域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

  • A+
所属分类:安全文章

渗透攻击红队

一个专注于红队攻击的公众号

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?


大家好,这里是 渗透攻击红队 的第 63 篇文章,本公众号会记录一些红队攻击的案例,不定时更新


域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?
作战前言


在一次渗透中,打算遇见域环境的话不能靠窃取进程这种骚操作来打,只能使用域渗透的姿势:委派spn … 这些操作来打。


规划

要求:拿到内网核心数据,以及人员架构,梳理分析,域内成员分析。

c2 准备阶段:使用 poshc2 ,CobaltStrike + 混淆免杀Metasploit + 流量混淆编码

总体分为以下阶段:

1
2
3
4
5
6
7
入口权限维持阶段
核心人员定位
重要业务定位
用户日志分析
域内后门持久化
痕迹清理
域渗透阶段

域渗透过程

找到 Weblogic 执行命令的口子 


首先是找到了一个 Weblogic 的反序列化命令执行:

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

随后写了一个免杀一句话方便连接 webshell

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

通过查看进程发现有 VIPRE Internet Security 杀毒:
域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?因为事先我就做好了免杀的 exe,随后直接 Bypass AV 后直接上线到 CobaltStrike

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

初步发现当前机器是一个域机器:

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

JuicyPotato (ms16-075) 提权到 SYSTEM

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

拿到 SYSYEM 权限后我立马做了一个权限维持:

1
2
3
4
5
自启动:
REG ADD "HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun" /V "VMwareTools" /t REG_SZ /F /D "C:tempma.exe"

计划任务:
schtasks /create /RL HIGHEST /F /tn "Windows Server Update" /tr "C:tempma.exe" /sc DAILY /mo 1 /ST 09:00 /RU SYSTEM

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

域内信息搜集 


知道了当前是域环境,那么就对域进行信息搜集吧!

首先是查看了下当前域管有哪些:

1
2
3
4
5
net group "domain admins" /domain

Administrator BLombardo caroot
CThomas dbagent EFisher
PSAdmin SMSUSER sqladmin

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

再查看当前域控是哪些机器,然后定位域控的 IP

1
2
3
4
net group "Domain Controllers" /domain

xxxDC1$ 192.168.0.6
xxxDC2$ 192.168.0.13

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

由于当前 ip 是 10 这个网段,而域控是 192 这个网段,猜测会有多网段:

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

由于当前进程是有域管进程的,可以直接拿到域控,我之前写的文章也讲过怎么拿,在这里几句不多阐述。

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

由于不能用进程窃取这个骚操作拿到域控,那按照老传统来打吧!


由于当前机器是 Windows 2012 不能直接抓到明文,只能获取到 Hash

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

且当前 Hash 也解密不出来:
域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?只能通过 Hash The Pass 这种方式来横向移动!看了看 10 这个段的 B 段存活机器很少:

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?看 192 这个网段发现存活机器很多:

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

本来想翻翻敏感文件看看有没有密码文件等等,这里教大家一个单靠命令对系统文件进行搜集的技巧:

1
shell dir /s /b "*pass*" "*user*" "*config*" "username.*" "password.*"

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?


漏洞情况信息搜集


通过对 192 和 10 网段存活的主机探测发现有 0708永恒之蓝有以下机器:

1
2
3
4
5
6
7
8
9
10
永恒之蓝:
192.168.0.6(Windows Server 2012 R2 Datacenter 9600) stays in safety
192.168.0.13(Windows Server 2012 R2 Standard 9600) stays in safety

0708:
192.168.0.74 - SAFE - CredSSP/NLA required
192.168.0.13 - SAFE - Target appears patched
192.168.0.34 - SAFE - CredSSP/NLA required
192.168.0.28 - SAFE - CredSSP/NLA required
192.168.0.6 - SAFE - CredSSP/NLA required

至此信息搜集差不多了,进行下一步横向移动。

横向移动 Bypass AV


通过 PTH 对 10 网段的机器,成功拿到了多台机器权限:(有些没成功的应该是被 AV 拦截了)

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

随后对这些主机进行信息搜集,看看有没有密码文件:

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

密码文件倒是没找到,但是看上去这个域已经被大哥来过!字典文件都直接放到目标系统,小伙子你不讲武德啊!

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

随后我通过 Mimikatz 抓密码,成功拿到个明文:(当前机器是 Windows 2012 看来已经被大哥修改过注册表了)
域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?通过拿到当前密码去横向密码喷洒:

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

这不就横向出来了吗?大量机器密码都相同!其实域控两台密码也是这个!


由于当前内网是有 VIPRE AV 的,不能使用常规的 Psexec 和 WMI,不然必被拦截!这个时候我使用我插件里的工具进行 Psexec:(其实有很多工具都可以实现 Bypass AV 横向 psexec 的,我只写了一个(github上的项目),有空再加上去发出来给兄弟们)
域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

成功 Bypass 完成命令执行!既然域控(192.168.0.6192.168.0.13)的密码也是这个密码,我们也可以通过相同的密码对他们进行横向移动:

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

两个域控都拿到执行命令的权限了,就不上线到 CobaltStrike 了,太简单了。


CobaltStrike 这工具还是太变态了,有手就能打穿内网域,还是少用这玩意虽然方便,但是很多原理和攻击手法不懂那就 GG了,下次写实战文章我打算少用 CobaltStrike 来打内网,尽量让 XD 们都了解内网域渗透的攻击手法和原理!



参考文章:

https://www.saulgoodman.cn/2021/07/15/redTeam-2/


域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

渗透攻击红队

一个专注于渗透红队攻击的公众号

域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?



域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?
点分享
域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?
点点赞
域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?
点在看

本文始发于微信公众号(渗透攻击红队):域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: