声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 |
|---|
这篇文章来自@sin好友投稿,最近闲来无事做,找口子提升内网渗透水平,通过fofa语法找到了一个Jenkins入口。
看一下权限,狂喜,总算找到一个system权限口子啦。
看一下对方运行的进程,做下信息收集,可以很清楚的看到对方是微软的杀软,那这里我用404实验室的免杀工具来进行绕过。
项目地址:
- https://github.com/knownsec/shellcodeloader
接下来使用cerutil远程下载到对方机器的C:ProgramData文件目录下,然后在jenkins中运行我们下载过去的exe马,坐等上线。
先做一波常见的信息收集,他这里环境不像常见的内网,arp关联IP都在公网上,应该是把C段买下来啦。
net user看一下,这里创建的用户挺多的,但出于篇幅就不截全了。
net localgroup看一下存在的组,这里看到了一个DCOM组,想到最近刚好了解了一下DCOM横向移动先记录着。
目标机器的中间件是iis,使用appcmd列一下站点目录和文件。
wmic product list brief 查看当前机器安装软件。
查看对方已启动的服务
查看对方机器时间,对方是晚上10点,应该下班了。
抓明文,看看能不能直接梭哈,不过没抓到。
导出一下hash,看来只能做hash传递啦。
检测一下内网存活并且开放了445端口的机器。
然后随便找了一台机器进行psexec,也是以失败告终。
到这里为止我自己绕了个坑,我想着既然抓不到密码,那我用Procdump Mimikatz导出内存来获取密码应该没问题。
首先上传procdump到 programdata目录,执行命令导出lsass.exe进程内存。
下载会有点点慢,只有出现download of才算是下完了。
将导出来的dmp文件放到mimikaz目录下,然后执行以下两条命令,不过好像还是出现了一点问题。
代码语言:javascript复制sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full在百度了后,应该是两种原因一个是mimikatz版本原因,还有一个是要修改注册表,等管理员重启或者注销后登陆才行。
- https://blog.csdn.net/m0_46622606/article/details/105350970
到这步已经很晚了,休息后到了第二天再看,先看看管理员有无在线,Active表示在线,对方说泰国应该还没下班,现在等他下班后在继续吧!
到晚上九点管理员总算下班了,然后我们继续。因为我们是system权限,所以我们不能屏幕截图,需要先到admin权限,这里我用msf窃取令牌(CS不知道怎么窃取)。
可以截图,那我上个tv来抓个图看一下,结果如下。
那现在横向不行,抓截图连tv不行,那就只有试一波ms17010了。
扫到几台,但感觉不是很靠谱,因为这里显示的机器是win10,只能打一下试试,结果还是失败了。
到这里后休息了一天,这里我只能用3h师傅的向日葵来获取对方的远程了,当然也是成功的获取到了对方的远程屏幕。《向日葵软件在渗透测试中的应用》
因为当时忙着去做测试了就没记录,大致方法和这篇文章差不多,用本地的config.ini文件替换目标机器上的config.ini即可。
这里我登录过去发现对方也还是锁屏状态,然后看了一下mimiktaz只要对方处于锁屏状态并且解锁就可以抓到明文,修改注册表即可,接下来就是等咯......!!!
修改注册表:
代码语言:javascript复制reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1服务器锁屏:
代码语言:javascript复制rundll32.exe user32.dll,LockWorkStation
