記一次從Linux打到域控

昨晚做夢，夢到周公給了我一個日本的域名，域名為company.com.cn，想讓我出個報告

https://conpany.com.cn

后滲透發現我目前能做到的免殺哥斯拉、冰蝎都無法繞過殺軟、fscan無法掃描內網，于是做正代:

https://conpany.com.cn/wls-wsat/suo5.jsp

順帶著解密本地數據庫配置：

本機信息收集過程中，主要看以下幾個地方：

1.進程里有沒有zabbix的進程，這個配置文件里可以找到zabbix的地址

2.端口里是否有特殊的端口：389為ldap認證的端口，猜測可能存在域

因此，在etc目錄下查找ldap.conf:

查看到相關配置信息：使用ldap browser進行認證：

可以看到所有人的賬號密碼(1000+)：

隨便找一個用戶對該密碼進行解密：

在外網搜索郵件、VPN等域用戶認證的資產，發現exchange：

發現此處使用郵箱登錄：

exchange:

CN\v000229:Xsw21qaz

爆出來真正的域名，利用該域名和賬戶進行云桌面登錄：

突破內網隔離

找域控：

域管：

域信任：

不出網：

這個企業的策略對云桌面限制的比較死，web端云桌面只能上傳，無法下載，客戶端云桌面。

但是可以上傳下載的話，用工具啟動一個http服務，用之前的webshell去訪問一下，然后通過webshell下載到本地：

代理進去訪問目標的8080：

域內機器(17w+)：

域用戶(16w+)：

導出adexplorer:

域管：

存在麥咖啡殺軟，想導出密碼，無法提到system且被殺軟攔截，所以先掃內網：

查詢登錄本地的域管：

查看權限：

2021-1675無法提權：

基本限制的很死，到此為止后續就是做一個免殺的提權工具到system，導出域管密碼，使用dcsync拿下所有域用戶hash。

用ldap browser 查域管：

解密之后發現兩個域管口令：

直接3389登錄，隨機找一個域控：

成功拿下域管，人員太多，暫不導出所有用戶hash

這個環境從4月就拿到了，之前老是因為掃不出來東西就放棄了好多次，但是內心告訴我不能這樣就草草了事，所以抽出一個周末打完了這個環境，此次環境均為虛構，如有雷同，純屬巧合。