渗透测试之地基内网篇：域森林中横向移动（中）

渗透测试之地基内网篇：域森林中横向移动（中） – 作者:dayuxiyou

系列文章

专辑：渗透测试之地基篇

简介

渗透测试-地基篇

该篇章目的是重新牢固地基，加强每日训练操作的笔记，在记录地基笔记中会有很多跳跃性思维的操作和方式方法，望大家能共同加油学到东西。

请注意：

本文仅用于技术讨论与研究，对于所有笔记中复现的这些终端或者服务器，都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，本站及作者概不负责。

名言：

你对这行的兴趣，决定你在这行的成就！

一、前言

渗透测试人员需谨记《网络安全法》，根据《网络安全法》所示，未经授权的渗透测试都是不合法的，不管是出于何种目的。红队渗透人员在进行渗透期间，渗透测试的行为和项目必须在被渗透方授予权限可渗透后，才可进行渗透测试操作。

如今有一家dayu公司，需要对自己的业务以及整体的内网框架体系进行隐患挖掘，授予权限我进行对dayu公司的渗透测试操作，在签署了双方的《渗透测试授权书》后，我开始了对dayu公司的渗透之旅。

跳开思维讲，我此篇内容是内网渗透篇章，通过我的专栏：

社工钓鱼 -> 免杀过全杀软 -> 内网渗透

那么我通过了社工钓鱼的各种方式，将钓鱼文件进行免杀后，成功钓鱼到了该公司外围人员计算机，并控制了该计算机权限获得shell，并成功登录对方电脑。

通过前期对域用户大量的信息收集，画出了相对应的简单网络拓扑图，下一步需要进攻子域控制器，思路如下：

域普通用户 -> 子域控制器 -> 父域控制器 ->辅域控制器

通过该思路进攻即可，还有另外一条思路：

域普通用户 -> 10.10.21.0/24二级区域 -> 父子域控制器 -> 横向延伸

渗透人员最爱系统之一有kali，还有各类windows集成的武器库系统，通过上期隐藏通信隧道技术已经在内网域森林中建立了一级隧道，并在上期权限提升中将普通用户权限提升为system最高权限后，今天我们就来对域森林进行横向移动，总结实战中会遇到的横向移动各种方法，利用这些方法在内网中遨游！

不会内网横向移动技术，就无法对内网机器进行进一步的渗透！！

二、环境介绍

目前信息收集获得的网络情况：（模拟环境）
拓扑图简介
1619426440_60867c88e65a7a3d13409.png!small?1619426442036

为了更好的演示接下来的渗透和回看总拓扑图公司搭建环境情况：

单篇：渗透测试之地基内网篇：域森林中父子域和辅域用户搭建分析

接下来将演示分析内网中的横向移动各种方法，利用该方法在域森林中旅行！

三、Mimikatz枚举NTLM hash

通过横向移动上期讲述后，对NTLM hash有了一定的了解认识，接下来将利用Mimikatz进行哈希枚举！Mimikatz如何免杀的请查看：
单篇：渗透测试之地基免杀篇：mimikatz底层分析免杀过360

mimikatz是由法国的技术高手Benjamin Delpy使用C语言编写的一款轻量级系统调试工具。该工具可以从你内存中提取明文密码、散列值、PIN和Kerberos票据。mimikatz也可以执行哈希传递、票据传递或者构建黄金票据（Golden Ticket）。

接下来讲到实战中常用的方法和技巧！

1、通过SAM和System文件抓取密码

无工具导出SAM文件：
1619426447_60867c8fe216c15746570.png!small?1619426448334

reg save hklm\sam sam.hive    #通过reg的save选项将注册表中的SAM,System文件导出到本地磁盘
reg save hklm\system system.hive

通过reg的save选项将注册表中的SAM、System文件导出到本地磁盘。

2、通过读取SAM和System文件获取NTML Hash

通过windows自带reg命令导出的sam.hive和system.hive文件，在利用mimikatz读取该文件中的哈希密码：
1619426455_60867c97e96a2a6198ef7.png!small?1619426457174

lsadump::sam /sam:sam.hive /system:system.hive    #文件和mimikatz放在同一目录

成功获得哈希密码！

3、Mimikatz读取SAM

1）方法1
Mimikatz也可以直接读取SAM值进行获取哈希！

1619426466_60867ca238d655b2c033f.png!small?1619426467936
将mimikatz免杀处理后上传至目标机器，在命令行中打开：

mimikatz
privilege::debug    #提升权限
token::elevate    #system权限
lsadump::sam    #读取本地SAM文件，获取NTML Hash

成功获得哈希！

2）方法2
1619426477_60867cadb6b14a1e8e5fa.png!small?1619426481611

mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords"    #在线读取散列值及明文密码

执行后桌面生成文本保存信息！该两种方法都是非常实用的！

四、实战哈希获取技巧总结

1、lsass.dmp读取

使用mimikatz离线读取lsass.dmp文件！

1）导出lsass.dmp文件
使用任务管理器导出lsass.dmp文件。

在Windows NT6中，可以在任务管理器中直接进行Dump操作：
1619426489_60867cb9c97e3485d7801.png!small?1619426491763
1619426495_60867cbf255f2cb756759.png!small?1619426495671
1619426500_60867cc4a89342e699efb.png!small?1619426509306
成功在线导出！

2）使用Procdump导出lsass.dmp文件

Procdump是微软官方发布的工具，可以在命令行下将目标lsass文件导出，且杀毒软件不会拦截。
1619426507_60867ccb7543117e1837d.png!small?1619426509307

procdump.exe -accepteula -ma lsass.exe lsass.dmp

成功导出！

3）使用mimikatz导出lsass.dmp文件中的密码散列值
首先运行mimikatz,将lsass.dmp文件加载到mimikatz： 1619426514_60867cd21cba23d401b17.png!small?1619426516086

sekurlsa::minidump lsass.DMP    #看到Switch to MI

来源：freebuf.com 2021-04-20 23:47:56 by: dayuxiyou

文章版权归作者所有，未经允许请勿转载。

THE END

安全网站文章

喜欢就支持一下吧