记一次未完成内网渗透实战记录

看一下权限，狂喜，总算找到一个system权限口子啦。

看一下对方运行的进程，做下信息收集，可以很清楚的看到对方是微软的杀软，那这里我用404实验室的免杀工具来进行绕过。

项目地址：

• https://github.com/knownsec/shellcodeloader

接下来使用cerutil远程下载到对方机器的C:ProgramData文件目录下，然后在jenkins中运行我们下载过去的exe马，坐等上线。

先做一波常见的信息收集，他这里环境不像常见的内网，arp关联IP都在公网上，应该是把C段买下来啦。

net user看一下，这里创建的用户挺多的，但出于篇幅就不截全了。

net localgroup看一下存在的组，这里看到了一个DCOM组，想到最近刚好了解了一下DCOM横向移动先记录着。

目标机器的中间件是iis，使用appcmd列一下站点目录和文件。

wmic product list brief 查看当前机器安装软件。

查看对方已启动的服务

查看对方机器时间，对方是晚上10点，应该下班了。

sekurlsa::minidump lsass.dmpsekurlsa::logonPasswords full

• https://blog.csdn.net/m0_46622606/article/details/105350970

到晚上九点管理员总算下班了，然后我们继续。因为我们是system权限，所以我们不能屏幕截图，需要先到admin权限，这里我用msf窃取令牌（CS不知道怎么窃取）。

可以截图，那我上个tv来抓个图看一下，结果如下。

那现在横向不行，抓截图连tv不行，那就只有试一波ms17010了。

reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1

rundll32.exe user32.dll,LockWorkStation

---

推 荐 阅 读

本文始发于微信公众号（潇湘信安）：记一次未完成内网渗透实战记录