昨晚做梦,梦到周公给了我一个日本的域名,域名为company.com.cn,想让我出个报告
https://conpany.com.cn
后渗透发现我目前能做到的免杀哥斯拉、冰蝎都无法绕过杀软、fscan无法扫描内网,于是做正代:
https://conpany.com.cn/wls-wsat/suo5.jsp
顺带着解密本地数据库配置:
本机信息收集过程中,主要看以下几个地方:
1.进程里有没有zabbix的进程,这个配置文件里可以找到zabbix的地址
2.端口里是否有特殊的端口:389为ldap认证的端口,猜测可能存在域
因此,在etc目录下查找ldap.conf:
查看到相关配置信息:使用ldap browser进行认证:
可以看到所有人的账号密码(1000+):
随便找一个用户对该密码进行解密:
在外网搜索邮件、VPN等域用户认证的资产,发现exchange:
发现此处使用邮箱登录:
exchange:
CNv000229:Xsw21qaz
爆出来真正的域名,利用该域名和账户进行云桌面登录:
突破内网隔离
找域控:
域管:
域信任:
不出网:
这个企业的策略对云桌面限制的比较死,web端云桌面只能上传,无法下载,客户端云桌面。
但是可以上传下载的话,用工具启动一个http服务,用之前的webshell去访问一下,然后通过webshell下载到本地:
代理进去访问目标的8080:
域内机器(17w+):
域用户(16w+):
导出adexplorer:
域管:
存在麦咖啡杀软,想导出密码,无法提到system且被杀软拦截,所以先扫内网:
查询登录本地的域管:
查看权限:
2021-1675无法提权:
基本限制的很死,到此为止后续就是做一个免杀的提权工具到system,导出域管密码,使用dcsync拿下所有域用户hash。
用ldap browser 查域管:
解密之后发现两个域管口令:
直接3389登录,随机找一个域控:
成功拿下域管,人员太多,暂不导出所有用户hash
这个环境从4月就拿到了,之前老是因为扫不出来东西就放弃了好多次,但是内心告诉我不能这样就草草了事,所以抽出一个周末打完了这个环境,此次环境均为虚构,如有雷同,纯属巧合。
原文始发于微信公众号(雁行安全团队):记一次从Linux打到域控
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论