一次平淡无奇的域渗透

这是一次很普通的渗透过程，好兄弟撕夜于网站上发现了SQL注入，为一处登陆处的注入，注入点为用户名或密码。说着我们复制了post包放入sqlmap目录下，直接来一发 -r

• 注入

POST /XXXXXX/XXX/Login.asp HTTP/1.1
Host: target.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Content-Type: application/x-www-form-urlencoded
Content-Length: 29
Origin: http://target.com
Connection: close
Name=admin*&PassWord=asdasd

我们发现支持堆叠注入，直接使用cs生成pscommand于os-shell中执行，上线到cs上便于操作。

• Cobalt Strike

我们进入命令行发现机器为域内机器，为普通用户，所以首先第一步想要把权限提升至高权限用户

查看系统补丁情况，到补丁缺少查询网站查询，发现缺少ms16-075，到github中下载对应的提取插件，使用插件进行权限提升，成功将权限提升至system权限

查看了域内机器情况，发现有名为AD1、AD2、AD3的一台主控，两台辅控机器

在当前已经提升了权限的高权限下dump hash，获取到部分用户账户，这时候一个惊喜发生了，就是通过dump hash发现了域管的账号情况，这不是美滋滋吗

但是首先我们将shell注入到了其他进程，万一一下掉了呢对吧

接下来进行pth，使用已经获取的域管账号hash对其他机器进行移动，首先就是AD1的域控

成功获取到了AD1域控的SYSTEM权限

于AD1上进行dump hash

将域管账号对其他机器进行批量pth，梭哈就完事了

最后获得了三台AD，mail，file一些权限，然后就去看电视了

原文始发于微信公众号（巡安似海）：一次平淡无奇的域渗透