实战|一次真实的域渗透拿下域控(内网渗透)
2022-8-7 10:11:55 Author: 渗透安全团队(查看原文) 阅读量:37 收藏

最近想练一波内网渗透,于是就fofa批量了一波weblogic,挑了一个国外的机子

这里用工具发现存在漏洞CVE-2017-10271和CVE-2019-2725




这里我选择了用CVE-2017-10271,先命令执行一波,发现是台Windows的机子




先传个冰蝎shell上去吧




冰蝎连接成功,先内网信息收集一波




一台winserver2008的机子,我们可以抓到明文密码,并且存在域,打了303个补丁(丧心病狂)


查看一下有无杀软




不存在杀软,那么Beacon就不需要免杀处理,我们可以直接上线CS(这里上线的Beacon配置了云函数,所以外网ip是一直变的)


上线首先做个进程迁移,选择一个常见的进程注入



这里我们进行内网信息收集


内网首先目标是打域控



好家伙,6个域控,之后查看域管


这么多域管,意味着我们只要能拿到一个域管的权限,这个内网就能漫游了
首先来看看能不能在当前机子进行提权,因为前面303个补丁,我感觉都提不动了


经过提权尝试后,发现常规的提权洞都打了补丁,没办法,当前机子是管理员权限,并且没有杀软,先来抓一波hash





接下来,使用CS自带的扫下内网存活




出现了两个域控,目标非常明确了,那么下面尝试用抓取到的hash进行psexec横向移动


经过多次尝试后,发现两个域控均不能横向,且其他机子无果

下面直接上内网大杀器MS17010!

使用Ladon快速探测存在MS17010的主机




初步探测两个域控均存在MS17010,这里使用Landon自带的exp,发现利用失败。既然这样,那么上线MSF吧

首先看了下,目标是出网机器




之后尝试使用frp,nps等常规代理想把流量代理出来,发现无果,猜测目标做了限制,那么我们直接用公网的msf吧。


CS4.3版本移除了foreign/reverse_tcp

所以我建立了一个foreign/reverse_http的listener,msf监听后,

CSspwan,成功获得一个meterpreter




下面我们添加路由

  1. run get_local_subnets

  2. run autoroute -s 10.0.10.0/24

  3. run autoroute -p



那么对ip为10.0.10.1的域控用MS17010打一波

这里使用ms17_010_eternalblue这个exp一直打不成功

那么我们换个exp打

成功获得一个session!



下面我们把这个刚刚获得的session转发回CS




成功反弹

我们已经拿下一台域控了,那么其他5台就可以都拿了


我们先对这一台做个信息收集


老样子先进程迁移一下




抓下hash吧


好家伙,为空!!!!


那么直接试下横向呢




也不行!


回想在和MSF联动的时候,本地路由还有个26网段,那我们在基于当前域控再做一波内网探测




又发现一个DC


再试试横向一下,仍旧失败




后来尝试了ipc,wmi也不行


这时,我突然想到,既然已经拿到域控了,那么我自己创建个域管不就可以了吗




那么换域管登录,这里我尝试在拿到的域控切换,但是不行,那么我们就换那个跳板机吧



成功切换


那我们以域管身份的session进行横向





同样另一台域控




在第三台域控可以抓取全部hash





后面三台域控发现ping不到且探测不到,那么对已有的机子做个简单的权限维持后,本次内网渗透结束。

作者:ansdjkfasfbkas 

原文地址:https://forum.butian.net/share/593

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!


群聊 | 技术交流群-群除我佬

干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制


好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247489905&idx=1&sn=65895d5342f431dc4bd681c3bac46462&chksm=c175e4def6026dc8212878c830a3371fb22aba5dc0a6515bf0cad320db94d08413bf27487b15#rd
如有侵权请联系:admin#unsafe.sh