网络安全红队内网基础靶场:Throwback03(信息挖掘，smb爆破，跨域攻击)

01:信息挖掘

这里在控制了TIME以后进行信息挖掘，发现TIME上装了一个mysql在xamppmysqlbin目录下。

这里用上篇文章中得到的SQLService密码配合root用户可以成功进入。

进入以后发现有个domain_users的表，查看里面的内容可以获得一些用户名。

此外进入另外一个数据库,timekeepers可以获得一些密码也顺便保存下来。

融合一下前把之前爆破web界面的密码都放在一起。

02:爆破域控

通过之前的adPEAS枚举，可以定位到域控为10.200.29.117。这里用Covenant进行端口扫描可以发现smb端口是开着的。

我们可以尝试继续挂着代理用crackmapexec把上面获取到的用户名密码作为字典对smb进行一个爆破。
命令:proxychains4 crackmapexec smb 10.200.29.117 -u *.txt -p *.txt

最后发现jeffersd:Throwback2020是可以登录成功的。

03:利用dsync权限导出用户数据

利用xfreerdp远程登录以后可以看到文档里面有个文件。里面记录着一个backup的用户密码，并且写着该backup用户是用来备份域上的用户数据的。

跟此前用adPEAS枚举出来的信息一样并且表明该backup具有dcsync权限。

所谓的Dcsync权限是给不同的域控进行数据同步比如用户密码信息之类的。正如下图所示如果我们获取到的账号具备DCSync权限就可直接dump所有域内用户的hash进行破解获得更高权限的账号。更多详细说明可以参考这位大佬的文章https://cloud.tencent.com/developer/article/1915427

既然具备导出所有域内用户的hash，我们可以使用kali自带的secretsdump来用backup账号进行导出。
命令:proxychains4python3 secretsdump.py THROWBACK.local/[email protected] 10.200.29.117

往下拉可以找到前文提到的域管理员hash。

使用在线md5可以得到其密码。

最后使用xfreerdp继续远程登录。

为了方便后面的后渗透，还是把防火墙给全关了。

04:跨域作战

在前文提到的域信息枚举中，我们发现还有另外一个域叫corporate.local,并且是属于WITHIN_FOREST状态，我们可以直接进行从当前域跳转到corporate.local如果手上账号有效的话。

再重新用adpeas进行扫描该域的过程中，发现点其它信息。比如另外一个域的DC是.118

往下拉也可以看到MercerH同样也是该域的管理员可以直接跳过去。

05:重新配置代理

由于前文配置的代理是只能访问Throwback.local域的，现在想要跳到另外一个新域我们得把目前控制的DC进行中转，重新配置。这里先把之前的恶意文件复制到域控上然后让msf收到会话。

这里重新使用post/multi/manage/autoroute模块，把cmd的值改为delete。这样会把之前的路由给删掉。

重新把cmd的值改回autoadd,把dc的会话给填上去。最后设置回subnet就可开跑。

最后可用xfreerdp远程登录到另外一个DC上。

成功拿下这两台机子。

原文始发于微信公众号（神隐攻防实验室）：网络安全红队内网基础靶场:Throwback03(信息挖掘，smb爆破，跨域攻击)