原创 校长 不懂安全的校长
不懂安全的校长
微信号 sectip
功能介绍 校长不懂安全,总是发些奇奇怪怪的笔记!
__
收录于话题
WEB打点就不详说了,是通过Weblogic远程代码执行拿下的机器
发现主机是在域内,并且主机是出网机器,补丁也打的挺多的
查看域管理员
感觉这个域还挺大的,ping一下域控得到域控ip
查看主域控 nslookup pdc._msdcs.abc.com
查看域用户,巨多,不全截了
没有杀软,直接powershell混淆一下上线了
由于当前机器是windows server2012的抓不到明文,把hash抓下来先留着pth
浏览器也没抓到什么密码
不过呢内网主机还挺多的,很多网段,有几个ftp匿名登录和几个ssh弱口令,上去看了一下,收集了些信息。
使用拿到的hash进行横向pth(关于pth在内网渗透系列文章中第四篇中有讲解)
继续收集敏感信息和密码
上传frp代理
使用proxifer代理本地主机
内网很多都是一些这样的示例页面,没啥意思
根据之前梳理的各个机器的密码和敏感信息再进行横向密码喷射
翻查敏感信息过程中发现其中一台机器有域管进程,直接窃取域管进程拿到域管权限。
抓取域管hash后尝试pth到域控,成功拿下域控10.10.1.1
这里现在只是获取到了一台域控的权限,试试能不能获取其他几台域控的权限,由于这台主机是2008r2,能直接dump到几台域管的明文,尝试用这几个密码登录,都失败了,换个方式打一下
由于当前机器是域控,默认开启了非约束委派,查看当前票据,不存在其他票据,尝试访问另一台域控c盘,失败
打印机加非约束委派,强制让10.10.1.10域控访问我们现在这台域控10.10.1.1的spooler服务,从而获取10.10.1.10的TGT。
工具下载地址:https://github.com/shanfenglan/test/tree/master/spooler
使用方法:spoolsample.exe 域控主机名 非约束委派机器主机名
查看票据,导出票据mimikatz kerberos::list
拿着导出的其他域管TGT去导入本机
Klist 查看当前本机已有的票据
直接dir10.10.1.10域控c盘,可以访问到
这里想通过ipc管道执行命令来着,一直报服务没开启
一顿尝试之后,准备使用copy文件和写计划任务上线,先在跳板机上传一个马到机器上,通过ipc管道copy到10.10.1.10域控机器上
通过ipc管道添加计划任务,有时候因为安全配置不允许直接添加任务,要在后面添加账号密码 /U 账号 /P 密码
schtasks /create /s 目标ip /tn 计划任务名称 /sc onstart /tr 对方目录 /ru system /f
执行计划任务,同样,如果有安全配置一样在后面添加密码就可以
schtasks /run /tn test /s IP
删除计划任务
第一次是马被杀了。。一直没反应过来,还等了半天。。后面重新做免杀、添加计划任务、执行,还是没连接过来,想了一下可能是目标不出网,因为已经建立了ipc管道,想了想直接用smb的beacon正向连接,普通的psexec不太行,换了powershell版本就可以了。
jump psexec64 10.10.1.10 smb //这里的smb是smb的Listeners
jump psexec_psh 10.10.1.10 smb
至此成功上线三台域控
后续继续用委派的票据获取其他几台域控的权限
通过主域控直接dcsync dump,抓域内所有用户hash
mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:abc.com /all /csv
**
**
从现在开始,星球定价150元!日后只有慢慢涨没有跌价!现在入股不亏,持续输出原创文章,还是小有干货的!
预览时标签不可点
收录于话题 #
个
上一篇 下一篇
阅读
分享 收藏
赞 在看
____已同步到看一看写下你的想法
前往“发现”-“看一看”浏览“朋友在看”
前往看一看
看一看入口已关闭
在“设置”-“通用”-“发现页管理”打开“看一看”入口
我知道了
__
已发送
取消 __
发送
实战案例 | 在一次攻防中拿下内网域
最多200字,当前共字
__
发送中
写留言
微信扫一扫
关注该公众号
知道了
微信扫一扫
使用小程序
取消 允许
取消 允许
: , 。 视频 小程序 赞 ,轻点两下取消赞 在看 ,轻点两下取消在看