本次项目是一个类攻防项目,目的是搞定客户内网某台主机 一、打点 这里由于客户是某国家单位所以没有选择从web或者app打点(因为比较菜),使用了msf钓鱼的方式搞定了一个系统权限,收集信息发现用户是user,这就很烦啊 二、提权 虽然拿到的用户看起来是管理员权限,但是session是普通用户,所以选择提权,msf中有getsystem,直接bypassuac冲 三、信息收集 arp -a & route 发现网段 然后扫描器开扫,发现并没有什么新发现,只能晚上挂着键盘扫描开始收集信息 第二天发现有点意思拿到了三个IP以及密码信息 四、继续内网 拿到之后就开始有趣起来,穿个代理出来,使用prixifier,配置服务器地址为kali IP,端口1080,代理规则配置Firefox和burp 访问键盘记录拿到的IP发现是一个web站点 使用拿到的账号密码登录,登录成功之后继续测试,发现某处功能存在上传漏洞,可以直接修改后缀 拿出蚁剑开冲就完事了 搞定之后继续进行信息收集,systeminfo发现存在域环境 上传工具,继续提权 https://github.com/uknowsec/getSystem(这个工具比较老了,windows也可以用甜土豆提权但是需要自己编译) 五、域渗透 这部分是我同事跟我一起的我就打个下手, 查询到DNS为192.168.3.4,所以域控应该是192.168.3.4,域是LXX,域成员有3个,这里同事用kali熟练的一批我完全比不了。。 他直接做了进程迁移,先用用的是kiwi模块获取hash(显然失败了,只能进程迁移) creds_all:列举系统中的明文密码 kiwi_cmd:这个是使用mimikatz的全部功能 比如kiwi_cmd sekurlsa::logonpasswords 这里说一下为啥失败了,因为msf用的是32位的进程,但是我们读hash用的进程不是32位的所以需要做一下进程迁移(我也不知道咋做的迁移) 迁移之后就搞定了hash跟密码,然后发现了域控的账号密码(这是为啥呢,因为域控登陆过这台主机!) 六、整理信息 192.168.1.2办公 普通权限 192.168.2.4web 管理员权限 有账号密码 代理穿好了 192.168.3.4域控 账号密码全在 这里想直接登录web那台主机然后pth搞定shell 先关防火墙,然后开3389 netsh advfirewall set allprofiles state off 开3389 REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f 成功登录 然后同事不知道咋搞定了域控权限,这里截个图大家猜一下 七、游戏结束 有新发现的是有一台类似于运维主机 算了 不写了,大家再见
有大佬解惑一下如何拿到域控的吗
wuyu 抓到了域控得账号密码
抓到了域控hash,票据攻击把
