实战案例 | 在一次攻防中拿下内网域

0x01 前言

WEB打点就不详说了，是通过Weblogic远程代码执行拿下的机器

0x02 信息收集

发现主机是在域内，并且主机是出网机器，补丁也打的挺多的

查看域管理员

感觉这个域还挺大的，ping一下域控得到域控ip

查看主域控 nslookup pdc._msdcs.abc.com

查看域用户，巨多，不全截了

没有杀软，直接powershell混淆一下上线了

由于当前机器是windows server2012的抓不到明文，把hash抓下来先留着pth

浏览器也没抓到什么密码

不过呢内网主机还挺多的，很多网段，有几个ftp匿名登录和几个ssh弱口令，上去看了一下，收集了些信息。

使用拿到的hash进行横向pth(关于pth在内网渗透系列文章中第四篇中有讲解)

继续收集敏感信息和密码

0x03 代理进内网

上传frp代理

使用proxifer代理本地主机

0x04 打域控

内网很多都是一些这样的示例页面，没啥意思

根据之前梳理的各个机器的密码和敏感信息再进行横向密码喷射

翻查敏感信息过程中发现其中一台机器有域管进程，直接窃取域管进程拿到域管权限。

抓取域管hash后尝试pth到域控，成功拿下域控10.10.1.1

这里现在只是获取到了一台域控的权限，试试能不能获取其他几台域控的权限，由于这台主机是2008r2，能直接dump到几台域管的明文，尝试用这几个密码登录，都失败了，换个方式打一下

由于当前机器是域控，默认开启了非约束委派，查看当前票据，不存在其他票据，尝试访问另一台域控c盘，失败

打印机加非约束委派，强制让10.10.1.10域控访问我们现在这台域控10.10.1.1的spooler服务，从而获取10.10.1.10的TGT。

工具下载地址：https://github.com/shanfenglan/test/tree/master/spooler
使用方法：spoolsample.exe 域控主机名 非约束委派机器主机名

查看票据,导出票据mimikatz kerberos::list

拿着导出的其他域管TGT去导入本机

Klist 查看当前本机已有的票据

直接dir10.10.1.10域控c盘，可以访问到

这里想通过ipc管道执行命令来着，一直报服务没开启

一顿尝试之后，准备使用copy文件和写计划任务上线，先在跳板机上传一个马到机器上，通过ipc管道copy到10.10.1.10域控机器上

通过ipc管道添加计划任务，有时候因为安全配置不允许直接添加任务，要在后面添加账号密码 /U 账号 /P 密码

schtasks /create /s 目标ip /tn 计划任务名称 /sc onstart /tr 对方目录 /ru system /f

执行计划任务,同样，如果有安全配置一样在后面添加密码就可以

schtasks /run /tn test /s IP

删除计划任务

第一次是马被杀了。。一直没反应过来，还等了半天。。后面重新做免杀、添加计划任务、执行，还是没连接过来，想了一下可能是目标不出网，因为已经建立了ipc管道，想了想直接用smb的beacon正向连接，普通的psexec不太行，换了powershell版本就可以了。

jump psexec64 10.10.1.10 smb  //这里的smb是smb的Listeners

jump psexec_psh 10.10.1.10 smb

至此成功上线三台域控

后续继续用委派的票据获取其他几台域控的权限

通过主域控直接dcsync dump，抓域内所有用户hash

mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:abc.com /all /csv