Skip to content

Latest commit

 

History

History
341 lines (182 loc) · 15.2 KB

Bypass 趋势杀毒一步步打穿内网拿下域控.md

File metadata and controls

341 lines (182 loc) · 15.2 KB

本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com

渗透攻击红队

一个专注于红队攻击的公众号

大家好,这里是 渗透攻击红队 的第 47 篇文章,本公众号会记录一些红队攻击的笔记(由浅到深),不定时更新

前言

最近接了很多广告,也没输出啥好文章给兄弟们,之前搞实战的时候也没写过实战相关的文章,这次写了一篇实战域渗透的,都是常规操作,主要还是内网渗透那些东西。由于是项目,全程打码,话不多说兄弟们看文章就完事了。

Pypass 趋势杀毒一步步打穿内网拿下域控

内网信息搜集

首先是通过上传拿到了一个 webshell:

然后通过 Powershell 弹到我 C2 上发现是存在域环境,域名是:ta.org.

查看当前域内机器:

发现域控有多两台:

Ping 域控机器名得到域控 IP:192.168.30.110、192.168.30.111

tasklist /svc 发现当前机器存在趋势杀毒:

之后通过免杀上线到我 C2:

内网域渗透第一天

上线后做好免杀然后通过 Nbtscan 发现内网存活:

通过梼杌的插件提权失败后,然后我是先上传了 frp 先把流量代理出来:

代理成功:

然后 Metasploit 设置 socks5 代理:

通过扫了一遍内网 smb 存活发现内网 03 机器很多,猜测有 ms17010:

看来没猜错果然中奖了:

先打 08 这台把:192.168.30.116

但是失败了!

发现打 03 成功:192.168.30.8

没办法 03 只能通过执行命令,MSF 的模块没得 32 位的 Payload,我添加了一个 asp*** 用户进去:

然后开启了他的 3389 :

REG ADD \"HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

成功登录到他远程桌面:

通过信息搜集发现这台机器不出网:(这里说一下,测试出网大家可以使用 NC 看看目标是否出网,测试 TCP、UDP、DNS 这三种即可,因为如果底层的协议都不出网,你在测试一些其他协议出网也毫无意义!)

由于 03 服务器不能复制文件,我只能把文件通过映射到他的磁盘来传输文件:

老思路先克隆个 administrator 用户过来:

克隆后发现之前 administrator 之前执行了一些命令:

不管了,先用 procdump 把密码读出来:

然后拖会本地后删除文件:

最后使用 mimikatz 进行解密:

mimikatz.exe "sekurlsa::minidump lsass.dmp" "log" "sekurlsa::logonpasswords"

得到了 administrator 的明文密码:

* Username : Administrator
   * Domain   : *****DB
   * Password : *****@dba

然后直接登录 administrator 的机器:

然后把我之前创建的 asp***** 用户删除:

通过搜集信息的时候发现了 11 年这台机器的 rdp 记录:

但是连接不上:

然后再这台机器上没找到可利用的信息后,随手留了一个粘滞键的后门:

之后扫描内网 HTTP 服务的时候发现了一个投影仪系统,弱口令撸了进去:admin:admin

由于搞站的时候比较晚了,搞到这我就去睡觉了。

内网域渗透第二天

就在昨晚睡着,做了一个梦,梦到我上课迟到了,然后回到座位上看到我作业上一个 Metasploit 的 Shell,然后就醒了!

睡醒后的,我再一次拿起 MSF 打了一遍 08 的机器,结果成功了?卧槽这个梦牛逼啊!

这尼玛渗透有时候就需要天时地利人和!

通过 Ping google 发现 192.168.30.116 能出网:

然后创建个管理员用户 asp****:

登录到他远程桌面:

随后克隆用户 adminisrtrator:

随后做了免杀让他上线到我 CS:

之后抓到了一个域用户的 hash:

beacon> logonpasswords
[*] Tasked beacon to run mimikatz's sekurlsa::logonpasswords command
[+] host called home, sent: 438866 bytes
[+] received output:

Authentication Id : 0 ; 996 (00000000:000003e4)
Session           : Service from 0
User Name         : ****DSM$
Domain            : ****A
Logon Server      : (null)
Logon Time        : 2021/1/27 上午 12:22:29
SID               : S-1-5-20
  msv :  
   [00000003] Primary
   * Username : ****ADSM$
   * Domain   : ****A
   * NTLM     : 0a4b2******************************
   * SHA1     : 623e30**************************

这个时候由于我们是一个工作组用户,得想办法搞到一个域用户!

通过 MSF 的令牌窃取:

发现失败了:

回头看看 Win 10 这台,使用 getsystem 直接提取成功了:

之后通过注入 System 进程成功反弹一个 System 的 shell:

之后发现进程里还有其他的域用户:

再注入进程得到一个域用户的 shell:

最后抓一下密码:

然后通过定位域管 :

shell net group "domain admins" /domain

发现域管的账号是 A013,发现也在进程里,直接注入进程上线成功:

先查看域控是那些机器:

shell net group "domain controllers" /domain

发现域控有两台!然后通过 Ping 域控的主机名:****DC01、****DC02

得到域控的 IP:192.168.30.110、192.168.30.111

然后和域控建立 IPC$:

shell net use \\****DC01\ipc$
shell net use \\****DC02\ipc$

有域管进程就好办了,直接窃取令牌,直接拿域控横向上线:(因为域管本来就可以直接和任何机器建立连接,并且都是最大权限,所以不需要密码)

成功上线域控:

最后通过注入进程成功上线域管理员账号:

至此域渗透完结:

他内网其实还有很多机器还可以打,一些 Web 比如 Tomcat,Weblogic,Jboss 一些漏洞还是可以利用打下来的,由于我的目标就是拿到域控所以就不深入了。

渗透攻击红队

一个专注于渗透红队攻击的公众号

点分享

点点赞

点在看