CVE到內網然后拿下4個域控 - 網安 - 專業的網絡安全產業、社區、知識平臺

0x00 前言

這次滲透測試是從一個CVE開始的，從CVE到內網然后到域控！手法簡單！還是要多學習哈哈哈哈！啊啊啊，我想開學了！為什么不開學

0x01 一切從CVE開始

這個滲透測試的是通過JBoss的CVE反序列化漏洞進去的，然后通過一步一步的橫向滲透獲取了兩個域控！首先對發現了該站點有JBoss頁面，經過測試發現具有JBoss反序列化漏洞。

使用網上提供的EXP和利用方法，在VPS上面獲取了一個shell。這里看到對方是windows系統，當前用戶權限是管理員權限。并且該機器具有四張網卡，通向了四個網段！

查看該機器的系統信息，發現是一臺Windows 10 的服務器，并且該機器是在域環境里面的！

接著本來想直接上線CobaltStrike的，但是測試了很久都無發上線，這里應該是有殺軟之類的攔截了！那么我當前的思路就是通過這個反彈回來的shell 找到JBoss的部署路徑部署war包的木馬了

../../../server/default/deploy

jar -cvf shell.war shell.jsp

一切順利，也成功在冰蝎上連接上了部署上去的木馬。真的是nice啊！[ 暴龍點贊 ]

接著我上傳了一個對免殺效果還是挺OK的馬兒上去！但是也被殺了！看了免殺不到位啊。這里使用只能通過當前管理員權限創建一個用戶，代理進入內網通過3389進去到對方機器了！

然后再使用冰蝎上傳代理工具上去，進行兩端連接之后成功登陸進入到對方的機器上面

進去之后發現對方開啟的殺軟是微軟自帶的殺毒軟件！好家伙這個東西也太強了了吧！[暴龍暈了] 但是我當前創建的用戶無法關閉這個微軟自帶的殺軟！。由于是windows10的系統，我通過procdump獲取lsass.exe里面的憑據下載下來，然后通過mimikatz獲取里面的信息

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

接著下載下來使用mimikatz進行獲取數據，并且保存到log中

mimikatz.exe "log" "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

并且再第二處也留下了用戶名和密碼！這里密碼收集起來可以后期可以進行利用。

利用剛剛mimikatz獲取出來的用戶名和密碼登陸進入這臺具有四張網卡的JBoss主機上面！其實最強的免殺應該就是沒有殺軟吧哈哈哈哈哈！[暴龍點贊] 利用該管理員用戶權限直接關閉微軟的自帶殺軟后上線CobaltStrike

進去之后枚舉域，發現存在挺多域的。通過對內網445端口的掃描返回的信息發現內網中大多主機都是再域ANDXXXXX中

直接ping 一下域名發現域控可能部署再192.168.1.5中，但是使用其他工具并不能獲取到準確的域控信息

接著對內網的主機進行信息探測，對四個網段進行了探測掃描，發現192.168.1.0/24網段的主機很多ms17-010。并且windows7的主機比較多，但是依次對其進行ms17-010攻擊并不能獲取到shell。這里推測是殺軟或者防火墻的鍋。但是在192.168.8.0/24網段中成功打中了一臺windows 2008服務器。

接著load上去mimikatz直接獲取里面的憑證信息，并且獲取到了明文的憑證信息（原諒我這懶惰的打碼）

對這臺主機進行3389端口掃描發現器開啟了3389端口，遠程登陸進去發現其不能出網！

一開始在MSF里面執行一些操作也是不能執行，發現進去之后有一個殺軟ESET，并且關閉殺軟需要密碼。（啊....這！）

首先我想了一個辦法，通過WEB機器遠程進去到這臺機器上面，通過遠程桌面自帶的磁盤共享分享木馬或者工具到這臺window 2008的系統上面。我首先把中轉木馬上去，直接被殺了！搞了一個免殺的密碼上去卻提示不能執行（啊！.... 原來我太菜了！）

接著我直接上傳procdump獲取這臺主機的密碼。然后dump下來使用mimikatz獲取里面的數據。并且對這些密碼進行了整理！接著使用CobaltStrike的插件對內網主機進行暴力破解，破解192.168.1.0/24網段有挺多主機是相同密碼的。

接著上線了這里面的兩臺主機分別是192.168.1.46和192.168.1.180。接下來可以對這兩臺主機進行信息搜集。

登陸192.168.1.96和192.168.1.120發現是一臺VNC登陸的機器。里面是登陸一臺Linux，而且好像是虛擬機

接著使用遠程桌面也上線一臺win7主機。IP地址為192.168.1.203。但是是工作組的機器，應該是機器了

接著對192.168.1.0/24網段進行ssh主機的弱口令掃描。發現如下可以連接

接著對192.168.5.0/24網段進行爆破。爆破出了一個我沒有登陸過的主機192.168.1.193

登陸進去是一個Windows 2008的操作系統，并且這個主機有一張網卡是100.0.0.101的IP。這里又通向新的網段

并且可能這臺機器還是一臺管理的機器，可以監控這幾個網段的機器！

接著對192.168.8.0/24進行暴力破解。發現也是可以登陸進去一個主機

進去之后發現它的IP地址是192.168.1.90。可以看到它這些網段大多數主機都是相同的。接著來可以對這臺主機進行密碼獲取。然后再對密碼進行收集整理。再進行爆破

在這臺主機發現他這里有遠程桌面到其他主機，對方是Linux主機，這臺應該就是管理機器了吧

接著還可以對內網資產進行掃描，發現了現內網很多JBoss但是主機都已經獲取權限下來了！并且192.168.1.0/24這個網段很多永恒之藍，但是都打不通，我懷疑就是殺軟的鍋，把payload 攔截了！

接著遠程連接到192.168.1.134主機上面，這臺主機沒有什么服務，管理員應該不怎么搭理。但是在192.168.1.134這臺主機這里它有共享磁盤給192.168.1.122。之前對192.168.1.122爆破到了密碼，但是通過445并不能連接進去，這里通過WMIHACKER的進行135端口連接居然成功了！

項目地址：https://github.com/360-Linton-Lab/WMIHACKER
cscript //nologo WMIHACKER_0.6.vbs /shell 192.168.1.26 administrator "password"

接著上傳一個procdump到對方主機上面。命令如下

cscript //nologo WMIHACKER_0.6.vbs /upload 192.168.1.122 administrator "password" "C:\Windows\Temp\procdump64.exe" "C:\Windows\Temp\procdump64.exe"

我直接查看一些遠程連接，發現由遠程連接記錄。然后打開遠程桌面發現這里留有遠程登陸192.168.1.122的記錄

但是使用mimikatz獲取RPD憑證無果！！

接著我使用登陸192.168.1.134的密碼登陸進入了192.168.1.122。這也太巧了吧！

接著通過遠程桌面登陸進去了192.168.1.122。這里推測管理員應該是做了策略只允許192.168.1.134登陸這臺機器，在一開始遠程RDP卻登陸不了192.168.1.122。進去之后發現是一個子域。真的是太幸運了！但是對方主機不能上線，這個域控開啟了eset和微軟的殺軟，這里我直接拖下它的dmp獲取密碼hash。最后發現其192.168.1.134一個存儲服務器，192.168.1.122里面的數據都通向192.168.1.134。

接著可以通過導出這個域控的ntds.dit文件出來獲取域控krbtgt的hash出來

#創建快照，該快照包含Windows中的所有文件，且在復制時不會受到Windows鎖定機制的影響
ntdsutil snapshot "activate instance ntds" create quit quit
#加載剛剛創建的快照，GUID是上一步創建快照的GUID,會生成一個掛載目錄
ntdsutil snapshot "mount  {c668674b-0a7d-4b97-bef1-4fb58f683e57} " quit quit
#使用copy命令將快照中的文件復制到 c:tds.dit
copy  C:\$SNAP_202008160748_VOLUMEC$\\windowstdstds.dit c:tds.dit
#將之前加載的快照卸載并刪除
ntdsutil snapshot "mount {c668674b-0a7d-4b97-bef1-4fb58f683e57}" "delete 2beb2b98-2375-46b5-a618-d4193f9f9610}" quit quit
#再次查詢當前系統中的所有快照，顯示沒有任何快照，表示快照刪除成功
ntdsutil snapshot "List All" quit quit

接著在域控導出ntds.dit后，還需要導出system.hive。因為system.hive中存放著ntds.dit的密鑰。

reg save hklm\system c:\system

使用 impacket 工具包中的 secretdump.py 也可以解析 ntds.dit 文件，導出散列值。

impacket-secretsdump -system system -ntds ntds.dit LOCAL

接著通過krbtgt的hash制作黃金票據。

但是使用CS的批量上線都上線不了，要不就是對445進行了端口過濾，要么就是有殺軟之類的禁止了上線。然后對域中的SPN進行掃描，發現了192.168.1.5開啟了MSSQL服務。然后想起來之前看到有機器的MSSQL的密碼是和機器登陸的密碼是一樣的，管理員應對密碼的復用率很高，接著我對密碼再次進行整理，對這個機器進行MSSQL暴力破解。成功登陸域控的MSSQL數據庫。

接著開啟MSSQL的xp_cmdshell開提權進入到域控的機器里面

幸運的是這里域控開啟的MSSQL服務是administrator權限的，免去了提權的操作。不然遇到ESET又要倒大霉了！

既然是高權限，并且是出網的，我通過下載procdump到目標的主機然后獲取到lsass的文件下來，利用IPC$連接到192.168.1.134這臺機器上面把dump下來的文件copy到192.168.1.134這臺機器。使用mimikatz獲取明文密碼。然后使用密碼登陸進入到這臺域控中。之前使用MS14-068。沒有利用成功，卻通過MSSQL提權到了域控！！[暴龍點贊]

然后導出域控krbtgt的hash出來。再次通過IPC$連接把文件復制到192.168.1.134。接著在CS中下載到本地破解到域控中所有用戶的hash

最后對域控和之前橫向獲取的主機進行密碼的整理，雖然不能通過445批量上線全部主機，但是對開啟了3389的主機進行登陸都是可以成功的登陸的！在192.168.1.0/24這個網段的主機 windows 7 居多是辦公網段！并且存在ms17-010,但是大多不能利用。

0x02 結尾

經過了這個漫長的寒暑假[是真的長！]終于可以回學校了！準備會很少寫博客了！接下來我的學習計劃就是想把Linux系統和Windows系統的知識在加強！希望能成為一個差不多的運維 ^_^ 接著就是11月份的網絡工程師哈哈哈！成為一個合格的網絡工程師 ^_^ ，接著在成為一個不合格的程序員哈哈哈哈！