实战｜CVE到内网而后拿下4个域控

午夜幽魂

一、简介
前言
这次浸透测试是从一个CVE开始的，从CVE到内网而后到域控！
手法简略！仍是要多学习哈哈哈哈！啊啊啊，我想开学了！为何不开学
所有从CVE开始
这个浸透测试的是经过JBoss的CVE反序列化破绽进去的，而后经过一步一步的横向浸透获得了两个域控！
首先对发现了该站点有JBoss页面，通过测试发现拥有JBoss反序列化破绽。

使用网上提供的EXP和利用办法，在VPS下面获得了一个shell。
这里看到对方是windows零碎，以后用户权限是办理员权限。而且该机用具有四张网卡，通向了四个网段！

查看该机器的零碎信息，发现是一台Windows 10 的办事器，而且该机器是在域环境外面的！

接着原本想间接上线CobaltStrike的，然而测试了很久都无发上线，这里应该是有杀软之类的阻拦了！
那末我以后的思绪就是经过这个反弹回来的shell 找到JBoss的部署门路部署war包的木马了
所有顺利，同样成功在冰蝎上衔接上了部署下来的木马。
真的是nice啊！[ 暴龙点赞 ]

接着我上传了一个对免杀成果仍是挺OK的马儿下来！然而也被杀了！
看了免杀不到位啊。
这里使用只能经过以后办理员权限创立一个用户，代理进入内网经过3389进去到对方机器了！

而后再使用冰蝎上传代理工具下来，进行两端衔接之后胜利登陆进入到对方的机器下面

进去之后发现对方开启的杀软是微软自带的杀毒软件！好家伙这个货色也太强了了吧！[暴龙晕了]
然而我以后创立的用户无奈封闭这个微软自带的杀软！。
因为是windows10的零碎，我经过procdump获得lsass.exe外面的凭据下载上去，而后经过mimikatz获得外面的信息

接着下载上去使用mimikatz进行获得数据，而且保留到log中

而且再第二处也留下了用户名和明码！这里明码采集起来能够前期能够进行利用。

利用刚刚mimikatz获得出来的用户名和明码登陆进入这台拥有四张
网卡的JBoss主机下面！其实最强的免杀应该就是没有杀软吧哈哈哈哈哈！
[暴龙点赞] 利用该办理员用户权限间接封闭微软的自带杀软后上线CobaltStrike

进去之后枚举域，发现存在挺多域的。
经过对内网445端口的扫描前往的信息发现内网中大多主机都是再域ANDXXXXX中

间接ping 一下域名发现域控可能部署再192.168.1.5中，然而使用其余工具其实不能获得到精确的域控信息

接着对内网的主机进行信息探测，对四个网段进行了探测扫描，发现192.168.1.0/24网段的主机得多ms17-010。
而且windows7的主机对比多，然而挨次对其进行ms17-010攻打其实不能获得到shell。
这里揣测是杀软或者防火墙的锅。
然而在192.168.8.0/24网段中胜利打中了一台windows 2008办事器。

接着load下来mimikatz间接获得外面的凭证信息，而且获得到了明文的凭证信息（谅解我这懈怠的打码）

对这台主机进行3389端口扫描发现器开启了3389端口，近程登陆进去发现其不克不及出网！

一开始在MSF外面履行一些操作也是不克不及履行，发现进去之后有一个杀软ESET，而且封闭杀软需求明码。（啊....这！）

首先我想了一个方法，经过WEB机器近程进去到这台机器下面，经过近程桌面自带的磁盘同享分享木马或者工具到这台window 2008的零碎下面。我首先把直达木马下来，间接被杀了！
搞了一个免杀的明码下来却提醒不克不及履行（啊！.... 原来我太菜了！）

接着我间接上传procdump获得这台主机的明码。
而后dump上去使用mimikatz获得外面的数据。
而且对这些明码进行了整顿！接着使用CobaltStrike的插件对内网主机进行暴力破解，破解192.168.1.0/24网段有挺多主机是相反明码的。

接着上线了这外面的两台主机分别是192.168.1.46和192.168.1.180。
接上去能够对这两台主机进行信息搜集。
登陆192.168.1.96和192.168.1.十二0发现是一台VNC登陆的机器。
外面是登陆一台Linux，并且好像是虚构机

接着使用近程桌面也上线一台win7主机。IP地址为192.168.1.203。
然而是任务组的机器，应该是机器了

接着对192.168.1.0/24网段进行ssh主机的弱口令扫描。
发现如下能够衔接
接着对192.168.5.0/24网段进行爆破。爆破出了一个我没有登陆过的主机192.168.1.193
登陆进去是一个Windows 2008的操作零碎，而且这个主机有一张网卡是100.0.0.101的IP。这里又通向新的网段

而且可能这台机器仍是一台办理的机器，能够监控这几个网段的机器！

接着对192.168.8.0/24进行暴力破解。
发现也是能够登陆进去一个主机
进去之后发现它的IP地址是192.168.1.90。能够看到它这些网段大少数主机都是相反的。
接着来能够对这台主机进行明码获得。而后再对明码进行采集整顿。
再进行爆破

在这台主机发现他这里有近程桌面到其余主机，对方是Linux主机，这台应该就是办理机器了吧

接着还能够对内网资产进行扫描，发现了现内网得多JBoss然而主机都曾经获得权限上去了！
而且192.168.1.0/24这个网段得多永恒之蓝，然而都打欠亨，我疑心就是杀软的锅，把payload 阻拦了！

接着近程衔接到192.168.1.134主机下面，这台主机没有甚么办事，办理员应该不怎么理睬。
然而在192.168.1.134这台主机这里它有同享磁盘给192.168.1.十二2。
以前对192.168.1.十二2爆破到了明码，然而经过445其实不能衔接进去，这里经过WMIHACKER的进行135端口衔接竟然胜利了！

接着上传一个procdump到对方主机下面。命令如下
我间接查看一些近程衔接，发现由近程衔接记载。
而后关上近程桌面发现这里留有近程登陆192.168.1.十二2的记载
然而使用mimikatz获得RPD凭证无果！！

接着我使用登陆192.168.1.134的明码登陆进入了192.168.1.十二2。这也太巧了吧！

接着经过近程桌面登陆进去了192.168.1.十二2。
这里揣测办理员应该是做了战略只允许192.168.1.134登陆这台机器，在一开始近程RDP却登陆不了192.168.1.十二2。
进去之后发现是一个子域。
真的是太侥幸了！然而对方主机不克不及上线，这个域控开启了eset和微软的杀软，这里我间接拖下它的dmp获得明码hash。
最初发现其192.168.1.134一个存储办事器，192.168.1.十二2外面的数据都通向192.168.1.134。

接着能够经过导出这个域控的ntds.dit文件出来获得域控krbtgt的hash出来
#创立快照，该快照包孕Windows中的一切文件，且在复制时不会遭到Windows锁定机制的影响

接着在域控导出ntds.dit后，还需求导出system.hive。
由于system.hive中寄放着ntds.dit的密钥。
reg save hklm\system c:\system

使用 impacket 工具包中的 secretdump.py 也能够解析 ntds.dit 文件，导出散列值。
impacket-secretsdump -system system -ntds ntds.dit LOCAL

接着经过krbtgt的hash制造黄金票据。

然而使用CS的批量上线都上线不了，要不就是对445进行了端口过滤，要末就是有杀软之类的阻止了上线。
而后对域中的SPN进行扫描，发现了192.168.1.5开启了MSSQL办事。
而后想起来以前看到无机器的MSSQL的明码是和机器登陆的明码是同样的，办理员应答明码的复用率很高，接着我对明码再次进行整顿，对这个机器进行MSSQL暴力破解。
胜利登陆域控的MSSQL数据库。

接着开启MSSQL的xp_cmdshell开提权进入到域控的机器外面

侥幸的是这里域控开启的MSSQL办事是administrator权限的，免去了提权的操作。
否则遇到ESET又要倒大霉了！

既然是高权限，而且是出网的，我经过下载procdump到指标的主机而后获得到lsass的文件上去，利用IPC$衔接到192.168.1.134这台机器下面把dump上去的文件copy到192.168.1.134这台机器。
使用mimikatz获得明文明码。而后使用明码登陆进入到这台域控中。
以前使用MS14-068。没无利用胜利，却经过MSSQL提权到了域控！！[暴龙点赞]

而后导出域控krbtgt的hash出来。再次经过IPC$衔接把文件复制到192.168.1.134。
接着在CS中下载到当地破解到域控中一切用户的hash

最初对域控和以前横向获得的主机进行明码的整顿，虽然不克不及经过445批量上线整个主机，然而对开启了3389的主机进行登陆都是能够胜利的登陆的！
在192.168.1.0/24这个网段的主机 windows 7 占多数是办公网段！
而且存在ms17-010,然而大多不克不及利用。
开头
通过了这个漫长的寒暑，接上去我的学习方案就是想把Linux零碎和Windows零碎的常识在增强！
声明：本大众号所分享内容仅用于网安喜好者之间的技术探讨，阻止用于守法途径，一切浸透都需获得受权！不然需自行承当，本大众号及原作者不承当相应的结果.
学习更多浸透技巧！供靶场练习技巧
（扫码领白帽黑客视频材料及工具）

华人澳洲中文论坛

热图推荐

实战｜CVE到内网而后拿下4个域控

发表回复

午夜幽魂
关注TA

图文推荐

华人澳洲中文论坛

热图推荐

实战｜CVE到内网而后拿下4个域控

发表回复

午夜幽魂 关注TA

图文推荐

午夜幽魂
关注TA