域渗透小工具分享

亦凉 2024-03-26 20:47 140阅读 0赞

0x01. NetLocalGroupGetMembers

功能:查询目标服务器本地管理组的成员

72b77f6287c8c26775712cab88195f37.png

0x02. NetLocalGroupEnum

功能:返回指定服务器上的所有本地组

b83deae2b0954d988bcce4f80382dcd2.png

0x03. NetGroupGetUsers

功能:返回指定服务器指定组的所有成员

查询域里的各个组里的成员,IP必须是域控IP

fc591cfc5d1009ceacdc0f9d7ff63a6c.png

0x04. NetUserEnum

功能:查询目标服务器所有用户,包括隐藏用户

b5f82d57a0195ab6e4189656176adf20.png

52195878b7f1c66d01497188d0a08f47.png

0x05. wnetaddconnection2a

功能:建立IPC连接,可以将目标共享目录映射到本地磁盘

748ef1d017ca963d426b924647501272.png

0x06. WNetCancelConnection2

功能:删除IPC连接

cd096291a9e4c42776871bef38e8d39c.png

0x07. EnuDomainUser

功能:枚举域用户

  1. 介绍

适用于:当前边界机器权限是工作组机器,通过nltest或者nbtscan等工具发现内网有域环境,并且找到域控IP,但是没有域用户的权限下渗透思路。

前提条件:能够和域控建立空连接

实现原理:域管默认都会有administrator用户,通过windows api查出administrator域管的SID,然后遍历SID范围,枚举出域成员(域用户和域机器)。

SID范围:域用户和域机器的SID一般是1000以上,所以使用工具的时候遍历1000以上的SID

  1. 工具使用

使用帮助:

  1. C:\Users\Administrator\Desktop>EnuDomainUser.exe
  2. Usage: EnuDomainUser.exe <DC-IP> <domainname\username> <start Sid> <end Sid> <t_num>
  3.        EnuDomainUser.exe \\192.168.52.2 hack\administrator 1000 2000 100
  4.        EnuDomainUser.exe \\域控IP 域名\域用户名<默认administrator> 起始Sid 末尾Sid 多线程数目

使用demo:

EnuDomainUser.exe 192.168.52.2 hack\administrator 1000 2000 100

参数解释:

  1. 192.168.52.2  是域控IP
  2. hack          是域名
  3. administrator 是域管默认用户
  4. 1000          是遍历SID的起始
  5. 2000          是遍历SID的末尾-可以设置高一点,例如1000020000
  6. 100           是多线程的数目

f54cabcc851e3322f19cdaff2d17907a.png

c6439fe871da3627e277453c97144480.png

0x08. BlastDomainUserPwd

功能:爆破域用户密码

  1. 介绍

通过IPC连接->爆破域用户的密码

结合EnuDomainUser工具或者kerbrute工具获取域用户名列表,然后进行爆破

如果被360杀,改一下exe名字即可

设计思路:

  1. 如果能够和域控建立空连接,则用EnuDomainUser工具枚举遍历出所有域用户名
  2. 如果不能够和域控建立空连接,则用kerbrute工具爆破域用户名

当获取到一批域用户名后,开始尝试域用户密码的弱口令爆破

域用户密码有强度要求,则尝试爆破强弱口令。例如:P@ssw0rd、1qaz@WSX等

  1. 工具的使用

    Usage: BlastDomainUserPwd.exe 

    1.     BlastDomainUserPwd.exe \\192.168.52.29 domainUser.txt password 100
    2.     BlastDomainUserPwd.exe \\域机器IP 域用户名字典 尝试爆破的密码 多线程数目

域用户名字典格式规范:域名\域用户名

domain\user

d5e5e34565d16429b5a099d07615fe32.png

运行实例: BlastDomainUserPwd.exe \\192.168.52.2 domainUser.txt 1qaz@WSX 3

36be452b45fe609725f7bfdba43be2b0.jpeg

成功爆破出的域用户密码保存在当前目录的success.txt文本里

131811675d17a23f00f99987884e8fa1.png

c4ed088b59b5a9eb84d1b8155c3cf304.png

0x09. SchtaskBackDoorWebshell

功能:计划任务维持webshell

  1. 适用场景:

护网中被防守方发现webshell,并清除出去,漏洞也被修复,然后网站恢复后不能再上传webshell时,通过计划任务重写webshell。

  1. 条件:

管理员权限,因为创建计划任务得需要管理员权限

  1. 使用方法:

xxxx.exe c:\wwww\upload\1.jsp

  1. 实现过程:

将c:\wwww\upload\1.jsp内容复制到c:\windows\temp\tempsh.txt里,然后创建了一个计划任务,执行的命令是c:\windows\system32\cmd.exe /c copy c:\windows\temp\tempsh.txt c:\wwww\upload\1.jsp,每半小时触发一次。

  1. 视频展示:

webshell_E8_AE_A1_E5_88_92_E4_BB_BB_E5_8A_A1_E5_90_8E_E9_97_A8.gif

0x10. regeditBypassUAC

功能:过uac执行exe,编译好的exe只适用于win10,win7不行

  1. 具体过程

基于白名单程序注册表bypassUAC

  1. 视频演示

bbef94b480115c2a898b21df3b5628b3.jpeg

0x11. delegationVul

功能:检测内网域的约束委派

  1. 约束委派利用

约束委派利用

  1. 视频演示

dd714f901cdb1fc34eb8a864cd04609a.jpeg

  1. 基于资源的约束委派利用

基于资源的约束委派利用

  1. 视频演示

70346d6f736f22b4b1c5b91dff99742c.jpeg

0x12. 360SafeBrowserDecrypt

功能:

  1. 直接在目标机器上运行,但是不免杀
  2. 360SafeBrowserDecrypt.exe
  4. 将目标的机器idassis2.db数据库拖回到本地解密
  5. 查机器id:
  6. reg query "HKLM\SOFTWARE\MICROSOFT\CRYPTOGRAPHY" /v "MachineGuid"
  7. 360安全浏览器安装目录: 
  8. reg query "HKCR\360SeSES\DefaultIcon"
  9. 默认的assis2.db数据库目录:
  10. C:\Users\xxxxxxx\AppData\Roaming\360se6\User Data\Default\apps\LoginAssis
  12. 本地运行:
  13. 360SafeBrowserDecrypt.exe xxx-xxx-xxx-xxx assis2.db

7dda875a8796c4716d8e371b87599698.png

  1. 结果显示:
  2. 有收藏夹的url和保存密码的url
  4. 文章中所用到工具:  链接:https://pan.baidu.com/s/1bKo-srQJMWgpQt5mPCFPfA  提取码:ryzx

0beb2b9c564645bb62b8291a4c49e309.jpeg

分析文章:动态调试360安全浏览器获取密钥

原文链接: https://github.com/SkewwG/domainTools

7299cad865ff1c333686a86c962c8078.jpeg

发表评论

表情:
评论列表 (有 0 条评论,140人围观)

还没有评论,来说两句吧...

相关阅读

    相关 自动化渗透测试工具

    一、程序概要 程序主要功能有自动发现、监测资产信息、自动匹配Poc进行检测、自动服务认证进行爆破、自动进行Web渗透,获取web指纹、漏洞等。 二、部署安装 2

    向右看齐向右看齐/ 0/ 413 阅读

    相关 渗透测试学习工具

    > 本文转自网络文章,内容均为非盈利,版权归原作者所有。 > 转载此文章仅为个人收藏,分享知识,如有侵权,马上删除。 > > 原文作者:yunying > 原文地址:

    灰太狼灰太狼/ 0/ 333 阅读

    相关 渗透测试工具SQLmap

    一、简介   SQLmap 是一款用 Python 编写的开源渗透测试工具,用来自动检测和利用 SQL 注入漏洞。 二、Windows 下安装   2.1 安装 Pyth

    怼烎@怼烎@/ 0/ 526 阅读