踩了无数个坑,文章的逻辑会很混乱 后面重新整理后会再写一篇去坑版
dc:win2008server 仅主机模式域内机:win7(双网卡) 与域控机连接的网卡是仅主机模式,与物理机连接的是桥接模式要求三台机子能互相ping通流程:webshell - > 主机shell -> 上传cs的马到win7 保持权限 -> 拿到域控win2008server信息 ->利用漏洞拿下域控物理机配置情况: win7配置情况: win2008server配置情况: 配置完毕 域搭建完毕
win7上搭建phpstudy,连接蚁剑(蚁剑在物理机上)https://blog.csdn.net/m0_64417923/article/details/124850339首先将win7上的phpstudy打开(否则连不上哦) 然后打开根目录: 2.php为测试,1.php为一句话木马 由于主机和虚拟机能ping通,因此可以通过主机访问虚拟机中的一句话木马: 能连通,接下来物理机打开蚁剑进行连接: 进入虚拟终端 打开冰蝎 将该shell上传到蚁剑,重命名一下: 测试是否上传成功 然后打开冰蝎,新增这条url 冰蝎巨卡无比,考虑是java版本问题https://www.bilibili.com/video/BV1Vh411X7oY/?spm_id_from=333.337.search-card.all.click&vd_source=b1952482f9648da71f0288af69cc3cd6 发现还是没用生成一个cs马,通过冰蝎上传cs使用linux作为服务器来启动teamserver,linux使用桥接模式 teamserver 服务器ip 密码
有的时候会报这个错 莫名其妙就是排查不出来,解决办法:使用vps启动cs最后发现这个问题是由于kali自动分配ip分配成了跟win7一模一样的ip 导致报错 物理机打开cs,生成一个cs马: 将这个马通过蚁剑上传到win7上去: 然后右键interact,依次输入命令:checkin和sleep 1 右键-access-elevate提权: cs4.5有些功能没有,切换4.8https://blog.csdn.net/Sgirll/article/details/131865632 生成一个病毒之后上传到win7上,并执行上线执行命令checkin、sleep 0、process_browser,将病毒注入一个进程 注入一个x86程序,选择http模式: elevate提权到管理员权限 提权成功 cs添加插件教程:www.360doc.com/content/23/0301/06/77981587_1069910356.shtml system权限后,很多文件夹都能看了 如果死活注不进去考虑切换成phpstudy2016实战中最好sleep 30 实验环境可以sleep 0 这里提权到system失败了,卡了三天,换了cs4.4、4.5、4.8甚至换了插件,然后开始思考,为什么提权到administrator失败,登陆的时候好像只有chey一个用户,所以可能是administrator被锁定了,在计算机管理中取消账户禁用这个选项的时候会报一个神奇的错误: 在枯燥的查资料中发现管理员运行cmd输入以下命令给administrator设置一个密码后重启还是不可以解决这个问题: 卡了好几天之后发现是我用户不够,应该先登陆win7的普通用户,从普通用户到域普通用户,然后提权到域管理员用户登录到win2008域控机中,添加一个域控普通用户:net user zhangsan Qwer123 /add然后回到win7中,让他上线: 找一个x86进程注入,让病毒更稳定: 先退出域: 然后管理员运行cmd,运行命令net user 用户名 密码 /addnet user查看当前用户有哪些接下来再次加入域: 使用提权还是遇到这个报错 另辟蹊径,先使用access-elevate-uactoken-duplication提权到管理员,然后使用access-elevate-avcexe提权到system权限但是不稳定,做phd权限维持,首先将hashdump一下 然后system上右键-spawn一下,然后 右键-JUMP-psexec- 生成两个稳定的system* 然后登录到win7上的zhangsan账户,用管理员模式启动cmd查看进程列表process-list steal_token窃取token(能做到这步真不容易TAT) 查看别名:
此时拿到了hash就能飘到win7上
shell dir \WIN-FNCRU1L0SB9.test.locall\c$hashdump 导的是当前机器的hash 现在的身份是>shell whoami(域管)实战思路:现在做个代理在system*上右键-pivoting-sockets server
代理起来后打开kali,进行代理配置 这里的ip是启动teamserver的机子的ip: 测试代理是否成功:查看自己的80端口是否开启ip改成127.0.0.1能成功 183.201是win7上的第二个网卡 代理能通说明第一层打通了 接下来做二层代理输入GET /查看根目录内容 在win7中添加一个域用户,接下来在kali中找到impact文件夹 然后回到kali,继续做代理,这里的dxy是通过cs在win7上添加的,ip是windows2008域控机 这个报错大概率是因为没有先使用neo将流量代理出来使用neoreg+proxychains在kali上做反向代理,通过win7这台机器打出来neoreg使用命令:
python .\neoreg.py generate
-
k
123qweASD
(生成一个密码为
的马)
python .\neoreg.py
u http:
/
192.168
.
2.195
neo1.php
p
7777
(做一个端口流量代理)
10.10
10.4
neo2.php
扫描win7上另一个网段存活主机,探测出10.10.10.4网段存活修改代理/etc/proxychains4.conf 使用msf攻击10.4网段上的永恒之蓝漏洞/etc/proxychains4.conf: windows上使用neoreg+proxyfile做正向代理: 将10.10.10.*网段的流量都做正向代理:
使用中转让DC上线 本地文件上传 落地的文件 将zzDemo.exe上传到DC域机器上面 找到exe以后运行 域控机器上线
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
G0k1ng 还得是我素质姐,阳弟深受感悟