记一次从外网到拿下域控
The following article is from HashRun安全团队 Author HashMeow小组
通过指纹识别发现这是个防火墙,中间件是 weblogic
哥斯拉:
http://xxx.xxx.xxx.xx/_async/Wc81.jsp pass base64
Weblogic
进到内网开始工作,上马哥斯拉连上去添加xasda
账户为到管理员方便连接rdp
先收集内网的进程看是否有杀软
看来有一个卡巴斯基和一个anydesk
,anydesk
可以来做后门账户来维持权限
这里就直接上去把卡巴斯基关掉就行,方便后面msf
打内网
这里是本地的注册表问题
用这条命令cmd
修改一下就行了
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f
rdp
成功连接上去直接关掉卡巴斯基,这第一步就完成了,然后做了后门账户
admin/1qaz@WSX
上线cs
来进行运作
这的powershell
做了免杀,然后获取到administrator
权限,这里我直接注入进程到svchost.exe
权限来获取到systeam
权限
然后开始抓密码 这里有一个小问题就是:system
权限我抓不到明文密码,但是admin
权限就行
抓到了192.168.42.30
的明文
NYANZASRV\Administrator Nyanza2020
这个比较特殊
我们先看看有没有域控
这显示没得域控,可能这个账户不是域内用户
上fscan
来一波,结果搜索dc
发现三台机器为dc
,估计这个有问题
三台dc
机
Dc1 192.168.42.33
Dc2 192.168.42.125
Dc3 192.168.42.205
然后做一波ms17-010
来试试,扫出一堆机器 发现这两台fscan
扫出的域控有ms17-010
但是这个两台都没利用成功 应该是每台机器都有卡巴斯基
那就做一波密码喷洒,用在33
上抓到的明文密码来,发现有54
台机器密码是一样的,估计这个账户密码通用
那看看用33
机器去rdp
这些机器看看能不能连上
从这几台域控开始,通过之前创建在上面的后门账户开始:admin/1qaz@WSX
125
这个没连上
这个205
也没连上
连接30
成功,发现这些机器都有anydesk
,能做后门账户
直接上线cs
注入进程,获取system
权限
这先用谢公子的插件看一下域详细信息,发现机器为server2022
感觉有问题
这黑鬼怎么会用server2022
的系统
这个先不管了抓一波凭据,发现一堆用户觉得,可能这个30
机器就是域控,由于没得啥经验就直接rdp
连上去看一波
看来这个域控机器了,算是成功了拿下了,但是这种机器没用过不知道怎么用还得去学
然后就是t4
教我的那招anydesk
做权限维持的手法了
这个是33
机器的anydesk/asdfghjklabc@
这个是域控30
的anydesk/asdfghjklabc@
这些anydesk
还能去连其他机器
收工了
关注公众号后台回复 0001
领取域渗透思维导图,0002
领取VMware 17永久激活码,0003
获取SGK地址,0004
获取在线ChatGPT地址,0005
获取 Windows10渗透集成环境,0006
获取 CobaltStrike 4.8破解版
加我微信好友,邀请你进交流群
往期推荐
备用号,欢迎关注