网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)

admin 2022年5月26日02:46:57安全文章评论22 views1435字阅读4分47秒阅读模式

01:信息挖掘

网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


这里在控制了TIME以后进行信息挖掘,发现TIME上装了一个mysql在xamppmysqlbin目录下。


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


这里用上篇文章中得到的SQLService密码配合root用户可以成功进入。


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


进入以后发现有个domain_users的表,查看里面的内容可以获得一些用户名。


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


此外进入另外一个数据库,timekeepers可以获得一些密码也顺便保存下来。


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


融合一下前把之前爆破web界面的密码都放在一起。


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


02:爆破域控

网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


通过之前的adPEAS枚举,可以定位到域控为10.200.29.117。这里用Covenant进行端口扫描可以发现smb端口是开着的。


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


我们可以尝试继续挂着代理用crackmapexec把上面获取到的用户名密码作为字典对smb进行一个爆破。
命令:proxychains4 crackmapexec smb 10.200.29.117 -u *.txt -p *.txt


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


最后发现jeffersd:Throwback2020是可以登录成功的。


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


03:利用dsync权限导出用户数据

网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


利用xfreerdp远程登录以后可以看到文档里面有个文件。里面记录着一个backup的用户密码,并且写着该backup用户是用来备份域上的用户数据的。


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


跟此前用adPEAS枚举出来的信息一样并且表明该backup具有dcsync权限。


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


所谓的Dcsync权限是给不同的域控进行数据同步比如用户密码信息之类的。正如下图所示如果我们获取到的账号具备DCSync权限就可直接dump所有域内用户的hash进行破解获得更高权限的账号。更多详细说明可以参考这位大佬的文章https://cloud.tencent.com/developer/article/1915427


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


既然具备导出所有域内用户的hash,我们可以使用kali自带的secretsdump来用backup账号进行导出。
命令:proxychains4python3 secretsdump.py THROWBACK.local/[email protected] 10.200.29.117


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


往下拉可以找到前文提到的域管理员hash。


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


使用在线md5可以得到其密码。


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


最后使用xfreerdp继续远程登录。


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


为了方便后面的后渗透,还是把防火墙给全关了。


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


04:跨域作战

网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


在前文提到的域信息枚举中,我们发现还有另外一个域叫corporate.local,并且是属于WITHIN_FOREST状态,我们可以直接进行从当前域跳转到corporate.local如果手上账号有效的话。


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


再重新用adpeas进行扫描该域的过程中,发现点其它信息。比如另外一个域的DC是.118


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


往下拉也可以看到MercerH同样也是该域的管理员可以直接跳过去。


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


05:重新配置代理

网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


由于前文配置的代理是只能访问Throwback.local域的,现在想要跳到另外一个新域我们得把目前控制的DC进行中转,重新配置。这里先把之前的恶意文件复制到域控上然后让msf收到会话。


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


这里重新使用post/multi/manage/autoroute模块,把cmd的值改为delete。这样会把之前的路由给删掉。


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


重新把cmd的值改回autoadd,把dc的会话给填上去。最后设置回subnet就可开跑。


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


最后可用xfreerdp远程登录到另外一个DC上。


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)


成功拿下这两台机子。


网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)



原文始发于微信公众号(神隐攻防实验室):网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月26日02:46:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  网络安全红队内网基础靶场:Throwback03(信息挖掘,smb爆破,跨域攻击) http://cn-sec.com/archives/1050050.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: