记一次域渗透实战案例思路分享

0x01 前言

前几天帮朋友搞了一个域，很久没有搞域了感觉都快忘的差不多了，不过还好最终还是打穿了这个域，不过应朋友要求就不以文章形式来写了，简单的整理了下思路和测试过程中遇到的一些问题和解决方法分享给大家，希望大家能够从中有所收获！！！

0x02 域渗透思路总结

1. 利用Jenkins来进行打点Getshell，默认SYSTEM权限，但是当前主机不能出网，工作组50.1；

2. 通过nettat -ano网络连接分析发现这台机器有与其他公网连接，21、443等特定端口可出网；

3. 因存在飞塔Fortinet和印度QuickHeal杀毒软件MSF无法上线，流量检测，免杀CS成功上线；

4. 利用CS中的Mimikatz抓取到当前机器明文密码，通过对其分析发现可能存在通用/规律密码问题；

5. 内网信息搜集时发现存在1个工作组和4个域，获取工作组和域内所有机器主机名和IP地址等信息；

6. 使用50.1明文密码对存活网段进行爆破，得到9台机器权限，1台50段，1台11段，其他都是15段；

7. 对15段的两台机器进行psexec横向后发现为TRANSASIA域内机器，都存在印度QuickHeal杀毒；

8. 域内机器一样只有特定端口可出网，但是没有流量检测，可通过CS执行Mshta Payload上线MSF；

9. 在这两台域内机器做信息搜集时成功定位到域管理员用户和域控制器/DNS服务器主机名和IP地址；

10. 在域内机器15.76上利用MSF的Mimikatz只抓取到本地管理员和一些域普通用户的明文密码，尝试利用psexec、wmiexec等方式进行横向渗透打域控，结果都利用失败，因为目前只有域普通用户；

11. 不过最后我们在域内机器15.70的进程列表中发现有ssms.exe、sqlcmd.exe这两个进程，并且都是以TRANSASIA\Supertrans域管理员用户运行的，所以也就有可能会存在域管理员用户的令牌；

12. 最后在MSF的list_tokens命令中看到确实存在TRANSASIA\Supertrans域管理员用户令牌，进行模拟令牌后发现这样还不能抓取明文密码了，rev2self恢复原始令牌后直接利用Mimikatz抓取到TRANSASIA\Supertrans域管理员用户的明文密码，最终成功拿到15.14和15.18两台域控权限；

13. 在域内机器15.76域普通用户的明文密码中发现存在规律密码，可结合工作组50.1中的通用密码Delldc#!@#和FileZilla等密码信息生成高精准字典对其他存活网段进行爆破测试。由于其他几个域内机器并不多，所以也就到处结束了吧，不再去测试其他网段和域了，拜拜！