域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

大家好，这里是 渗透攻击红队 的第 63 篇文章，本公众号会记录一些红队攻击的案例，不定时更新

作战前言

在一次渗透中，打算遇见域环境的话不能靠窃取进程这种骚操作来打，只能使用域渗透的姿势：委派、spn … 这些操作来打。

规划

要求：拿到内网核心数据，以及人员架构，梳理分析，域内成员分析。

c2 准备阶段：使用 poshc2 ，CobaltStrike + 混淆免杀，Metasploit + 流量混淆编码。

总体分为以下阶段：

入口权限维持阶段
核心人员定位
重要业务定位
用户日志分析
域内后门持久化
痕迹清理
域渗透阶段

域渗透过程

找到 Weblogic 执行命令的口子

首先是找到了一个 Weblogic 的反序列化命令执行：

随后写了一个免杀一句话方便连接 webshell：

通过查看进程发现有 VIPRE Internet Security 杀毒：

因为事先我就做好了免杀的 exe，随后直接 Bypass AV 后直接上线到 CobaltStrike：

初步发现当前机器是一个域机器：

JuicyPotato (ms16-075) 提权到 SYSTEM：

拿到 SYSYEM 权限后我立马做了一个权限维持：

自启动：
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "VMwareTools" /t REG_SZ /F /D "C:\temp\ma.exe"
    
计划任务：
schtasks /create /RL HIGHEST /F /tn "Windows Server Update" /tr "C:\temp\ma.exe" /sc DAILY /mo 1 /ST 09:00 /RU SYSTEM

域内信息搜集

知道了当前是域环境，那么就对域进行信息搜集吧！

首先是查看了下当前域管有哪些：

net group "domain admins" /domain

Administrator            BLombardo                caroot                   
CThomas                  dbagent                  EFisher                  
PSAdmin                  SMSUSER                  sqladmin

再查看当前域控是哪些机器，然后定位域控的 IP：

net group "Domain Controllers" /domain

xxxDC1$ 192.168.0.6                  
xxxDC2$	192.168.0.13

由于当前 ip 是 10 这个网段，而域控是 192 这个网段，猜测会有多网段：

由于当前进程是有域管进程的，可以直接拿到域控，我之前写的文章也讲过怎么拿，在这里几句不多阐述。

由于不能用进程窃取这个骚操作拿到域控，那按照老传统来打吧！

由于当前机器是 Windows 2012 不能直接抓到明文，只能获取到 Hash：

且当前 Hash 也解密不出来：

只能通过 Hash The Pass 这种方式来横向移动！看了看 10 这个段的 B 段存活机器很少：

看 192 这个网段发现存活机器很多：

本来想翻翻敏感文件看看有没有密码文件等等，这里教大家一个单靠命令对系统文件进行搜集的技巧：

shell dir /s /b "*pass*" "*user*" "*config*" "username.*" "password.*"

漏洞情况信息搜集

通过对 192 和 10 网段存活的主机探测发现有 0708、永恒之蓝有以下机器：

永恒之蓝：
192.168.0.6(Windows Server 2012 R2 Datacenter 9600) stays in safety
192.168.0.13(Windows Server 2012 R2 Standard 9600) stays in safety

0708:
192.168.0.74 - SAFE - CredSSP/NLA required
192.168.0.13 - SAFE - Target appears patched
192.168.0.34 - SAFE - CredSSP/NLA required
192.168.0.28 - SAFE - CredSSP/NLA required
192.168.0.6 - SAFE - CredSSP/NLA required

至此信息搜集差不多了，进行下一步横向移动。

横向移动 Bypass AV

通过 PTH 对 10 网段的机器，成功拿到了多台机器权限：（有些没成功的应该是被 AV 拦截了）

随后对这些主机进行信息搜集，看看有没有密码文件：

密码文件倒是没找到，但是看上去这个域已经被大哥来过！字典文件都直接放到目标系统，小伙子你不讲武德啊！

随后我通过 Mimikatz 抓密码，成功拿到个明文：（当前机器是 Windows 2012 看来已经被大哥修改过注册表了）

通过拿到当前密码去横向密码喷洒：

这不就横向出来了吗？大量机器密码都相同！其实域控两台密码也是这个！

由于当前内网是有 VIPRE AV 的，不能使用常规的 Psexec 和 WMI，不然必被拦截！这个时候我使用我插件里的工具进行 Psexec：(其实有很多工具都可以实现 Bypass AV 横向 psexec 的，我只写了一个(github上的项目)，有空再加上去发出来给兄弟们)

成功 Bypass 完成命令执行！既然域控（192.168.0.6、192.168.0.13）的密码也是这个密码，我们也可以通过相同的密码对他们进行横向移动：

两个域控都拿到执行命令的权限了，就不上线到 CobaltStrike 了，太简单了。

CobaltStrike 这工具还是太变态了，有手就能打穿内网域，还是少用这玩意虽然方便，但是很多原理和攻击手法不懂那就 GG了，下次写实战文章我打算少用 CobaltStrike 来打内网，尽量让 XD 们都了解内网域渗透的攻击手法和原理！

参考文章：

https://www.saulgoodman.cn/2021/07/15/redTeam-2/