记一次从Linux打到域控_集群智慧网络安全云
全国客户服务热线:4006-054-001 疑难解答:159-9855-7370(7X24受理投诉、建议、合作、售前咨询),173-0411-9111(售前),155-4267-2990(售前),座机/传真:0411-83767788(售后),微信咨询:543646
企业服务导航

记一次从Linux打到域控

发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370


记一次从Linux打到域控

昨晚做梦,梦到周公给了我一个日本的域名,域名为company.com.cn,想让我出个报告 https://conpany.com.cn 后渗透发现我目前能做到的免杀哥斯拉、冰蝎都无法绕过杀软、fscan无法扫描内网,于是做正代: https://conpany.com.cn/wls-wsat/suo5.jsp 顺带着解密本地数据库配置: 本机信息收集过程中,主要看以下几个地方: 1.进程里有没有zabbix的进程,这个配置文件里可以找到zabbix的地址 2.端口里是否有特殊的端口:389为ldap认证的端口,猜测可能存在域 因此,在etc目录下查找ldap.conf: 查看到相关配置信息:使用ldap browser进行认证: 可以看到所有人的账号密码(1000+): 随便找一个用户对该密码进行解密: 在外网搜索邮件、VPN等域用户认证的资产,发现exchange: 发现此处使用邮箱登录: exchange: CNv000229:Xsw21qaz 爆出来真正的域名,利用该域名和账户进行云桌面登录: 突破内网隔离 找域控: 域管: 域信任: 不出网: 这个企业的策略对云桌面限制的比较死,web端云桌面只能上传,无法下载,客户端云桌面。 但是可以上传下载的话,用工具启动一个http服务,用之前的webshell去访问一下,然后通过webshell下载到本地: 代理进去访问目标的8080: 域内机器(17w+): 域用户(16w+): 导出adexplorer: 域管: 存在麦咖啡杀软,想导出密码,无法提到system且被杀软拦截,所以先扫内网: 查询登录本地的域管: 查看权限: 2021-1675无法提权: 基本限制的很死,到此为止后续就是做一个免杀的提权工具到system,导出域管密码,使用dcsync拿下所有域用户hash。 用ldap browser 查域管: 解密之后发现两个域管口令: 直接3389登录,随机找一个域控: 成功拿下域管,人员太多,暂不导出所有用户hash 这个环境从4月就拿到了,之前老是因为扫不出来东西就放弃了好多次,但是内心告诉我不能这样就草草了事,所以抽出一个周末打完了这个环境,此次环境均为虚构,如有雷同,纯属巧合。 文章来源:雁行安全团队 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担! 如侵权请私聊我们删文 END

记一次从Linux打到域控