一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击

渗透Xiao白帽

渗透Xiao白帽

微信号 SuPejkj

功能介绍积硅步以致千里，积怠惰以致深渊！

__

收录于话题

以下文章来源于渗透攻击红队，作者渗透攻击红队

渗透攻击红队 .

一个专注于渗透红队攻击的公众号

在域渗透的时候我们手动梳理域内环境需要花很大功夫，这时候通过 SharpHound 对当前机器的环境进行分析，就能够很快知道离域管最近的攻击线路，快速精准打击！

一次完美的内网域渗透

前言

首先是拿到了一个命令执行的点，发现当前跳板机器是存在域环境的：

tasklist 未发现有 AV，并且当前机器是出网机器：

看了看当前系统是 Windows Server 2016:

由于当前是 Windows Server 2016 的服务器，肯定是有微软自带 Windows Defender 的，所以简单做了一下免杀上线到 Cobaltstrike：

然后 ms16-075 提权到 SYSTEM：

内网信息搜集

首先是查看了一下域管分别是哪些用户：

然后查看了一下域控列表，随后 ping 域控机器名得到域控的 IP：

发现域控是 10 段，而当前跳板机器是 192.168.54.200 ，猜测可能不止一个段的机器存活！

先抓一波 hash 把：（Windows server 2016 是抓不了明文密码的）

好家伙，这台机器应该是被”大哥“来过了，应该被改了一下注册表，这才让我抓到了明文，还有其他 hash，之后可以用来 PTH。

然后搜集了一下当前机器的其他密码发现 Oracle 的密码：

然后也抓到了其他浏览器的密码：

整理了一下密码，然后通过域外对域内当前 C 段进行横向喷射：

成功了几台，先留着。

Neo-reGeorg + Socks = 进入目标内网漫游

想要扩大战果还是要做个隧道进行目标内网，但是我发现常用的 frp、nps 都用不了，猜测目标做了限制，后来通过 http 隧道成功进了目标内网！

reGeorg 是 reDuh 的升级版。主要把内网服务器的端口通过http或https隧道转发到本机。

项目地址：https://github.com/L-codes/Neo-reGeorg

先设置密码，生成 tunnel 的 webshell，并上传到目标服务器：

python neoreg.py generate -k pass

这个时候直接 VPS 运行，把目标内网流量通过 http 转发到 VPS 的 1080 端口：

python neoreg.py -k pass -u http://saulgoodman.cn//wls-wsat/tuu.jsp

然后本地 VPS 代理：

说明代理成功了！记住这里是 127.0.0.1 只能本地代理，客户端代理你服务器的 socks 是代理不上的！为了方便我在我再 Windows 上重新代理了一下，方便后续操作！

这个时候就可以进目标内网了，由于当前目标机器时间是凌晨，且确定没有人在用远程桌面，我直接登陆目标远程桌面：

然后对目标桌面上进行信息搜集发现有 SSH 登陆：

成功又拿下内网其他机器：

然后换个用户登陆到 200 这台机器：（发现有大哥扫描过了，资产还挺多）

发现应该都是 docker，没啥价值！资产收集的差不多了该搜集域内的了！

SharpHound 对域内进行信息搜集

通过 SharpHound 对域内进行信息搜集：

execute-assembly /root/桌面/nw/SharpHound.exe -c all

然后把他下载到本地进行分析：

可以看到当前只有四个域管理员：

由于当前跳板机器是DRAxx，我们就分析 DRAxx 的环境：

可以看到当前机器 DRAxx 可以到达 ERIDANUS.xxxx.xxx 机器，思路就是我们可以通过 ERIDANUS 拿到这台机器的权限，然后在拿到最近的域管！那么我们直接通过之前抓到的 ali.hamzeh 密码去横向 wmi 到 ERIDANUS：

proxychains python3 wmiexec.py -shell-type cmd xxxx/ali.hamzeh:passsword@192.168.54.53 -codec gbk

然后直接 Powershell 上线到 CobaltStrike：（太卡了这个 socks，又重开了一个 wmi）

由于当前 ERIDANUS 机器没有 AV 直接提权把：

通过查看当前 ERIDANUS 机器发现的确如 SharpHound 分析那样有一个 ebrahim 域管的进程：

直接注入域管进程上线到 CobaltStrike 吧：

成功拿到域管权限！我为了好区分，绿色 beacon 是域管！之后直接先抓下域管密码 hash：

有了域管的 hash 后，直接可以 PTH 域控：

proxychains python3 wmiexec.py -shell-type powershell -hashes :84d562d8c6f5xxxxxxxxxx xxxxx/ebrahim@192.168.10.10 -codec gbk

然后还是老样子，直接 PowerShell 上线到 CobaltStrike：（还是老问题，socks 卡，重开了一个窗口)

成功拿到域控 AD :192.168.10.10

然后通过 PTH 也成功拿到域控 INF-AD-2：192.168.10.200

最后 hashdump 拿下整个域用户 hash：

嗯，就到这吧。

【往期推荐】  


[【内网渗透】内网信息收集命令汇总](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247485796&idx=1&sn=8e78cb0c7779307b1ae4bd1aac47c1f1&chksm=ea37f63edd407f2838e730cd958be213f995b7020ce1c5f96109216d52fa4c86780f3f34c194&scene=21#wechat_redirect)  


[【内网渗透】域内信息收集命令汇总](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247485855&idx=1&sn=3730e1a1e851b299537db7f49050d483&chksm=ea37f6c5dd407fd353d848cbc5da09beee11bc41fb3482cc01d22cbc0bec7032a5e493a6bed7&scene=21#wechat_redirect)

[【超详细 | Python】CS免杀-Shellcode Loader原理(python)](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247486582&idx=1&sn=572fbe4a921366c009365c4a37f52836&chksm=ea37f32cdd407a3aea2d4c100fdc0a9941b78b3c5d6f46ba6f71e946f2c82b5118bf1829d2dc&scene=21#wechat_redirect)

[【超详细 | Python】CS免杀-分离+混淆免杀思路](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247486638&idx=1&sn=99ce07c365acec41b6c8da07692ffca9&chksm=ea37f3f4dd407ae28611d23b31c39ff1c8bc79762bfe2535f12d1b9d7a6991777b178a89b308&scene=21#wechat_redirect)  


[【超详细 | 钟馗之眼】ZoomEye-python命令行的使用](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247488453&idx=1&sn=5828a0e1a2299d3ee0215f0ed4c30bf1&chksm=ea37ec9fdd406589124c67c45487be39ed1033d88c627092cf07f6d4f14ccdb9079b38dba74d&scene=21#wechat_redirect)  


[【超详细 | 附EXP】Weblogic CVE-2021-2394 RCE漏洞复现](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247488922&idx=1&sn=f43e3c243bbbfd2822867a3acaa8b85e&chksm=ea37eac0dd4063d63d98f935c73ce571cbfeb0e7272a6f171a28143bdb3e7134b09ea874969a&scene=21#wechat_redirect)

[【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247485550&idx=1&sn=921b100fd0a7cc183e92a5d3dd07185e&chksm=ea37f734dd407e22cfee57538d53a2d3f2ebb00014c8027d0b7b80591bcf30bc5647bfaf42f8&scene=21#wechat_redirect)

[【超详细 | 附PoC】CVE-2021-2109 | Weblogic Server远程代码执行漏洞复现](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247486517&idx=1&sn=34d494bd453a9472d2b2ebf42dc7e21b&chksm=ea37f36fdd407a7977b19d7fdd74acd44862517aac91dd51a28b8debe492d54f53b6bee07aa8&scene=21#wechat_redirect)

[【漏洞分析 | 附EXP】CVE-2021-21985 VMware vCenter Server 远程代码执行漏洞](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247487906&idx=1&sn=e35998115108336f8b7c6679e16d1d0a&chksm=ea37eef8dd4067ee13470391ded0f1c8e269f01bcdee4273e9f57ca8924797447f72eb2656b2&scene=21#wechat_redirect)

[【CNVD-2021-30167 | 附PoC】用友NC BeanShell远程代码执行漏洞复现](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247487897&idx=1&sn=6ab1eb2c83f164ff65084f8ba015ad60&chksm=ea37eec3dd4067d56adcb89a27478f7dbbb83b5077af14e108eca0c82168ae53ce4d1fbffabf&scene=21#wechat_redirect)  


## [【奇淫巧技】如何成为一个合格的“FOFA”工程师](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247485135&idx=1&sn=f872054b31429e244a6e56385698404a&chksm=ea37f995dd40708367700fc53cca4ce8cb490bc1fe23dd1f167d86c0d2014a0c03005af99b89&scene=21#wechat_redirect)

[【超详细】Microsoft Exchange 远程代码执行漏洞复现【CVE-2020-17144】](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247485992&idx=1&sn=18741504243d11833aae7791f1acda25&chksm=ea37f572dd407c64894777bdf77e07bdfbb3ada0639ff3a19e9717e70f96b300ab437a8ed254&scene=21#wechat_redirect)

[【超详细】Fastjson1.2.24反序列化漏洞复现](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247484991&idx=1&sn=1178e571dcb60adb67f00e3837da69a3&chksm=ea37f965dd4070732b9bbfa2fe51a5fe9030e116983a84cd10657aec7a310b01090512439079&scene=21#wechat_redirect)

[  记一次HW实战笔记 | 艰难的提权爬坑](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247484991&idx=2&sn=5368b636aed77ce455a1e095c63651e4&chksm=ea37f965dd407073edbf27256c022645fe2c0bf8b57b38a6000e5aeb75733e10815a4028eb03&scene=21#wechat_redirect)

[【漏洞速递+检测脚本 | CVE-2021-49104】泛微E-Office任意文件上传漏洞](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247491093&idx=1&sn=6eb98fb387c0df3a0488f43b2de5fb95&chksm=ea37e14fdd406859c3d72401523c1721d6e16b9aff320aed6f71602554b12be08d13e6cce666&scene=21#wechat_redirect)  


[免杀基础教学（上卷）](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247490994&idx=1&sn=bb2486096d4cb848bebda423e96f9853&chksm=ea37e2e8dd406bfe612fe4cfbc7e70f9ce84119f3e9c7f72d38f276b6cb70157ca98f2936640&scene=21#wechat_redirect)  


[免杀基础教学（下卷）](http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247491023&idx=1&sn=2b15f46ecf305ef8cb4909c46a9e7e7c&chksm=ea37e295dd406b83b271710e15fd8767a59a81cd8b6b8f5f503123fa765fa6a9dc4ffa5ab0bd&scene=21#wechat_redirect)  


走过路过的大佬们留个关注再走呗![](https://gitee.com/fuli009/images/raw/master/public/20220315185116.png)

往期文章有彩蛋哦![](https://gitee.com/fuli009/images/raw/master/public/20220315185117.png)

一如既往的学习，一如既往的整理，一如即往的分享

“如侵权请私聊公众号删文”

预览时标签不可点

收录于话题 #

个

微信扫一扫
关注该公众号

知道了

微信扫一扫
使用小程序

取消允许

：，。视频小程序赞，轻点两下取消赞在看，轻点两下取消在看

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

[渗透Xiao白帽]-2022-3-15-一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击.md

[渗透Xiao白帽]-2022-3-15-一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击.md

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击

Files

[渗透Xiao白帽]-2022-3-15-一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击.md

Latest commit

History

[渗透Xiao白帽]-2022-3-15-一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击.md

File metadata and controls

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击