安全矩阵

 找回密码
 立即注册
搜索
查看: 2574|回复: 0

记一次渗透内网获取域控的过程

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2021-3-4 21:53:23 | 显示全部楼层 |阅读模式
本帖最后由 gclome 于 2021-3-4 21:54 编辑

原文链接:记一次渗透内网获取域控的过程

渗透目标:获取域控内某台ftp服务器中的文件
0x01入口

钓鱼附件的形式获得了一个meterpreter
收集信息发现:当前用户为user,user在管理组里面,这种可以通过bypassuac提权到管理员权限


0x02尝试提权

尝试使用getsystem提权,不出意外的失败了
看来虽然user用户是在管理员组里,但是当前session是普通用户权限,因为管理权限的session使用getsystem是可以直接提权到system的

尝试bypassuac提权到管理员,然后getsystem提权到system,
失败了好几次,应该是因为存在某些杀软的关系所以无法提权到系统权限。但是管理员权限够用了。

可以将管理员权限提升为系统权限:
https://github.com/uknowsec/getSystem


0x03扫描内网主机
先使用arp发现内网主机,发现了一批主机

使用nmap挂代理扫描,扫描完成没有收获

0x04键盘捕获
由于扫描没有收获,想到使用键盘捕获看下能不能抓到一些敏感信息。
使用keyscan_start就开始了键盘捕获,经过一个晚上,成功捕获到一些信息
信息整理:三个ip和一些用户名或者密码的信息


0x05内网web系统测试
首先先设置代理
使用proxifier工具,配置好服务器,服务器地址是刚才kali的ip,端口1080
配置代理规则,加入Firefox和burp,这样Firefox和burp的流量就默认走代理服务器了。

访问192.168.2.4发现能访问到,抓取登录包,用户名和密码是明文

而且存在用户名枚举漏洞,使用burp的爆破模块尝试爆破用户名,无果。
突然想起来之前键盘捕获到几个关键字,尝试xxxei:xxxxxge登录成功。
经过大量测试之后发现
系统设置-用户管理-编辑,发现可以上传图片然后可以改后缀名。
先上传一个PHPinfo试试,发现成功执行,可以确定存在文件上传漏洞。
然后上传一句话,蚁剑设置代理然后连接。

成功连接

发现存在域环境lxxx.com

通过getSystem成功获取管理员权限


0x06域渗透
查询到DNS是192.168.3.4,所以域控应该是192.168.3.4,域是LxxX,域成员有三个.
由于Webshell用起来不太方便,使用meterpreter获取shell
使用kiwi模块获取哈希
creds_all:该命令可以列举系统中的明文密码
kiwi_cmd:模块可以让我们使用 mimikatz 的全部功能,该命令后面接 mimikatz.exe 的命令。
如:Dump哈希命令为 kiwi_cmd sekurlsa::logonpasswords
先列举明文凭据,未获取到

获取哈希,报错了,需要32位进程才能执行,我们的meterpreter是32位的,所以先迁移一下进程

迁移进程之后就可以获取到哈希和密码了,然后发现域控的账号和密码。
域控账户曾经登陆过这台机器,lucky~

整理一下目前的信息
192.168.1.2是办公机,普通权限,socket4代理
192.168.2.4是web主机,系统权限,有账户和密码,socket4代理。
192.168.3.4是域控,有账户和密码
使用meterpretershell不能直接弹回shell,所以想到先远程登录到web主机,然后使用psexec弹回shell
先关闭主机的防火墙,然后开启3389
netsh advfirewall set allprofiles state off
开启rdp:
REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f
成功连接登录192.168.2.4的服务器

成功弹回域控的系统权限shell


0x07获取ftp权限

发现一台新机器,名字是yw,猜测是运维机,ip为192.168.3.2

解密xshell session的密码
先查询一下用户的sid,解密需要用到
这里附解密工具https://github.com/uknowsec/SharpDecryptPwd

解密得到密码test,登录ftp


0x08技术总结
1、邮件钓鱼获取入口
2、键盘记录获取域内ip和业务密码
3、渗透web业务获取域内用户权限
4、抓取域密码,登录域控
5、通过域控登录运维机器
6、解密ftp密码,登录ftp


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-29 18:26 , Processed in 0.015502 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表