记一次未完成内网渗透实战记录

  • A+
所属分类:安全文章
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。


这篇文章来自@sin好友投稿,最近闲来无事做,找口子提升内网渗透水平,通过fofa语法找到了一个Jenkins入口。
记一次未完成内网渗透实战记录


看一下权限,狂喜,总算找到一个system权限口子啦。

记一次未完成内网渗透实战记录


看一下对方运行的进程,做下信息收集,可以很清楚的看到对方是微软的杀软,那这里我用404实验室的免杀工具来进行绕过。


项目地址:

  • https://github.com/knownsec/shellcodeloader

记一次未完成内网渗透实战记录


接下来使用cerutil远程下载到对方机器的C:ProgramData文件目录下然后在jenkins中运行我们下载过去的exe马,坐等上线。

记一次未完成内网渗透实战记录

记一次未完成内网渗透实战记录

记一次未完成内网渗透实战记录


先做一波常见的信息收集,他这里环境不像常见的内网,arp关联IP都在公网上,应该是把C段买下来啦。


net user看一下,这里创建的用户挺多的,但出于篇幅就不截全了。

记一次未完成内网渗透实战记录


net localgroup看一下存在的组,这里看到了一个DCOM组,想到最近刚好了解了一下DCOM横向移动先记录着。

记一次未完成内网渗透实战记录


目标机器的中间件是iis,使用appcmd列一下站点目录和文件

记一次未完成内网渗透实战记录


wmic product list brief 查看当前机器安装软件。

记一次未完成内网渗透实战记录


查看对方已启动的服务

记一次未完成内网渗透实战记录


查看对方机器时间,对方是晚上10点,应该下班了

记一次未完成内网渗透实战记录

抓明文,看看能不能直接梭哈,不过没抓到。
记一次未完成内网渗透实战记录

导出一下hash,看来只能做hash传递啦。
记一次未完成内网渗透实战记录

检测一下内网存活并且开放了445端口的机器。
记一次未完成内网渗透实战记录

然后随便找了一台机器进行psexec,也是以失败告终
记一次未完成内网渗透实战记录

到这里为止我自己绕了个坑,我想着既然抓不到密码,那我用Procdump+Mimikatz导出内存来获取密码应该没问题。

首先上传procdump到 programdata目录执行命令导出lsass.exe进程内存
记一次未完成内网渗透实战记录

记一次未完成内网渗透实战记录


下载会有点点慢,只有出现download of才算是下完了。
记一次未完成内网渗透实战记录

将导出来的dmp文件放到mimikaz目录下,然后执行以下两条命令,不过好像还是出现了一点问题。
sekurlsa::minidump lsass.dmpsekurlsa::logonPasswords full
记一次未完成内网渗透实战记录
记一次未完成内网渗透实战记录

在百度了后,应该是两种原因一个是mimikatz版本原因,还有一个是要修改注册表,等管理员重启或者注销后登陆才行。
  • https://blog.csdn.net/m0_46622606/article/details/105350970


到这步已经很晚了,休息后到了第二天再看,先看看管理员有无在线,Active表示在线,对方说泰国应该还没下班,现在等他下班后在继续吧
记一次未完成内网渗透实战记录

到晚上九点管理员总算下班了,然后我们继续。因为我们是system权限,所以我们不能屏幕截图,需要先到admin权限,这里我用msf窃取令牌(CS不知道怎么窃取)。

记一次未完成内网渗透实战记录
记一次未完成内网渗透实战记录


可以截图,那我上个tv来抓个图看一下,结果如下。

记一次未完成内网渗透实战记录


那现在横向不行,抓截图连tv不行,那就只有试一波ms17010了

记一次未完成内网渗透实战记录
记一次未完成内网渗透实战记录

扫到几台,但感觉不是很靠谱,因为这里显示的机器是win10,只能打一下试试,结果还是失败了。
记一次未完成内网渗透实战记录

到这里后休息了一天,这里我只能用3h师傅的向日葵来获取对方的远程了,当然也是成功的获取到了对方的远程屏幕。《向日葵软件在渗透测试中的应用

因为当时忙着去做测试了就没记录,大致方法和这篇文章差不多,用本地的config.ini文件替换目标机器上的config.ini即可。

这里我登录过去发现对方也还是锁屏状态,然后看了一下mimiktaz只要对方处于锁屏状态并且解锁就可以抓到明文,修改注册表即可接下来就是等咯......!!!

修改注册表:
reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1

服务器锁屏:
rundll32.exe user32.dll,LockWorkStation



只需关注公众号并回复“9527”即可获取一套HTB靶场学习文档和视频,1120”获取安全参考等安全杂志PDF电子版,1208”获取个人常用高效爆破字典0221”获取2020年酒仙桥文章打包还在等什么?赶紧关注学习吧!

推 荐 阅 读




记一次未完成内网渗透实战记录
记一次未完成内网渗透实战记录
记一次未完成内网渗透实战记录

欢 迎 私 下 骚 扰



记一次未完成内网渗透实战记录

本文始发于微信公众号(潇湘信安):记一次未完成内网渗透实战记录

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: