域渗透命令,windows域渗透工具

本文目录一览：

• 1、用Powershell框架Empire进行内网域渗透(一)
• 2、域渗透系列--GPP漏洞
• 3、域渗透系列---Exchange邮服渗透tips（不涉及一键RCE）
• 4、【远控使用】Cobalt Strike横向渗透域控

用Powershell框架Empire进行内网域渗透(一)

自从powershell在windows开始预装之后windows域渗透工具，就成为Windows内网渗透的好帮手，好处多多：天生免杀、无文件落地、 无日志(雾) 。

于是老外开发了 empire 框架，毕竟 cobalt strike 要收费的不是？

功能模块丰富，老外把内网[域]渗透中能用到的都整合进去了：内网探测，提权，凭据获取，横向移动，权限维持。模块那么多，不懂就 searchmodule 或者[tab]两下。

基于 debian 系的，如kali或者ubuntu都可以安装。

git clone

在执行安装脚本之前，建议修改软件源和 pip 源，避免因为网络问题安装失败。

sudo ./setup/install.sh

安装好后执行 ./empire 后就可以用了。

先查看可用的 Listener 有哪些？[tab]两下就出来了所有可用的。

通过 info 查看指定模块的配置信息

这里还是先使用http的监听,通过 set Port 8080 修改监听的端口， 2.x版必须同时设置 Host ，然后 execute 启动监听。

通过list命令查看正在运行的监听

可以通过usestager来生成文件，引诱对方运行，可以看到支持linux、Windows、osx。

这里windows域渗透工具我们选用launcher_bat，通过 info 查看可以配置的参数。

这里需要注意的是Listener的Name，必须跟前面启用的Listener的一致。

生成的文件内容是这样子的

其中那么一大段的powershell命令，跟 (Empire: listeners) launcher powershell test 的执行结果是一样的。这里先不关心怎么让其在别的机子上运行，那是另外的技术活。

用win7的cmd执行了那一串命令后，进程中可以看到有powershell.exe

执行 agents 命令查看回连的机子，然后 interact BNR1T9ZC 来与之进行交互。

通过 help 命令可以查看到在agent上可以执行很多命令。这里挑些重要的讲。

bypassuac ，顾名思义就是绕过uac的。除非windows域渗透工具你是本机的administrator，否则普通管理员都需要右键某个程序，然后选择 run as administrator 才能运行，这都是uac作的怪。

因为这里是用普通域用户权限执行的，连本机的普通管理员都不算，所以失败了。

sc，屏幕截图命令,可以通过这个了解机子上的人正在做什么。

我们看看usemodule还有哪些可用的模块？（有些模块需要对应权限才能成功运行）

输入 help agentcmds 可以看到可供使用的常用命令

执行 ipconfig 查看网卡信息（如果不在help列表中，那么会自动执行远程主机上的可用命令）

可以看到dns的ip是1.1.1.10，既是域控的ip

当你获得一个会话之后，又想要派生更多会话，怎么办？

使用 invoke_shellcode 来注入 meterpreter 的shellcode

metasploit先要设置一个 listener

然后empire执行

成功获取meterpreter会话（才怪， empire2.5 版本）

在session1建立到1.1.1.0/24网段的路由跳转

run autoroute -s 1.1.1.0/24

通过sesesion1打通网段后，可以看到域控服务器1.1.1.10开放的端口

使用ms17010成功获取meterpreter会话。

至此，域控拿下，可以开始漫游内网。（还是得靠metasploit，单一个empire做的事情很有限）

获取域管理员的明文凭据

用后渗透模块 credential_collector 收集可用的凭据

empire 可以直接使用 mimikatz 来获取凭据。 注意，此时客户端上powershell进程占用的cpu可达90%，会引起卡顿

creds 查看获取的凭据

利用pth来传递hash，用这个hash创建一个新的进程，可以看到新的进程id是3032

然后 credentials/tokens 查看不同用户的进程id

对指定进程steal_token之后，再去与agent交互就是域用户user的权限了。

用revtoself再切换回原来的权限（普通域用户权限太低做不了什么）

到这里尝试了好几个 situational_awareness/network/powerview 的模块返回的都是空结果，看来是需要域管理员才能执行成功。

碰巧域管理员也登陆这台机子，那么就能用他的权限做很多事情了。

也可以使用 usemodule management/psinject 进行切换，设置好ProcessId即可

现在我们又获得了一次域管理员权限，可以开始横向移动了。

先内网探测下可用的机子有哪些，使用了 situational_awareness 中的三个模块：

find_localadmin_access user_hunter get_domain_controller

又一次可以确定1.1.1.10就是域控所在了。用 lateral_movement/invoke_psexec 移动到域控服务器上面。

终于又回到了域控服务器，接下来要考虑的是如何导出域控上面的所有hash，并且维持权限。

域渗透系列--GPP漏洞

SYSVOL 是 Active Directory 中的域范围共享，所有经过身份验证的用户都具有读取权限。 SYSVOL 包含登录脚本、组策略数据和其他需要在有域控制器的任何地方可用的域范围数据（因为 SYSVOL 在所有域控制器之间自动同步和共享）。所有域组策略都存储在这里：\\DOMAIN\SYSVOLDOMAIN\Policies\

组策略首选项是一组组策略客户端扩展，可向运行 Microsoft Windows 桌面和服务器操作系统的加入域的计算机提供首选项设置。首选项设置是部署到桌面和服务器的管理配置选项。首选项设置与策略设置不同，因为用户可以选择更改管理配置。

自动化获取GPP文件的脚本：

解码脚本：

域渗透系列---Exchange邮服渗透tips（不涉及一键RCE）

nmap扫描域内端口，一般提供邮件服务的默认是25号端口，可以快速定位exchange服务器地址

setspn -T example.domain.com -F -Q */* | findstr exchange

利用工具

1.Autodiscover接口

Exchange Autodiscover服务提供了一个简洁的方式使用户只需要输入邮箱地址和密码即可完成认证过程。

Autodiscover三个阶段:

1.生成自动发现服务器列表。

2.尝试对列表的每个服务器进行请求，直到获取成功的响应。

3.最后一次尝试其他替代方法，例如DNS Query。

访问/Autodiscover/autodiscover，出现如下图片情况证明autodiscover接口存在。

2.PasswordSpray爆破，涉及接口OWA、EWS、ActiveSync接口

**工具地址: **

Import-Module .\MailSniper.ps1 Invoke -PasswordSprayEWS -Exchhostname SRV-MAIL.DOMAIN.COM -UserList .\1.txt -Password ***************** -ExchangeVersion Exchange2013_SP1

`

3.OWA表单提交

通过msf模块auxiliary/scanner/http/owa_ews_login可以穷举密码。

检查密码策略。

4.EWS接口

EWS(Exchange web service)服务是Exchange服务器提供的一些API接口，提供给客户端到服务器端通信的功能。burp抓EWS接口数据包跟Autodiscover相似，认证过程也相同。

5.Microsoft-Server-ActiveSync接口

未找到可用实例

在获取一个域成员账号的情况下，可以通过信息收集扩大攻击面。

利用MailSniper的Get-GlobalAddressList命令向Exchange服务器请求检索全局邮箱地址。

【远控使用】Cobalt Strike横向渗透域控

categories:

tags:

①直接用web传递发现失效windows域渗透工具了，原因是2003居然没有powershell，那就传马，由于cs马传上去无法运行，所以就用msf马监听拿到shell

②接着就将会话转给cs

首先把它派生会话smb，可以绕防火墙

1、查看当前用户组

2、查看域

3、枚举域内主机

4、查看DCwindows域渗透工具的ip

接着windows域渗透工具我发现2003机子太low了，再添加一个2008windows域渗透工具的机子域内机子继续下面的测试，直接web传递，可以直接上线，server2008

5、查看域内成员

6、查看DC域控主机

7、查看域的信任关系

8、导入了powershell的模块powerview.ps1的使用

9、cs的列举域控命令

10、列出共享cs命令

11、判断是否能访问域控机的C盘，所以是域超级管理员

12、查看域内的管理员

13、域内的超级管理员

14、查看域内组中的超级管理员

15、cs中的查看管理员组的信息

16、查看远程的DC的管理员用户

17、powerview模块的命令查看用户

18、单靠命令搜索用户，或者信息收集

19、通过mimikatz抓取主域的NTLM

1、制作token访问域控

就可以访问域控的盘符

2、制作令牌

3、hash认证

需要：用户、域名、域id krbtgt的hash

1、查看当前黄金票据

2、获取域SID

shell whoami/user

3、清除当前票据

1、生成一个服务木马为test.exe

然后上传到windows/users/administrator里面

2、将其复制到域控机内的temp中的命令，然后命名为a1.exe

3、然后创建一个服务为a1

4、接着执行刚刚创建的服务a1

5、接着域控的机子上线CS的system权限

这次会比较简单一些，就是定时执行文件

还是创建一个木马

1、然后保存为a2.exe,按照上面同样的命令复制到域控机内

2、查看域控当前时间

3、接着利用at来创建一个一分钟执行木马的计划

cs上线了

上面做了个总结，下面是域控机无法联网的情况怎么办

1、这是用中转器来进行获取域控

2、接着生成一个a3.exe木马，返回beacon到刚刚创建的监听器

3、将a3.exe木马上传到users\administrator目录中

4、然后下面命令将木马复制到域控机内

5、查看当前时间和定时执行木马

6、等到了我们定好的时间，不出网域控会smb形式上线

结果图