本帖最后由 zhaorong 于 2022-12-12 15:31 编辑
世界杯开赛快结束了,刚好搞的是强队的域控,好的竟然爆冷了,那今来给大伙展示展示厨艺[狗头]
web打点
朴实无华的jboss登录界面
实在不好意思兄弟们,奈何关键的位置比较明显,就还是打一下码
直接net user /domain,看到这个在本地xxx域的域控制器上处理请求,好家伙是存在域的
ipconfig /all 再次认证了是存在域控的,是有一个网卡的,DNS服务器显示8.8.8.8,也就说明了不是域内主机。
不出网的,需要搞个隧道代理,把流量转发到vps上
利用这款工具的文件功能,先翻一下文件看看有什么信息,这里看到是有安装了google 之后可以读取
一下他的浏览器密码
已经看到上传了很多war,全都是上传马子的,耶!是前辈的足迹,观摩了下前辈们的jsp木马 只能
说tql(直接下载回去学习一下)
也有看到一些比较容易看懂的jsp木马,就直接通过前辈们留下的jsp进去
冰歇连接进去
内网探测和HTTP隧道代理
pystinger
这里使用pystinger,进行正向代理,通过webshell上传,实现Socks4a与cs联动,上线内网不出网主机
github:Release 优化多连接时传输速度 · FunnyWolf/pystinger · GitHub
上传webshell里面的jsp到,jboss的根目录,也就是前辈们的war包里面
这里就是把proxy.jsp改为类似前辈的jsp命名
访问war的目录,看到这个就说明stinger的jsp上传成功
然后再到其他比较隐蔽的文件夹,上传stinger_server.exe
start stinger_server.exe 0.0.0.0,开启服务,视作为服务器
vps需要开启stinger_client客户端服务,./stinger_client -w http://xxx.xxx.xxx.xxx/xx
x.jsp -l 0.0.0.0 -p 60000
启动cs,设置windows的exe可执行程序,设置监听器为内网地址172.17.50.9,端口是60020
将生成的exe通过webshell上传并运行,等待cs的上线
使用mimikatz模块,读取一下密码(这里一开始只抓到hash值,后面拿到域控写这篇文章后,就可以抓到明文密码了)
这里想探测一下内网的域信息,但是跟webshell一样
提权这里,使用的是cs自带的提权
横向移动
那就扫描一下172.17.50.0这个网段,通过获取到的hash进行横向移动,跳转到其他内网主机
portscan 172.17.50.0/24 1-1024,3389,5000-6000 arp 1024
扫描出来的结果发现有台主机名叫SRV-AD,蛤,这一定就是传说中的AD,嗯不是,是DC。
害,太菜了,百度脑补一下。
AD:是指活动目录数据库,里面存放众多的网络对象
DC:存放AD的计算机被称为DC
AD本质是提供目录服务的组件、DC本质是个计算机 【感觉就是注重点不同,但就是表达同一种东西】
这里通过横向的psexec,跳转到这台SRV-AD上
这里的监听器选用smb,Session会话选择提权完的system权限
可以看到这里成功上线
进行内网的信息收集
net user /domain #查询域内用户
定位一下域控
ping 域控 #好家伙自己ping自己
抓取一下hash
那么域控拿下了,剩下的也就是一样的横向移动
继续横向其他的内网主机,横向到WEBSERVICE
这里直接注入有域账号mysql里面的进程,并上线成功
用同样的办法上线,其他内网主机里面
权限维持
制作黄金票据,黄金票据的原理就是用krbtgt的hash来伪造TGT的内容。
需要域用户名+域+域SID+krbtgt的hash
域SID,S-1-5-21-3225502217-588435446-3680153074-1150去掉后面的-1150
hash
票据制作成功
shell klist #查看票据
shell dir \\WEBSERVICE\C$ #但是我这里访问被拒绝了
另外一台是可以访问的
这里就结束啦,文章是比较适合小白新手学习。
苦练,做任何事情都一样,成功没有捷径可走,想要一步登天的人,只会飞的越高,摔得越惨。