环境搭建

该靶机是红日安全团队出的域渗透靶机
1.jpg
内外网搭建参考我的上一篇文章,搭建好后ip情况如下
攻击机kali linux:192.168.111.2
WEB(windows 2008):192.168.111.80(外) 10.10.10.80(内)
DC(windows 2012):10.10.10.10
PC(win7):192.168.111.201(外) 10.10.10.201(内)

拿webshell

该网站是Weblogic的容器,直接使用WeblogicScan扫描一下可能存在的漏洞等,效果图如下
2.jpg
发现控制台路径是http://192.168.111.3:7001/console/login/LoginForm.jsp
账号密码为de1ayadministrator(经尝试发现账号密码不正确。)
3.jpg
可能存在CVE-2019-2725、CVE-2019-2729
直接打开msf使用CVE-2019-2725的exp打一波,成功getshell
4.jpg

抓取密码

查看当前权限,发现是管理员权限
6.jpg
查看一下开放端口,发现有3389端口开放
5.jpg
新建一个用户然后加入管理员组
7.jpg
通过远程桌面登陆,发现安装有360,所以还是上传procdump吧,在本地使用mimikatz
注意这里必须使用管理员权限才行,所以使用管理员权限打开cmd
8.jpg
然后将它下载下来
9.jpg
在本地使用mimikatz,抓取到Administrator以及mssql两个用户的明文密码以及各种信息,位于DE1AY这个域中
10.jpg
11.jpg
然后进程迁移到具有system权限的进程使用smart_hashdump抓取一下
21.jpg
得到了具有域管理权限的de1ay用户的hash密码,破解一下
22.jpg

权限维持

为了以后更好的使用这个肉鸡,使用Persistence模块留个开机自启的后门
12.jpg

痕迹清理

删掉之前创建的ghtwf01账户以及上传的procdump64.exe和生成的lsass.dmp文件
13.jpg
执行clearev清除入侵痕迹和日志
14.jpg

信息收集&定位域控

获取域内置administrators组用户
20.jpg
查看域控制器名

net group "domain controllers" /domain

15.jpg
定位域控制器ip
16.jpg

横向渗透

先添加一条路由
17.jpg
查看一下目标系统版本,是Win7
18.jpg
用ms17-010打了一下没有成功,但是得到了是32位的操作系统
因为开启了3389端口,所以尝试一下cve-2019-0708,也不行
其它端口暂时也没有刻意利用的地方,所以先暂时搁置吧,目标转移到域控制器

拿下域控制器

因为之前拿下那台主机里面有个de1ay账户好像有域管理权限知道密码,可以远程桌面登录看看,发现果然是域管理权限,能连上域控制器
23.jpg
然后直接使用psexec连接域控制器拿下域控
24.jpg
利用msf生成一个正向shell马,然后使用copy命令上传
25.jpg
然后拿下域控制器
26.jpg
拿下了域控制器,自然之前横向没有拿到的win7主机也变成了囊中之物,最后整个域所有主机的shell如下
28.jpg