_从外围打点到内网渗透拿下域控

使用听风安全公众号提供的信息进行传播或应用，若由此引发的一切直接或间接的后果与损失，均需由用户自行承担。听风安全公众号及其作者不对任何此类后果或损失负责。若发生任何问题，用户需自行承担责任。如有侵权行为，请及时与我们联系，我们将立即予以删除并致以诚挚歉意。感谢您的理解与支持！

前言

我虽才疏学浅，却对内网技术略有所知，于是便跃跃欲试。通过fofa平台，我轻松获取了一家jboss网站的权限。在完成这一任务后，我感到有些无聊，便开始尝试获取shell权限，并借此机会探索域环境，以便熟悉dos命令的使用。

这不，瞧见了一个外表看起来相当不错的网站，于是便心生好奇，想要探究一番，这家网站究竟有何特殊之处。

外围打点

Jboss的界面咱就不多提了，大伙儿都知道，进去一看jmx功能，直接就能轻松进入，真是太方便了。

不过不急，war远程部署虽然可以用，集成工具岂不是更香？

使用jboss扫描利器进行一番检查，未曾料想，一经扫描竟发现惊人之事，竟然存在三个可被利用的漏洞，实在让人不禁感叹管理员防范意识之薄弱。

我直接选择了jmx-，这样一来就免去了手动部署的繁琐，结果它给我弹出了一个shell。权限方面，相当不错。我本想查看一下是否有双网卡，却遇到了障碍。不清楚是它禁止了这个命令，还是我连接存在问题。

鉴于所获取的是一款交互式shell，其稳定性较差，掉线风险随时存在，因此我决定先利用冰蝎工具上线，确保至少不让这个拥有权限的账户轻易溜走。通过执行dir命令，来查看其jboss的路径信息。

将冰蝎的脚本输入马中，顺利建立了连接，至此完成了植入，随后我查阅了目录中的文件，发现了一个名为jboss的xml文件，出于隐蔽考虑，我将其更名为jboss.jsp。

本机信息搜集

拿到后先维权往其他几个目录也放几个，防止被管理员删除修复

然后对本机信息进行搜集

whoami /user &&quer user

tasklist /v && net start

systeminfo

此处所使用的设备为一台主机，尽管它不具备双网卡功能，然而在域环境中，它依然能够正常运作。

然后在本机里不断的寻找有用的消息

找到一个pdf里面有一个网站

尝试进行访问时，却发现无法进入，原因是该网站仅对内部网络开放，这表明其安全性相当不错。

拿着这个名字去搜索得到这是一家位于巴西圣保罗的公司

系统内文件众多且繁杂，或许遗漏了一些有价值的资料，然而在一份账单中，我意外获取了他官网的网址。然而，我并非巴西人，对于葡萄牙语一窍不通，因此只能借助英语翻译来解决这个问题。

大致浏览了地址，发现它同样位于圣保罗，据此推测，这很可能就是他的主要网站，而且它恰好坐落在巴西的圣保罗市。

通过在线子域名扫描工具，我发现众多子域名均指向了我所控制的IP地址（186.xxx.xxx.xxx），这让我产生了这个域名规模可能不小的印象。

搜集到的信息已大致完备，我计划先行获取他的密码，然后采用从本地离线解密的方式，通过抓取dmp文件来实现。

先 /svc查看一下杀软情况

扫描的话是没有杀软的，那么就不用做免杀了

用导出

运行procdump64.exe程序，接受用户许可协议，指定目标进程为lsass.exe，并将输出文件命名为1.dmp。

利用自带的压缩文件下载回本地

执行命令：生成压缩文件，将“c:\\jboss\\bin\\1.dmp”文件压缩，目标文件名为“1.zip”。

看到压缩后的大小还是小很多的，下载回来的速度也会更快

离线读取得到域管的密码

mimikatz.exe "log" "sekurlsa::minidump 1.dmp" sekurlsa::logonPasswords功能完整
exit

域内信息收集

net view / 查看域

net view /:域名称 查看域下用户

net group “ ” / 查询所有域成员计算机列表

这张截图展示的主机名称以C字母开头，并且扫描尚未完成，根据初步估算，该大域中至少存在5600台主机。

net / 获取域密码信息

看了一下最多180天密码过期

/ 获取域信任信息

net user / 向AD域用户进行查询

向AD查询的用户数量显著增加，数量恐怕超过了5600台，这构成了一个极为庞大的域。究其原因，几乎有三分之二的子域名都指向了我所控制的那个IP地址。

使用wmic命令行工具，通过get /all选项，可以全面查询并获取域内用户的详尽信息。

将详细信息导出到excel，方便信息归类

user 查看存在的用户

net group “ ” / 查询域管理员用户

域管用户大概10多个

net group “ ” / 查询域控

DC1的IP地址是192.168.21.3，DC2的IP地址是192.168.21.108，这两个地址均位于我已获得权限的机器所属的域中。我的直觉认为，我所掌握的这台机器可能只是某个子域，而其上可能还存在着更高级别的域。

这里既然找到了域控，先看一下能不能利用gpp组策略

dir \\主机名\\NETLOGON

dir \\主机名\\SYSVOL

这里我检查了两台主机，虽然它们都安装了vbs和bat文件，但遗憾的是，bat文件中并没有发现可以利用的有效信息。

我试图将ntds.dit文件导出以便查看，却遭遇了访问被拒的困境，原因是该文件并未位于系统默认的目录中。尽管我尝试通过命令行工具进行搜索，但最终未能成功，因此只得放弃这一尝试。

获取域内spn记录

为了准确掌握区域内关键设备资产的分布情况，需获取spn记录。利用这些记录中的设备名称，可以迅速全面地识别域内所有活跃的计算机。相较于net view命令，这种方法更为精确，而且即便防火墙开启，也能有效探测。

执行命令setspn，指定参数-T为xxx.com，参数-Q为*/*，并将输出结果重定向至文件spn.txt中。

随后，对已导入的spn文件进行操作，目的是提取其中记录的主机名称信息。

grep "CN=" spn.txt | awk -F "," {'print $1'} | awk -F "=" {'print $2'} > host.txt

借助SPN技术，我们能够掌握域内活跃主机的信息以及部分主机的特定职能。通过查看主机名称，我们可以了解到该主机所提供的服务内容。

若要收集SPN域内的资料，除了直接从该域获取外，还可以采取其他途径。随后，迅速锁定域内所有用户、用户组、会话和数据，将exe文件上传至其中，并随后下载这些数据。

内网存活机器及资产搜集

原计划是想利用venom将msf植入内网进行攻击，然而不知何故，尽管没有安装杀毒软件，却始终无法成功上传。尽管尝试了多种内网穿透工具，上传依然未能实现。

起初，我误以为问题出在我这边，导致所有文件都无法上传。然而，当我尝试上传一张png格式的图片时，它成功上传了。由此可见，很可能是我的上传文件遭到了直接拦截。

我想这既然不能上传，能不能下载呢

先在本地测试一下是能够下载的

但是一换到攻击机上就下载不下来了，真是离谱

在陷入困境，毫无头绪之际，我忽然想起了一个未曾动用的强大工具，那就是cs这款多人竞技游戏。

我觉得它可能已经离线了，并且没有安装杀毒软件，尽管文件下载时遇到了一些奇怪的问题，但按理说应该还是可以访问的。

真好，又出现了一丝生机，上号cs多人运动

先前已经对本机和域内信息进行了较为全面的搜集，因此此次仅对单一网络段进行了扫描。

在C段区域，大约有百余台服务器，然而，我认为实际数量可能远超这个数字，这是因为部分开启了防火墙的主机，在进行arp扫描时，我无法探测到它们的存在。

或许这仅是我的个人习惯使然，但我确实认为在信息搜集这一环节，cs确实发挥了诸多效用；然而，若是要深入内网实施攻击，我更倾向于选择msf。

因此，我依然坚持使用msf进行攻击，并额外添加了一个msf监听器，用以将cs的对话内容传递给msf。

新建一个192.168.21.0段的路由表

我最初打算将需要扫描的IP地址存入一个txt文件中，并计划直接对该文件执行扫描操作。然而，可能是由于操作失误或其他原因，我无法实现批量扫描，因此不得不手动进行处理。

这里遇到了一些阻碍，经过一段时间的尝试，最终还是选择了在vps上进行中转配置，以本地方式执行攻击。由于平时很少在msf上操作，因此更倾向于使用习惯的kali系统中的msf工具。

最后扫出来连接并整理密码

拿下DC获取hash

对内网主机进行MS17-010漏洞扫描，发现域内共有9台设备存在该漏洞。原本计划利用msf工具获取这些设备，并借助Kiwi工具读取密码进行整理，然而考虑到C段规模庞大，我最终决定不逐一获取。

我设想的是，一旦我获得了DC权限，便能迅速导出该域内所有成员的哈希值，从而大大缩减了所需的时间。

通常人们拿到DC后，会习惯性地登录远程桌面留下纪念，然而在这件事上，我却未能提供登录的截图，原因稍后我会详细说明。

这里我直接用cs上传.py连接DC

运行python3命令，执行./wmiexec.py脚本，指定sxxxx作为目标系统，使用Administrator账户，输入密码进行认证。192.168.21.3

用导出hash

lsadump工具执行dcsync操作，指定域名xxx，选择全部用户，并以CSV格式输出命令。

在此处，我所截取的hash信息仅是其中的一小部分；我将这些hash信息导入到Excel表格中，为了便于观察，我在每个hash记录之间插入了一段空白行。

这是在结束阶段所截取的图片，由于我在其中添加了空格，经过计算，总共导出了680个用户的哈希值，换句话说，这些用户的哈希并非仅限于该C段主机的哈希。

也就是说，我所持有的这个DC所在的域，或许还可能是一个子域，这实在令人感到不安。因此，我并未贸然尝试登录其远程桌面，而是打算利用cs联动进行更深入的分析。然而，遗憾的是，我对这一技术的掌握还不够熟练，最终只能暂时放弃。

后记

在内网渗透过程中，务必保持思路的条理清晰，并且对信息进行有效的整合。一旦获取到有价值的信息，应立即进行整理，否则后续查找将会变得相当繁琐。例如，对于通过hash、spn、wmic等方法收集到的域内用户详细信息，必须确保能够及时地进行整理。

当时在搜集域名时，我已预见到这个域名的规模不会小，然而，我并未料到它会如此庞大。我所获得的可能是主域下的一个微不足道的子域，因为这个域名实在太过巨大，研究它将耗费我大量的精力和时间。

· END ·