记一次从Linux打到域控

昨晚做梦，梦到周公给了我一个日本的域名，域名为company.com.cn，想让我出个报告 https://conpany.com.cn 后渗透发现我目前能做到的免杀哥斯拉、冰蝎都无法绕过杀软、fscan无法扫描内网，于是做正代: https://conpany.com.cn/wls-wsat/suo5.jsp 顺带着解密本地数据库配置： 本机信息收集过程中，主要看以下几个地方： 1.进程里有没有zabbix的进程，这个配置文件里可以找到zabbix的地址 2.端口里是否有特殊的端口：389为ldap认证的端口，猜测可能存在域 因此，在etc目录下查找ldap.conf: 查看到相关配置信息：使用ldap browser进行认证： 可以看到所有人的账号密码(1000+)： 随便找一个用户对该密码进行解密： 在外网搜索邮件、VPN等域用户认证的资产，发现exchange： 发现此处使用邮箱登录： exchange: CNv000229:Xsw21qaz 爆出来真正的域名，利用该域名和账户进行云桌面登录： 突破内网隔离 找域控： 域管： 域信任： 不出网： 这个企业的策略对云桌面限制的比较死，web端云桌面只能上传，无法下载，客户端云桌面。 但是可以上传下载的话，用工具启动一个http服务，用之前的webshell去访问一下，然后通过webshell下载到本地： 代理进去访问目标的8080： 域内机器(17w+)： 域用户(16w+)： 导出adexplorer: 域管： 存在麦咖啡杀软，想导出密码，无法提到system且被杀软拦截，所以先扫内网： 查询登录本地的域管： 查看权限： 2021-1675无法提权： 基本限制的很死，到此为止后续就是做一个免杀的提权工具到system，导出域管密码，使用dcsync拿下所有域用户hash。 用ldap browser 查域管： 解密之后发现两个域管口令： 直接3389登录，随机找一个域控： 成功拿下域管，人员太多，暂不导出所有用户hash 这个环境从4月就拿到了，之前老是因为扫不出来东西就放弃了好多次，但是内心告诉我不能这样就草草了事，所以抽出一个周末打完了这个环境，此次环境均为虚构，如有雷同，纯属巧合。 文章来源：雁行安全团队 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END