记两次失败的域渗透
The following article is from 雁行安全团队 Author 萧一
公众号现在只对常读和星标的公众号才展示大图推送,
建议大家把听风安全设为星标,否则可能就看不到啦!
----------------------------------------------------------------------
案例一 日常WebLogic
system权限
查看系统信息,发现存在域xxx.edu,系统版本为server2012
既然有域,查下域用户,发现报错,可能是DNS配置问题或域不存在
查看DNS信息,发现DNS服务器是公网DNS地址
ping 域名尝试定位域控,未能连通域控,解析地址为172.xx.xx.111(公网地址)
以上信息说明该主机不在域内
这时我有两个思路
一是在内网打一台多网卡主机
二是远程桌面看看能否找到其他信息
两个同时进行,扫描同时尝试获取该主机登录密码
由于当前权限为system,尝试导出sam文件
将文件下载到本地,使用工具读取hash
发现有administrator和三个域用户hash,域用户hash可以后续利用
发现离谱的事情,administrator是空密码
尝试远程桌面,查看是否开启服务和3389端口
0x01代表未开启远程桌面服务,0xd3d代表3389
开启远程桌面服务
外网无法远程连接
做代理通过内网地址远程连接
这里碰到一个问题,应该是认证成功了但是一直在连接
我的解决方法是添加主机名
在该主机信息收集
发现其远程连接过120.xxx.xxx.7
但是远程时提示不允许使用保存的密码登录,需要手动输入密码
这里不能确认密码是否正确,先尝试导出来看看,这里没有找到凭据
获取RDP保存的凭据(cmd下)
cmdkey /list
dir /a %USERPROFILE%\AppData\Local\Microsoft\Credentials\*
没能获取RDP凭据,但使用mimikatz抓到了两个明文密码
使用这个密码远程登录120.xxx.xx.7,不出意外登录失败
到这里僵住了,正好fscan也扫完了
看了一眼这个段有两个DC,但都不是最初的域
还发现几台ms17017,都试了一遍发现只有192.168.1.215能打,这里用了个不常用的exp,直接执行命令添加了个用户
加管理员组貌似是失败了
远程登上去看一下,这么看应该是管理员了
看下本地用户
这台机子不在域内
打到这就有点难受了,它的内网环境还是没搞明白
案例二 日常weblogic
貌似是域用户,不确定再看看
查看域,确实有域
查看本地域用户,看来是普通域用户
找到主域控
确定域控地址
查看域管
本地有杀毒软件,一般工具很难落地
尝试下添加用户成功,这个域用户在本地权限较高
这里看了下本地Users目录,发现域管和另外一个域用户admintimsa曾经登录过这台机器
这时大概有个思路了,就是想办法导出本地存储的hash看有没有域管的
由于有杀软无法上传mimikatz,所以尝试导出sam文件,由于本地权限较高可以直接导出
下载到本地使用工具获取hash,这里抓到三个域用户,但是一个都没解出来
使用hash RDP成功远程连接到500用户桌面
以下是一些细节
1.服务、客户双端都需要开启"Restricted Admin Mode"
对应命令行开启Restricted Admin mode的命令如下:
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
查看是否已开启 DisableRestrictedAdmin REG_DWORD 0x0 存在就是开启
REG query "HKLM\System\CurrentControlSet\Control\Lsa" | findstr "DisableRestrictedAdmin"
这里我是添加了一个管理员用户admin,运行管理员CMD操作的
2.使用mimikatz将哈希写到存储中进行pth
privilege::debug
sekurlsa::pth /user:timsauser /domain:xxx-xxx02 /ntlm:xxxxxxxxxxxxxxxxxxxxxx "/run:mstsc.exe /restrictedadmin"
执行mimikatz后会弹出一个mstsc,输入目标地址即可
3.坑点
mimikatz报错可能是和系统不兼容,我换了win10就好了
用相同的方法去远控域控,发现域管hash是错误的
不是很服气,想再导一波lsass。这里是在500用户桌面导出的。
procdump.exe -accepteula -ma lsass.exe lsass.dmp
下载到本地解一波
privilege::debug
#载入lsass.dmp
sekurlsa::minidump lsass.dmp
#读取密码
sekurlsa::logonpasswords full
#导出所有票据
sekurlsa::tickets /export
被我逮到一个hash,狠狠的解开
验证了一下密码是对的,但这次没有抓到域管,SAM文件里的应该已经是过期了
这个时候可以用域用户登录10.132.60.27了
可以使用域用户账号密码连接ADexplorer
接下来的思路一是扫描下内网,尝试横向到内网其他机器找找有没有域管登过的;二是在ADexplorer找找看hash、密码啥的
在准备扫描时发现这是个动态杀软,扫描器上午还不杀下午就开始杀了,但是我有域用户桌面可以看到杀软告警,直接忽略即可绕过
通过这两次失败的域渗透,发现了一些问题
1.不是所有机器都在域内,它可能已经脱域了
2.不是所有抓到的hash、密码都是正确的
3.内网情况很复杂,有多个域是正常的,没有域也是正常的
4.杀软也是有自学习能力的,有些活还是要趁早干
最后请大家和谐讨论,对错误操作或有其他思路欢迎评论纠正,也祝大哥们域渗透一路顺畅!