记两次失败的域渗透

案例一  日常WebLogic

system权限

查看系统信息，发现存在域xxx.edu，系统版本为server2012

既然有域，查下域用户，发现报错，可能是DNS配置问题或域不存在    

查看DNS信息，发现DNS服务器是公网DNS地址

ping 域名尝试定位域控，未能连通域控，解析地址为172.xx.xx.111（公网地址）

以上信息说明该主机不在域内    

这时我有两个思路

一是在内网打一台多网卡主机

二是远程桌面看看能否找到其他信息

两个同时进行，扫描同时尝试获取该主机登录密码

由于当前权限为system，尝试导出sam文件

将文件下载到本地，使用工具读取hash

发现有administrator和三个域用户hash，域用户hash可以后续利用

发现离谱的事情，administrator是空密码    

尝试远程桌面，查看是否开启服务和3389端口

0x01代表未开启远程桌面服务，0xd3d代表3389

开启远程桌面服务

外网无法远程连接

    

做代理通过内网地址远程连接

这里碰到一个问题，应该是认证成功了但是一直在连接

我的解决方法是添加主机名

   

在该主机信息收集

发现其远程连接过120.xxx.xxx.7    

但是远程时提示不允许使用保存的密码登录，需要手动输入密码

   

这里不能确认密码是否正确，先尝试导出来看看，这里没有找到凭据

获取RDP保存的凭据(cmd下)       

cmdkey /list

dir /a %USERPROFILE%AppDataLocalMicrosoftCredentials*

没能获取RDP凭据，但使用mimikatz抓到了两个明文密码    

使用这个密码远程登录120.xxx.xx.7，不出意外登录失败

到这里僵住了，正好fscan也扫完了

看了一眼这个段有两个DC，但都不是最初的域    

还发现几台ms17017，都试了一遍发现只有192.168.1.215能打，这里用了个不常用的exp，直接执行命令添加了个用户

加管理员组貌似是失败了    

远程登上去看一下，这么看应该是管理员了

看下本地用户

这台机子不在域内    

打到这就有点难受了，它的内网环境还是没搞明白

案例二   日常weblogic

貌似是域用户，不确定再看看

查看域，确实有域

   

查看本地域用户，看来是普通域用户

找到主域控

确定域控地址

查看域管

本地有杀毒软件，一般工具很难落地    

尝试下添加用户成功，这个域用户在本地权限较高

这里看了下本地Users目录，发现域管和另外一个域用户admintimsa曾经登录过这台机器

这时大概有个思路了，就是想办法导出本地存储的hash看有没有域管的

由于有杀软无法上传mimikatz，所以尝试导出sam文件，由于本地权限较高可以直接导出    

下载到本地使用工具获取hash，这里抓到三个域用户，但是一个都没解出来

使用hash RDP成功远程连接到500用户桌面

以下是一些细节

1.服务、客户双端都需要开启"Restricted Admin Mode"              
             
对应命令行开启Restricted Admin mode的命令如下：              
REG ADD "HKLMSystemCurrentControlSetControlLsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f              
             
查看是否已开启 DisableRestrictedAdmin REG_DWORD 0x0 存在就是开启              
REG query "HKLMSystemCurrentControlSetControlLsa" | findstr "DisableRestrictedAdmin"    

这里我是添加了一个管理员用户admin，运行管理员CMD操作的

2.使用mimikatz将哈希写到存储中进行pth              
             
privilege::debug              
sekurlsa::pth /user:timsauser /domain:xxx-xxx02 /ntlm:xxxxxxxxxxxxxxxxxxxxxx "/run:mstsc.exe /restrictedadmin"              
             
执行mimikatz后会弹出一个mstsc，输入目标地址即可

   

3.坑点

mimikatz报错可能是和系统不兼容，我换了win10就好了

用相同的方法去远控域控，发现域管hash是错误的    

不是很服气，想再导一波lsass。这里是在500用户桌面导出的。

procdump.exe -accepteula -ma lsass.exe lsass.dmp

下载到本地解一波

privilege::debug              
             
#载入lsass.dmp              
sekurlsa::minidump lsass.dmp              
             
#读取密码              
sekurlsa::logonpasswords full              
             
#导出所有票据              
sekurlsa::tickets /export    

被我逮到一个hash，狠狠的解开

验证了一下密码是对的，但这次没有抓到域管，SAM文件里的应该已经是过期了

这个时候可以用域用户登录10.132.60.27了    

可以使用域用户账号密码连接ADexplorer

接下来的思路一是扫描下内网，尝试横向到内网其他机器找找有没有域管登过的；二是在ADexplorer找找看hash、密码啥的

在准备扫描时发现这是个动态杀软，扫描器上午还不杀下午就开始杀了，但是我有域用户桌面可以看到杀软告警，直接忽略即可绕过

通过这两次失败的域渗透，发现了一些问题

1.不是所有机器都在域内，它可能已经脱域了

2.不是所有抓到的hash、密码都是正确的    

3.内网情况很复杂，有多个域是正常的，没有域也是正常的

4.杀软也是有自学习能力的，有些活还是要趁早干

最后请大家和谐讨论，对错误操作或有其他思路欢迎评论纠正，也祝大哥们域渗透一路顺畅！   

原文始发于微信公众号（雁行安全团队）：记两次失败的域渗透