渗透测试之地基内网篇:域森林中权限维持(上) – 作者:dayuxiyou

系列文章

专辑:渗透测试之地基篇

简介

渗透测试-地基篇

该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。

请注意

本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。

名言:

你对这行的兴趣,决定你在这行的成就!

一、前言

渗透测试人员需谨记《网络安全法》,根据《网络安全法》所示,未经授权的渗透测试都是不合法的,不管是出于何种目的。红队渗透人员在进行渗透期间,渗透测试的行为和项目必须在被渗透方授予权限可渗透后,才可进行渗透测试操作。

如今有一家dayu公司,需要对自己的业务以及整体的内网框架体系进行隐患挖掘,授予权限我进行对dayu公司的渗透测试操作,在签署了双方的《渗透测试授权书》后,我开始了对dayu公司的渗透之旅。

跳开思维讲,我此篇内容是内网渗透篇章,通过我的专栏:

社工钓鱼 -> 免杀过全杀软 -> 内网渗透 

那么我通过了社工钓鱼的各种方式,将钓鱼文件进行免杀后,成功钓鱼到了该公司外围人员计算机,并控制了该计算机权限获得shell,并成功登录对方电脑。

通过前期对域用户大量的信息收集,画出了相对应的简单网络拓扑图,下一步需要进攻子域控制器,思路如下:

域普通用户 -> 子域控制器 -> 父域控制器 -> 辅域控制器 -> 财务独立域

通过该思路进攻即可,还有另外一条思路:

域普通用户 -> 10.10.21.0/24二级区域 -> 父子域控制器 -> 横向延伸(财务独立域10.10.21.0/24)

渗透人员最爱系统之一有kali,还有各类windows集成的武器库系统,通过前几期的域森林专辑文章中利用隐藏通道技术、权限提升、横向攻击、域控安全技术、跨域攻击、置零攻击等手段对公司进行了大面积渗透行为,今天我们就来对域森林中如何进行权限维持进行攻击,总结实战中会遇到的各种权限维持的方法,利用这些方法在内网中遨游!

不会权限维持的技术,就无法长久的控制系统进行维持攻击行为!

二、环境介绍

目前信息收集获得的网络情况:(模拟环境)

拓扑图简介
1624934666_60da890a009ad8926796d.png!small?1624934666324为了更好的演示接下来的渗透和回看总拓扑图公司搭建环境情况:

单篇:渗透测试之地基内网篇:域森林中父子域和辅域用户搭建分析

在通常情况下攻击者成功贡献该服务器系统后,会利用权限维持进行植入后门,后门(backdoor)是一个留在目标主机上的软件,它可以使攻击者随时与目标主机进行连接。在大多数情况下,后门是一个运行在目标主机上的隐藏进程。因为后门可能允许一个普通的授权的用户控制计算机,所以攻击者经常使用后门来控制服务器。

本节将介绍实战中常用的权限维持方法进行攻击渗透!

三、粘滞键后门

粘滞键后门是一种比较常见的持续控制方法。在Windors主机上连续按5次Shift键,就可以调出粘滞键。Windows的粘滞键主要是为无法同时按多个按键的用户设计的,例如,在使用组合健Curl+P时用户需要同时按下Ctrl和P两个键,如果使用粘滞键来实现组合键Ctrl+P的功能,用户只需按一个键。

1、介绍粘滞键

1624934672_60da8910b5a1205f4cc4c.png!small?1624934673641首先在windows环境按五次shift,弹出如图所示界面,就存在粘滞键后门漏洞,那么如何权限维持?开始介绍该原理!

2、粘滞键后门之修改密码篇

重启系统前置关机:

1624934676_60da8914894d2b92d55da.png!small?1624934676830重启系统后…然后在上图“正在启动Windows”界面强制关机,拔掉电源即可….!!!

开机后会出现进入启动启动修复(推荐)选项界面,选择修复:
1624934682_60da891a06fec090c4548.png!small?1624934682707

开机后会出现进入启动启动修复(推荐)选项界面,选择修复:
1624934686_60da891e53894a5b91343.png!small?1624934687523

点查看问题详情:
1624934697_60da892988dca643065e4.png!small?1624934699295

点击erofflps.txt目录:
1624934703_60da892f42afed1e3512d.png!small?1624934705286

1624934718_60da893ea884ad9cfe27b.png!small?1624934721463

1624934726_60da894661512578f7748.png!small?1624934729299

到C盘system32目录下往下翻能看到蓝色的图标名称:sethc:
1624934731_60da894b881a2f7b2177c.png!small?1624934741485

重命名文件改123(名称随意改):
1624934737_60da8951086179d219f5d.png!small?1624934746157

继续往下找到黑色图标:CMD文件,然后进行复制
1624934741_60da89551f512d77a1f1b.png!small?1624934753159

将复制的cmd副本改名
1624934746_60da895ab136e3114ba2b.png!small?1624934759357

改成sethc,然后关掉记事本文件:
1624934751_60da895f04411b20eb88c.png!small?1624934761148

完成重启即可:
1624934754_60da8962c0c938bf07c01.png!small?1624934759357

到用户密码输入界面连续按5次shift即可出现上图,到了这儿下一步我就不教了,希望大家慎重!!
下面我教大家修复的办法:
1624934759_60da8967ca08ed04ba866.png!small?1624934761149大家可看到,到了这步在未输入用户名情况下按shift五次出下的CMD命令框是system权限,那么可以添加用户,修改用户密码,甚至上线一句话等等!带大家了解了粘滞键的最原始利用过程,那么我们接下来将利用Empire来对粘滞键进行powershell一句话植入操作进行权限维持!

3、Empire进行粘滞键维持

1)Docker环境安装

前提是需要安装docker:直接按照以下命令即可安装完成docker

apt install docker-ce

1624934771_60da89731e57a2fdc0882.png!small?1624934781842

2)Empire环境安装

Empire一款只针对win系统的后渗透神器,该工具是基于Poweshell脚本的攻击框架主要实现对内网、对域的攻击,提权横向移动等等!

个人感觉和CS、msf使用方法相同,开个监听器生成payload让主机运行并上线,然后进入主机控制台进行操作主机!

docker run -it --rm  --network=host bcsecurity/empire

来源:freebuf.com 2021-06-29 10:43:40 by: dayuxiyou

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享