奇安信攻防社区-记一次渗透内网获取域控的过程

记一次渗透内网获取域控的过程

渗透目标：获取域控内某台ftp服务器中的文件
----------------------

### 0x01入口

钓鱼附件的形式获得了一个meterpreter  
收集信息发现：当前用户为user，user在管理组里面，这种可以通过bypassuac提权到管理员权限

![](https://shs3.b.qianxin.com/butian_public/f06b710654bfc756e7d9abea5b050fede.jpg)

### 0x02尝试提权

尝试使用getsystem提权，不出意外的失败了  
看来虽然user用户是在管理员组里，但是当前session是普通用户权限，因为管理权限的session使用getsystem是可以直接提权到system的  
![](https://shs3.b.qianxin.com/butian_public/f1764fe04a71fe6ecb67277660a961368.jpg)

尝试bypassuac提权到管理员，然后getsystem提权到system,  
失败了好几次，应该是因为存在某些杀软的关系所以无法提权到系统权限。但是管理员权限够用了。

![](https://shs3.b.qianxin.com/butian_public/f281742dffb448791bfe729c8eeb1e46a.jpg)

可以将管理员权限提升为系统权限：  
<https://github.com/uknowsec/getSystem>

![](https://shs3.b.qianxin.com/butian_public/f15665b523e3e8ac0301109308932eadb.jpg)

### 0x03扫描内网主机

先使用arp发现内网主机，发现了一批主机  
![](https://shs3.b.qianxin.com/butian_public/f3535f2271aa91132d7965aa0054a1d46.jpg)

使用nmap挂代理扫描，扫描完成没有收获

### 0x04键盘捕获

由于扫描没有收获，想到使用键盘捕获看下能不能抓到一些敏感信息。

使用keyscan\_start就开始了键盘捕获，经过一个晚上，成功捕获到一些信息

信息整理：三个ip和一些用户名或者密码的信息

![](https://shs3.b.qianxin.com/butian_public/f69d11da745b1b80fa7949f6a7e52f212.jpg)

### 0x05内网web系统测试

首先先设置代理

使用proxifier工具，配置好服务器，服务器地址是刚才kali的ip，端口1080  
配置代理规则，加入Firefox和burp，这样Firefox和burp的流量就默认走代理服务器了。

![](https://shs3.b.qianxin.com/butian_public/f9c86afde22d65eada8e0b35f4ab5e41b.jpg)

访问192.168.2.4发现能访问到，抓取登录包，用户名和密码是明文

![](https://shs3.b.qianxin.com/butian_public/fd7923fb99a663126bd8d7926b25f60ef.jpg)  
而且存在用户名枚举漏洞，使用burp的爆破模块尝试爆破用户名，无果。

突然想起来之前键盘捕获到几个关键字，尝试xxxei：xxxxxge登录成功。

经过大量测试之后发现  
系统设置-用户管理-编辑，发现可以上传图片然后可以改后缀名。  
先上传一个PHPinfo试试，发现成功执行，可以确定存在文件上传漏洞。  
然后上传一句话，蚁剑设置代理然后连接。

![](https://shs3.b.qianxin.com/butian_public/fbee8087ae1788542fba5abfa36666dbd.jpg)  
成功连接

![](https://shs3.b.qianxin.com/butian_public/fc5b65faf675b6d37dad0f30ef39c51b8.jpg)  
发现存在域环境lxxx.com  
![](https://shs3.b.qianxin.com/butian_public/fe26f21c910c91ebfacce125d495b1111.jpg)

通过getSystem成功获取管理员权限  
![](https://shs3.b.qianxin.com/butian_public/ff7ad89642b00a51f8df32c2e18506a4a.jpg)

### 0x06域渗透

查询到DNS是192.168.3.4，所以域控应该是192.168.3.4，域是LxxX，域成员有三个.

由于Webshell用起来不太方便，使用meterpreter获取shell

使用kiwi模块获取哈希  
creds\_all：该命令可以列举系统中的明文密码

kiwi\_cmd：模块可以让我们使用 mimikatz 的全部功能，该命令后面接 mimikatz.exe 的命令。

如：Dump哈希命令为 kiwi\_cmd sekurlsa::logonpasswords

先列举明文凭据，未获取到

![](https://shs3.b.qianxin.com/butian_public/fe25dd2c60e2f3c05d5bd3a8f69f48a4e.jpg)

获取哈希，报错了，需要32位进程才能执行，我们的meterpreter是32位的，所以先迁移一下进程

![](https://shs3.b.qianxin.com/butian_public/f32610c671ebbb4ba5cf2bbd6e450fecc.jpg)

迁移进程之后就可以获取到哈希和密码了，然后发现域控的账号和密码。  
域控账户曾经登陆过这台机器，lucky~

![](https://shs3.b.qianxin.com/butian_public/f61219732dbd7596bfc5891a84e77cf64.jpg)

***整理一下目前的信息***

`192.168.1.2是办公机，普通权限，socket4代理`

`192.168.2.4是web主机，系统权限，有账户和密码，socket4代理。`

`192.168.3.4是域控，有账户和密码`

使用meterpretershell不能直接弹回shell，所以想到先远程登录到web主机，然后使用psexec弹回shell

先关闭主机的防火墙，然后开启3389  
netsh advfirewall set allprofiles state off  
开启rdp：  
REG ADD "HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server" /v fDenyTSConnections /t REG\_DWORD /d 0 /f

成功连接登录192.168.2.4的服务器

![](https://shs3.b.qianxin.com/butian_public/f0e9e215671dca7b7ea8bb33d3bf77c76.jpg)

成功弹回域控的系统权限shell

![](https://shs3.b.qianxin.com/butian_public/f323a54cbd375eeeaaf0bfb6b5c5c7005.jpg)

### 0x07获取ftp权限

![](https://shs3.b.qianxin.com/butian_public/f1cd8bd6732c030223037a04dcde9453c.jpg)

发现一台新机器，名字是yw，猜测是运维机，ip为192.168.3.2  
![](https://shs3.b.qianxin.com/butian_public/f0150838b7d41047830664534f2fcd976.jpg)

解密xshell session的密码

先查询一下用户的sid，解密需要用到

这里附解密工具https://github.com/uknowsec/SharpDecryptPwd  
![](https://shs3.b.qianxin.com/butian_public/fb038791b512cf766b277eb423fa1c9ea.jpg)  
解密得到密码test，登录ftp  
![](https://shs3.b.qianxin.com/butian_public/ff495c4370c19cc8abaef5e8c79b64208.jpg)

### 0x08技术总结

1、邮件钓鱼获取入口

2、键盘记录获取域内ip和业务密码

3、渗透web业务获取域内用户权限

4、抓取域密码，登录域控

5、通过域控登录运维机器

6、解密ftp密码，登录ftp

发表于 2021-04-07 20:15:57
阅读 ( 5411 )
分类：内网渗透

1 条评论

admin 2021-04-13 14:30

tql