您当前的位置:首页 > 电脑百科 > 网络技术 > 网络知识

拿下域控后,我还是对大佬的操作念念不忘

时间:2022-05-05 11:15:50  来源:  作者:安全阿鸾an

历来攻防演练中,我都笃信一个道理——吃饱了才有力气干活。所以,在清晨的客户现场,当看到大佬满意地吃完了我带来的煎饺,我知道这一战,我们作为攻击队,基本已经拿下了。

虽然说的每一句话都带着一股醋味儿,但是大佬的含金量不容置疑——理智分析战况,果断找到目标,一切行云流水。

大佬告诉我们哪些站是好打的,哪些是不好打的。我们的任务是重点关注好打的站,找找OA、邮箱这些系统给他。随后,他顺手给我们丢了一个域前置的免杀“马儿”和代理池。

听完战术指导,信心激增。话不多说,立即开始!

对抗开始

识别了一波子域名。这样看起来并不美观,秉承着技术亦是一门艺术的心态,把子域名加载进了goby:

拿下域控后,我还是对大佬的操作念念不忘

 

这样看着就舒服多了:

拿下域控后,我还是对大佬的操作念念不忘

 

识别后的资产,可攻击的点有Web系统后台、数据库和一些中间件。测试了一下Struts2、JAVA、Shiro等等,均利用失败。

批量测试了一下数据库,跑出来一个弱口令。果断登录上去,看了下,数据不多,没有可用的数据,估计是个测试站,提权也没成功,放弃了。

拿下域控后,我还是对大佬的操作念念不忘

 

接着测试后台弱口令,这个没有验证码,尝试Top100密码爆破。

拿下域控后,我还是对大佬的操作念念不忘

 


拿下域控后,我还是对大佬的操作念念不忘

 

有点东西,但还是没找到可突破的点。

拿下域控后,我还是对大佬的操作念念不忘

 

这时,看了下Fofa的浏览器插件,旁站有个OA系统!

拿下域控后,我还是对大佬的操作念念不忘

 

众所周知,此系统在url后面加个admin.do即可出现管理员登录页面。找到这个系统,第一件事当然是丢给大佬。

拿下域控后,我还是对大佬的操作念念不忘

 

大佬终究是大佬,不负所望,没过多久,就给我发了一串神秘代码,我也是心领神会,给了大佬一个友善的目光。

拿下域控后,我还是对大佬的操作念念不忘

 

将大佬的神秘代码输入进去,成功点亮,拿到一台linux的root权限shell。

拿下域控后,我还是对大佬的操作念念不忘

 

过一小会儿,大佬又发来了管理后台的密码。这里可以看到邮箱的配置。密码是加密的,但是问题不大。

拿下域控后,我还是对大佬的操作念念不忘

 

F12,可从前段页面的value参数查看明文密码.并尝试登录邮箱服务器,发现是可以登录成功的。

拿下域控后,我还是对大佬的操作念念不忘

 

接下来我们就开始商量着要不要试试钓鱼,毕竟能直接打进办公区的话,要比从dmz区慢慢打进去要方便得多。

大佬说干就干,转头写好了一封邮件,看得我直呼内行!(图片过于敏感,此处不便展示)

片刻之后,叮咚~叮咚...您有新的主机上线~这清脆悦耳的声音,犹如子夜风吟,一切都是那么美好。

看着不断上线的主机,不急,让子*弹再飞一会儿。

去除重复的,一共有6台主机,发现里面还有一台windows服务器。我们分配了一下任务,每人分配几个shell,一起先主攻这个内网。

拿下域控后,我还是对大佬的操作念念不忘

 

Dumphash看了下内存信息,找到几个明文的账号密码,存在域环境,先记录信息,方便后面使用。通.NETtime /domAIn查看,确定存在域。

拿下域控后,我还是对大佬的操作念念不忘

 

然后使用nslookup解析该域名,解析出来多个ip地址,应该是存在多个主备域。

拿下域控后,我还是对大佬的操作念念不忘

 

使用nmap扫描这些主机的389端口,确定为域控主机,找到域控就方便多了,可以试试直接打域控。

拿下域控后,我还是对大佬的操作念念不忘

 

早上就先到这里,现在正是用电脑的高峰期,所以很多操作不便现在进行,先设置计划任务做好权限维持,再简单的搜集一下信息。

过程中掉了两台主机,又上线了几台疑似沙箱的主机,估计是被发现了,样本拿去检测了。

旗开得胜

等到休息的时间,我们就开始正式干活了。上传fscan,探测ip段。

登上去了Windows服务器看了一下,看着这个页面,在做项目迭代升级,并且根据邮箱里的内容,判断这应该是开发经理在使用。

在邮箱里面还找到了一些他们内部的默认密码,这些信息都是可以尝试利用的。

拿下域控后,我还是对大佬的操作念念不忘

 

然后在右下角看到有IM内部通讯软件,姓名,性别,部门,ip等等信息都有了...这就是拿到了内部通讯录了,这里本想再钓一次鱼,然而大佬说了,可以,但是没必要。

拿下域控后,我还是对大佬的操作念念不忘

 

现在有两个思路。一是直接打域控漏洞,二是爆破域控密码。显而易见,利用漏洞的方式为上策。所以现在的任务是他们继续去负责横向(此时大佬已经用现有的密码,拿到了20多台Windows+Linux的主机权限,权限够多就不怕掉线了)。

拿下域控后,我还是对大佬的操作念念不忘

 

我来尝试漏洞利用,那么首先想到的漏洞就是CVE-2020-1472NetLogon特权提升漏洞,该漏洞不要求当前计算机在域内,只要能访问到目标域控并且知道域控主机名和域控ip即可利用。

利用该漏洞重置域控的机器密码,然后使用空密码即可登录域控。不过最主要的是要记得还原密码,不然存储在域中的凭证与本地注册表里的凭证不一致时,会导致目标脱域。

使用poc,对主备域控进行漏洞验证。众望所归,在测试了10多个域控之后,终于测试到有一台域控验证成功了!这是振奋人心的绿色!

Python/ target=_blank class=infotextkey>Python3poc.py 域控主机名域控ip
拿下域控后,我还是对大佬的操作念念不忘

 

验证成功后,使用脚本清空域控的机器凭证。

python3poc.py 域控主机名域控ip
拿下域控后,我还是对大佬的操作念念不忘

 

使用空凭证查看域内账号密码,看到有个krbtgt账号,可以生成票据。

当然这里我们就不用它了,因为第一个是sid为500的账号,那这个就是域控管理员了,后面则是密码hash,可以先尝试解密,如果能直接解出明文密码,就可以直接登录,解不出来的话就先用hash连接。

事实上,账号数量确实太多了。其实往下翻是可以看到已被清空的机器账号主机名$,密码hash已经变成了
31d6cfe0d16ae931b73c59d7e0c089c0(空密码)。

python3poc.py 域名/域控主机名$@域控ip-just-dc -no-pass
拿下域控后,我还是对大佬的操作念念不忘

 

拿到了域管理员账号和hash,赶紧登录域控,这里使用wmiexec进行连接,下图登录成功,起飞!

python3wmiexec.py -hashes xxx:xxx 域名/管理员用户名@域控ip
拿下域控后,我还是对大佬的操作念念不忘

 

Powershell上个cs的马,使用如下命令获取dump域控保存在本地注册表的原始主机账号密码。

regsave HKLMSYSTEM system.save
regsave HKLMSAM sam.save
regsave HKLMSECURITY security.save

再使用脚本还原主机密码:

python3secretsdump.py -sam sam.save -system system.save -securitysecurity.save LOCAL

得到$macHINE的hash:

拿下域控后,我还是对大佬的操作念念不忘

 

python3reinstall_original_pw.py 域控主机名域控ip$MACHINEhash
拿下域控后,我还是对大佬的操作念念不忘

 

那么到这一步之后,漏洞利用就完成了。再到cs上hashdump获取密码,拿着密码登录域控,有了域控就可以查看域内所有用户和终端服务器了,接下来的事就是搜集各种信息数据了。大功告成!打完收工!

拿下域控后,我还是对大佬的操作念念不忘

 

总结

最后,梳理一下攻击路径。

首先,利用OA漏洞拿到邮箱账号密码;

然后钓鱼拿到内网域终端;

接着定位域控,使用CVE-2020-1472poc确定存在漏洞的域控;

随后重置域控机器密码,拿到域控命令执行权限,上线cs;

最后还原机器密码,读取域控内存拿到明文密码,登录域控。

不到一天的时间,从外网到拿下域控,思路正确,效率自然提升。珍惜那些可以为了比赛彻夜不眠、与小伙伴协同奋斗的岁月吧,那是为了自己而努力绽放的时光,短暂又美好。



Tags:域控   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
恶意程序 IcedID 来袭,通过 DCSync 攻击窃取AD域控的凭据
在最近的网络安全观察中发现,恶意软件 IcedID 的攻击可以使攻击者在获得初始访问权限后不到 24 小时内破坏目标的AD(Active Directory )域控,在整个攻击过程中,攻击者遵循了侦察...【详细内容】
2023-01-17  Search: 域控  点击:(279)  评论:(0)  加入收藏
从一个IP入手到拿下域控的整个过程
在一次渗透测试中,客户给了一个 IP 范围,要求执行外部的渗透测试,再尝试 nessus 扫描之后没有发现任何可以利用的点,着着我不得不探查目标 IP 是否部署有 web 服务,从而进一步测...【详细内容】
2022-10-18  Search: 域控  点击:(346)  评论:(0)  加入收藏
windows_server的AD域控批量添加用户
1:在office的excel中建立一个表格包含如下内容:姓、名、姓名、用户名、登录密码的5个字段。 2:员工列表创建好后保存文件另存为 .csv后缀名的文件,在“文件”中选择“另存为”选...【详细内容】
2022-09-21  Search: 域控  点击:(2258)  评论:(0)  加入收藏
特斯拉的三个区域控制器(Zonal)配置
我们认真的重新看一下特斯拉在Model 3 到Model Y的区域控制器,从第一代迭代到了第三代。从兼容性的角度来看,这三控制器一直在接口上保持向前的兼容性,但是内部的功能分配确实...【详细内容】
2022-05-07  Search: 域控  点击:(222)  评论:(0)  加入收藏
Windows Server 2016部署域控制器
域控制器是指在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)域控制器( Dom...【详细内容】
2022-05-07  Search: 域控  点击:(1342)  评论:(0)  加入收藏
拿下域控后,我还是对大佬的操作念念不忘
历来攻防演练中,我都笃信一个道理——吃饱了才有力气干活。所以,在清晨的客户现场,当看到大佬满意地吃完了我带来的煎饺,我知道这一战,我们作为攻击队,基本已经拿下了。...【详细内容】
2022-05-05  Search: 域控  点击:(508)  评论:(0)  加入收藏
域控崩溃了、域服务器坏了,完全不可能启动了,怎么办?
“域控崩溃了、域服务器坏了,完全不可能启动了,怎么办?”管理着域控的IT人员,如果没有这样扪心自问过,那他要么不负责任,要么就是无知无畏。在多年的IT外包服务工作中,笔者碰到过好...【详细内容】
2022-02-24  Search: 域控  点击:(424)  评论:(0)  加入收藏
Windows 域控配置时间同步
此功能是因内网时间与互联网时间不同步,需我们手动指定互联网NTP服务器来同步时间。一般默认情况下,加域客户端同步的是域主机的时间。如果域控的主机时间不准的话,那么域内的...【详细内容】
2021-10-19  Search: 域控  点击:(1228)  评论:(0)  加入收藏
通过AD域控平台统一批量管理公司电脑的桌面
一、说明:最近我们公司流行一种特别强大的风气,走进职场办公区后,给人一种特别不好的影响,就是每个工位上的电脑屏上显示着五花八门的图案、壁纸,于是信息部领导发话了,要求职场办...【详细内容】
2020-12-28  Search: 域控  点击:(780)  评论:(0)  加入收藏
大神告诉你所不知道的域控提权
0x01、前言菜鸡一枚,标题起的可能有点大,只是个人笔记整理的一个合集(所以基本每个例子都会有实例)。所以虽然说是合集,可能都没有囊括到各位大佬会的一半。还请各位大佬轻喷 0x0...【详细内容】
2020-08-13  Search: 域控  点击:(1073)  评论:(0)  加入收藏
▌简易百科推荐
学生偷看“不良网站”,手机上3个痕迹无法清除,网友:咋不早说
众所周知,中国的常规教育中,总是“谈性色变”,但在这个信息爆炸的互联网时代,即便是一些年纪很小的孩子,也能轻易接触到一些所谓的不良网站,因此这一方面的教育缺失,其实是很可怕的...【详细内容】
2024-03-28    叶姐生活指南  Tags:不良网站   点击:(18)  评论:(0)  加入收藏
什么是网络中的路由器?核心功能解释
路由器是互联网连接的核心元素,是一种允许多个设备连接到互联网,并促进将数据包转发到各自的目标地址的设备。使用动态路由技术,路由器检查数据并在各种可用路径中选择最有效的...【详细内容】
2024-03-07    千家网  Tags:路由器   点击:(34)  评论:(0)  加入收藏
过年该不该升级Wi-Fi 7路由?看完就知道
打开电商网站不难发现,从2023年第三季度到现在,Wi-Fi 7路由器新品越来越多。而且价格不再是高高在上,已经基本和Wi-Fi 6路由价格差不多了。看到这些Wi-Fi 7新品路由,不少朋友就...【详细内容】
2024-02-27    中关村在线  Tags:Wi-Fi   点击:(44)  评论:(0)  加入收藏
聊聊 Kubernetes 网络模型综合指南
这篇详细的博文探讨了 Kubernetes 网络的复杂性,提供了关于如何在容器化环境中确保高效和安全通信的见解。译自Navigating the Network: A Comprehensive Guide to Kubernete...【详细内容】
2024-02-19  云云众生s  微信公众号  Tags:Kubernetes   点击:(42)  评论:(0)  加入收藏
SSL协议是什么?关于SSL和TLS的常见问题解答
SSL(安全套接字层)及其后继者TLS(传输层安全)是用于在联网计算机之间建立经过身份验证和加密的链接的协议。尽管SSL协议在 1999年已经随着TLS 1.0的发布而被弃用,但我们仍将这些...【详细内容】
2024-02-06  IDC点评网    Tags:SSL协议   点击:(73)  评论:(0)  加入收藏
从零开始了解网络协议:TCP/IP详解
从零开始了解网络协议:TCP/IP详解 在当今数字化的时代,网络协议已经成为我们生活中不可或缺的一部分。作为互联网的基础,网络协议规定了数据如何在不同的网络设备之间传输。TC...【详细内容】
2024-02-01    简易百科  Tags:TCP/IP   点击:(62)  评论:(0)  加入收藏
BGP路由属性:互联网路由的灵活控制器
在互联网的庞大网络中,边界网关协议(BGP)是确保不同自治系统(AS)间路由信息有效交换的关键协议。然而,BGP的功能远不止于此。其核心组成部分,即BGP路由属性,赋予了BGP强大的灵活性,使...【详细内容】
2024-01-26  诺诺爱生活    Tags:互联网路由   点击:(44)  评论:(0)  加入收藏
简易百科之什么是网络延迟?
简易百科之什么是网络延迟?随着互联网的普及和发展,网络已经成为我们生活中不可或缺的一部分。然而,我们在使用网络时可能会遇到一种情况,那就是网络延迟。那么,什么是网络延迟呢...【详细内容】
2024-01-24    简易百科  Tags:网络延迟   点击:(161)  评论:(0)  加入收藏
网络延迟与网络速度有什么区别?分享具体的答案
通常,许多人抱怨网速测试。速度还是不错的,但是他们玩游戏的时候怎么会卡住,还是断开连接等等问题,这一系列问题始终困扰着大家。那么,网络延迟与网络速度有什么区别呢?请不要担心...【详细内容】
2024-01-24  萌新小郭    Tags:网络延迟   点击:(53)  评论:(0)  加入收藏
揭秘IP地址的网络威胁与攻击类型
在当今数字化时代,网络攻击已经成为网络安全的一大挑战。IP地址,作为互联网通信的基础,也成为网络威胁和攻击的焦点之一。本文将深入探讨不同类型的网络威胁和攻击,以及如何防范...【详细内容】
2024-01-22  IP数据云    Tags:IP地址   点击:(87)  评论:(0)  加入收藏
站内最新
站内热门
站内头条