http://www.2cto.com/Article/201407/321497.html
一 、域環境搭建 + 認識域 + 實驗環境
1.前言: 一直想搞內網域***,可惜沒有遇上好的域環境。看着別人發了多篇域***的文章。心裏癢癢的 = = 於是乎自己搭建了環境來測試……[這就是屌絲和高富帥的差距啊
從搭建慢慢去學習什麼是域。然後再去學習如何域***
2.搭建dns+域服務器
各種google和百度以後。終於搭建好域環境 = = 尼瑪 居然搭建了許久 - -
最終自己在nat環境搭建上了域環境。域控win2008[192.168.233.145 dns.wilson.com]。加上一個win2003的web服務器[192.168.233.130 www.wilson.com ]
要搭建域服務器 要先給搭建dns服務器,在活動目錄安裝。然後纔能有域環境。給自己域叫wilson.com[笑~~]
搭建好與環境以後。我們去看看域服務器win2008的用戶和組發生什麼變化吧:
我們發現他給我們加上許多用戶組。這些組的作用 在圖也給說明很清楚了。
重要的是Domain Admin 和Enterprise Admins的介紹。就是域管理員組和企業系統管理員。有着至高無上的權限……. = =
這時候我們看見域服務器的administrator用戶已經給默認拉到Domain Admin和Enterprise Admins這用戶組中。
可以看到administrator以後就可以對這個域下面的服務器進行統一的管理了。這讓管理員的管理變得很方便了….
但是方便同時也是帶來了安全問題…..
3.測試環境
再讓kali[10.170.10.157 ]橋接到和宿主機[10.170.38.141]到同個局域網。並且爲了儘量去模擬真實環境。將win2003進行80端口映射,映射到宿主機[10.170.38.141:8080]。
下面是環境圖:
=========================================割================================================
二、測試過程
好 我們先假設 對前面的環境全未知[呵呵 裝一下吧 。從web服務器開始
1.webshell提權
首先得到是10.170.38.141:8080的一個webshell.經過mysql root的提權後。我準備用msf進入這個內網。
2.web服務器信息收集
然後我們收集服務器的信息,並且穩定好自己的權限~~~
轉移到一個不易被殺的進程winlogon.exe
居然提示權限問題 不科學啊 我是root提權應該是system纔對撒 - -
不管了 getsystem提到高權限
Ok 好了
然後收集一些網絡情況,hash/明文密碼什麼的
IP:
恩 內網192.168.233.0/24 沒錯 ok 爲了進內網 我先加一個路由表吧
然後我們抓下hash 和明文:
Administrator是add3開頭的 說明不能破解了 但是可以hash傳遞勒。
不過要是管理員在線或者沒有註銷。我們可以抓取明文的
密碼是 qawsed123!@#
[打碼那個是我之前win2003的密碼。。 - - 我改了 但是還是被抓到了
3.收集域環境信息+找到域控
我想msf的端口轉發功能 來轉發一下 然後登入對方的遠程桌面看看吧。
Ok 我們收集一下域的信息
1.ipconfig /all
看見域的名稱叫做wilson.com - -呵呵 見笑了 2.net view
看看當前域下有幾個機子 這裏我就只有兩個機子
[沒辦法 只有這幾臺測試機子
net view /domain 看自己的有幾個域
要是處於多個域 那***就比較蛋疼了 - -
[注:1是自己的工作組 我改了名字 嘿嘿 一般net view 會有解釋的。而且不是像這樣子 只有這幾個機子的
比如:
\\dns dnsserver
\\sqldata sqlserver
。。。。。。。
。。。。。。
這樣我們可以去找自己想要搞的機子。
比如dns[因爲dns一般就是域控了]
還有要是備註爲servidor master ad[應該域控了。。。。
或者你要數據庫 就可以直接去看看sqldata 有沒有漏洞什麼的
找ip 分析網絡結構
接下來一個一個ping
找ip 看網絡的分佈
嘿嘿 一兩個比較簡單 但是多了就蛋疼了 = =
有人寫了腳本 直接用吧
網絡結構比較簡單 – - only兩個機子
4.用戶和組信息
net user
net user /domain 出錯了 – - [這是可以看到域的所有成員
net group “domain admins” /domain —— 查詢域管理員用戶組
兩個域控管理員
要是你還想獲取某用戶的詳細信息的話,可以使用 net user 域用戶 /domain 命令獲取。
但是這兩個命令有時候執行會有錯誤的
域控在哪裏?
我們可以在net view的解釋可以發現 要是備註爲servidor master ad 那它是域控可能性是很大的。。
由於dns一般就是域控。我們可以通過這個來找域控
那麼找dns比較容易了 ipconfig /all 就有了
192.168.233.145 [DNS+域控
還可以nslookup來找等等。。。。
4.搞定域控
可以看看這個 http://drops.wooyun.org/tips/646
1.溢出
ms08_067
要是局域網裏面有xp/2k的那這個成功率比較高
但是我的域控是 2008 的 = =
暫且不測試
DNS溢出
DNS 服務器可能就是域控 so…
手中沒有溢出 作罷
弱口令+已經控制的服務器口令
將抓下的明文+一些常用弱口令。去掃把。
如果局域有數據庫服務器 可以嘗試去搞定它。然後收集一下常用口令在加到字典庫跑。那麼這個成功率會大大提升
嘿 由於2008默認安全口令策略 口令強度比較強 這個掃描就算吧 3.鍵盤記錄+3389登入記錄
這個記錄了 在線管理員的 鍵盤記錄~
可以用msf的試試
最後將msf的進程轉移到explorer.exe .這樣可以正常鍵盤記錄了
不轉移可能有一些莫名情況
記錄3389登入可以用Winlogon試試
或者gina等等
看到密碼了 – - 呵呵
4.假冒令牌
Msf***指南書是這麼說的:在假冒***中 我們將盜取目標系統的一個Kerberos令牌,將其用在身份認證中。來假冒當初建立這個令牌的用戶。
假冒令牌是meterpreter的強大功能之一。對***非常有幫助
那麼我們就在這win2003的後門裏執行看看[注:爲了用域管理員的令牌。我預先用域管理員登入了一下遠程桌面
加載了incongnito模塊以後 我們用list_token -u 命令來列出令牌
看到wilson\administrator 這個域管理員賬號 測試去盜取一下
命令有幾個敲錯了 但是最終成功盜取了 而且將test加入了域管理員 。
1.Impersonate_token wilson\\administrator 盜取wilson\\administrato令牌 [要多加一個斜槓
2.Add_user 用戶名 密碼 -h IP \\win2008 有口令安全安全機制 口令複雜一些就可以了
3.add_group_user “Domain Admins” 用戶 -h IP 是將其加到域管理員中
這一步部分 可以看看msf***指南 我也是看着書學的
出現去2008看看test有沒有加入成功 – -
Ok 沒有問題 這樣就搞定域控了~ 嘿嘿
5.嗅探
用cain.exe 吧 這個嗅探神器 = =
補充一個tip cain.exe 有一個老闆鍵哦 我也是剛剛發現 – -
alt+del是隱藏,alt+pgdwn是最小化, alt+pgup是顯示軟件
。。。。。。。。
還有的別的辦法。。。。 學習中。。。
5.搞定域控後
批量中馬 – - 這個沒有搞過。。。
一般的好人搞定了域控就收手了。。大家只是玩玩而已。不要太壞了
三、總結
終於到了 總結時刻~~~
本次測試自己盡力去 模擬一個真實的***環境 但是還是有居多缺陷問題。。與真實的環境還是有很大區別。
比如一些命令測試會有錯誤。
又比如殺軟 防火牆等等蛋疼的事情
而且全過程感覺有點自娛自樂 – - 呵呵
但是自己已經把能想到東西都寫上了 = = 希望你看了有收穫吧
有錯 歡迎指出