，而且看网速，总之还有很多办法。。。

老样子提权加载kiwi

看了看没什么有价值信息，不废话，直接老办法跳到win2012去

出问题了，删了wmi.dll依然没用，上传个psexec上去弹，依然失败

既然没用，那就先在win2008弹个远程桌面，用EarthWorm转发下端口

这次用本机监听

用meterpreter操纵传上去的EarthWorm转发端口

本机成功接收

远程桌面本机的1080，并登录

完美

继续用psexec弹shell

果然成功了，看来普通shell还是有点限制的

用老办法，生成一段payload，在192.168.0.166执行，这次换regsvr32

从meterpreter转为普通shell，查看域名和域成员

发现新成员WIN-7，因为一台计算机不能加多个域，所以segregation为子域，查询域控

WIN-2012为域控，完整域名为segregation.chuanxiao.com，反查win7的IP

由于这台win7没打过补丁，永恒之蓝搞一波，退回meterpreter，添加下路由

退回msfconsole，杀掉其他shell

查找永恒之蓝模块，因为已经知道win7有这个漏洞就不扫了，直接攻击

我家网差，打了好多次都没打进去。。。

截个失败的图，至少可以看出正在攻击192.168.66.66（上面添加路由的步骤成功），最后连shell都崩溃了。。。

没办法，还是远程桌面吧，用EarthWorm连到192.168.0.166，再从里面直连192.168.66.66

先拿密码

登录192.168.0.166，再连192.168.66.66

管理员账号登上去啥都没有，而且目标报表放在普通用户的桌面上，莫慌

拉进192.168.0.166的共享里

退出远程桌面，查看

目标一搞定

下面拿卷影

拿卷影要登录该计算机的账户，如果用子域控WIN2012来操作会报错

上传mimikatz抓取明文密码

切到本地账户导出log

切回win2012的c盘查看

生成ntds.dit

修复卷影

用ditsnap打开

一切正常，全部搞定。

此章完

TO BE CONTINUED... ... ...

“IT同路人”微信公众号

投稿邮箱：[email protected]

推荐阅读：

社会工程学科普-熊猫云搜
xx贴吧工具箱【隐藏发贴查看】
百度贴吧隐藏帖子，一键查询【熊猫云搜】
B站评论查询，人物画像，大数据溯源【熊猫云搜】
【全网独家】熊猫云搜、贴吧、网易云、B站评论、微博搜索
B站直播间，弹幕查询，人物画像，大数据溯源【熊猫云搜】
B站弹幕查询，人物画像，大数据溯源【熊猫云搜】
查B站弹幕发送者，根据视频链接，查询加密mid转换，人物画像，大数据溯源【熊猫云搜】
哔哩哔哩高清视频解析下载，视频所有弹幕解析【B站视频解析】
一个访问网址就能偷拍你的网站照妖镜教程及源码