安基网 首页 安全 渗透测试 查看内容

对国外某内网渗透的一次小结

2019-4-1 11:54| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 想来想去,不知道叫啥名字好,还是这个名字比较低调有内涵一些。Shell很早就有了,No0d1es同学给我的。服务器是jboss,看样子是前段时间爆出的java凡序列化漏洞拿的shell。双内网jsp的,不出意外,权限很大,果然是s ...

前言

想来想去,不知道叫啥名字好,还是这个名字比较低调有内涵一些。Shell很早就有了,No0d1es同学给我的。服务器是jboss,看样子是前段时间爆出的java凡序列化漏洞拿的shell。

双内网

jsp的,不出意外,权限很大,果然是system权限。

这时候,ipconfig看一下,发现是内网啊,可是我自己也是内网耶,双内网渗透怎么玩? 好吧,其实是可以得,搞个正向代理过去,通过webshell做流量转发,就可以打通内网和攻击机的通道了,但是速度慢的出奇。传一个reGeorg脚本就行了,具体怎么玩,请百度reGeorg+proxychains。 没办法,只能等啊,等啊等,用nmap扫了整个网段一下午,(然后就去上课了)。 好吧,晚上看的时候终于出来了,但是信息很不全面,只看到了几个ip开放了端口,有些扫不出来,我也不知道怎么回事。 这时候我就想啊,竟然可以通过websehll来代理,那么我们可不可以写一个jsp脚本来让被我们控制的主机扫描下内网呢,当然是可以。 百度一下,乌云还真有人写了,不过是对http服务探测的。(不要问我为什么不自己写,代码功能完善中…….)。好吧,我是代码渣渣,大致收到了一些信息地区是开了web服务的

Web服务尽收眼底。我们用proxychains,进去看看,看看217那个Ip的web服务吧。这里很卡,没办法,要是我有外网的话,自己就反代过去日了。(真慢)。

内网

上面介绍了双内网的玩法,大家可以参考下,尽然示范结束那么就开始啪啪啪搞内网了。 明确目标:

  • 如果没有域的话,只是几个简单的不同业务的服务器,那么目标就是尽可能的搞下多台机器啦
  • 如果有域的话,想办法搞定域控就ok了。搞不定的话,就渗透你想要去渗透的那个业务,或者尽可能搞下多台。

0x0x1信息收集

Net view一下

看看有多少个域

Just one. 看看本地管理员组的用户有哪些。

看见Administrator了吧,本地管理员组

GREIF-BR\Administrator GREIF-BR\bdamasceno GREIF-BR\Domain Admins GREIF-BR\koniz GREIF-BR\lynas.support

这些都是域管理员用户,说白了就是域管理员用户默认是域里面任何一台机器的本地管理员组,所以说,拿下了域管理员用户,基本可以登录域内任何机器。 那么问题来了,怎么得到域管理用户(domain admins)。其实别人也有总结。 我简单的分两类: 第一:搞下域控,直接在里面加域管理用户.(条件比较苛刻,就是必须用域管理员用户登录域控,再加一个域管理员用户)哎,将这些名字,是不是晕了呢,(ps:聪明的你一定能看懂,当然你看不懂的话,请联系青少年脑瘫治疗恢复中心,哈哈哈)。 第二:搞到已经存在的域管理员。(两者就是和web渗透抓明文和添加一个管理员一样的意思)。好了,有了这些概念,那么开始撸吧。 看看域成员有哪些

看看域管理组的成员 Net group “domain admins”/domain

再看看域控吧。网上有多条命令 Net group “domain controllers” /domain”

竟然有这么多域控,我们随便nslookup看看

Ipconfig /all后找到dns服务器

Dns很有可能就是域服务器。Ping下发现也是这个ip,好吧,基本确定域控的ip了10.14.1.236。 回到原题,域控找到了,现在想办法搞到域管理员。分为这几类:

  1. 溢出域控(常见08067或者dns溢出之类),溢出后抓明文或者加用户,随你遍
  2. 对域控进行弱点入侵,扫描并探测web,sqlserver,mysql,ftp等等一大堆服务。通用密码,发现密码规律,或者社会工程学猜解。
  3. 钓鱼,在已经拿下的机器丢个键盘记录器之类的,等待域管理员账户登录那天。
  4. 本机抓hash,抓明文(方法和工具太多了)。 现在有外网了,这里我就不一种一种尝试了,直接上配置好payload,上msf了。
  5. msf有个令牌假冒,这个完全看人品。

抓明文抓不到,不过这时候No0d1es给我介绍了另外一种方法

最后行了,密码芭啦芭啦。

看到domain就慌了,domian不是域本机名,我猜是域管理员,不是本地管理员。 果断msf端口转发过去,登陆试试。

啪啪啪,登陆域控试试。

发现30也是个域控

好吧,太卡了

清日志,走人。

本文作者:未知 转载自:http://www.mottoin.com/detail/312.html



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6674094119448478220/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部