记一次渗透内网获取域控的过程
渗透目标:获取域控内某台ftp服务器中的文件
0x01入口
钓鱼附件的形式获得了一个meterpreter
收集信息发现:当前用户为user,user在管理组里面,这种可以通过bypassuac提权到管理员权限
0x02尝试提权
尝试使用getsystem提权,不出意外的失败了
看来虽然user用户是在管理员组里,但是当前session是普通用户权限,因为管理权限的session使用getsystem是可以直接提权到system的
尝试bypassuac提权到管理员,然后getsystem提权到system,
失败了好几次,应该是因为存在某些杀软的关系所以无法提权到系统权限。但是管理员权限够用了。
可以将管理员权限提升为系统权限:
https://github.com/uknowsec/getSystem
0x03扫描内网主机
先使用arp发现内网主机,发现了一批主机
使用nmap挂代理扫描,扫描完成没有收获
0x04键盘捕获
由于扫描没有收获,想到使用键盘捕获看下能不能抓到一些敏感信息。
使用keyscan_start就开始了键盘捕获,经过一个晚上,成功捕获到一些信息
信息整理:三个ip和一些用户名或者密码的信息
0x05内网web系统测试
首先先设置代理
使用proxifier工具,配置好服务器,服务器地址是刚才kali的ip,端口1080
配置代理规则,加入Firefox和burp,这样Firefox和burp的流量就默认走代理服务器了。
访问192.168.2.4发现能访问到,抓取登录包,用户名和密码是明文
而且存在用户名枚举漏洞,使用burp的爆破模块尝试爆破用户名,无果。
突然想起来之前键盘捕获到几个关键字,尝试xxxei:xxxxxge登录成功。
经过大量测试之后发现
系统设置-用户管理-编辑,发现可以上传图片然后可以改后缀名。
先上传一个PHPinfo试试,发现成功执行,可以确定存在文件上传漏洞。
然后上传一句话,蚁剑设置代理然后连接。
成功连接
发现存在域环境lxxx.com
通过getSystem成功获取管理员权限
0x06域渗透
查询到DNS是192.168.3.4,所以域控应该是192.168.3.4,域是LxxX,域成员有三个.
由于Webshell用起来不太方便,使用meterpreter获取shell
使用kiwi模块获取哈希
creds_all:该命令可以列举系统中的明文密码
kiwi_cmd:模块可以让我们使用 mimikatz 的全部功能,该命令后面接 mimikatz.exe 的命令。
如:Dump哈希命令为 kiwi_cmd sekurlsa::logonpasswords
先列举明文凭据,未获取到
获取哈希,报错了,需要32位进程才能执行,我们的meterpreter是32位的,所以先迁移一下进程
迁移进程之后就可以获取到哈希和密码了,然后发现域控的账号和密码。
域控账户曾经登陆过这台机器,lucky~
整理一下目前的信息
192.168.1.2是办公机,普通权限,socket4代理
192.168.2.4是web主机,系统权限,有账户和密码,socket4代理。
192.168.3.4是域控,有账户和密码
使用meterpretershell不能直接弹回shell,所以想到先远程登录到web主机,然后使用psexec弹回shell
先关闭主机的防火墙,然后开启3389
netsh advfirewall set allprofiles state off
开启rdp:
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
成功连接登录192.168.2.4的服务器
成功弹回域控的系统权限shell
0x07获取ftp权限
发现一台新机器,名字是yw,猜测是运维机,ip为192.168.3.2
解密xshell session的密码
先查询一下用户的sid,解密需要用到
这里附解密工具https://github.com/uknowsec/SharpDecryptPwd
解密得到密码test,登录ftp
0x08技术总结
1、邮件钓鱼获取入口
2、键盘记录获取域内ip和业务密码
3、渗透web业务获取域内用户权限
4、抓取域密码,登录域控
5、通过域控登录运维机器
6、解密ftp密码,登录ftp
- 本文作者: 带头大哥
- 本文来源: 奇安信攻防社区
- 原文链接: https://forum.butian.net/share/47
- 版权声明: 除特别声明外,本文各项权利归原文作者和发表平台所有。转载请注明出处!