域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

Delina

原文链接：域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?
​
作战前言
在一次渗透中，打算遇见域环境的话不能靠窃取进程这种骚操作来打，只能使用域渗透的姿势：委派、spn … 这些操作来打。
规划要求：拿到内网核心数据，以及人员架构，梳理分析，域内成员分析。
c2 准备阶段：使用 poshc2 ，CobaltStrike + 混淆免杀，Metasploit + 流量混淆编码。
总体分为以下阶段：

1234567

入口权限维持阶段核心人员定位重要业务定位用户日志分析域内后门持久化痕迹清理域渗透阶段

域渗透过程
找到 Weblogic 执行命令的口子
首先是找到了一个 Weblogic 的反序列化命令执行：
​
随后写了一个免杀一句话方便连接 webshell：
​
通过查看进程发现有 VIPRE Internet Security 杀毒：
​因为事先我就做好了免杀的 exe，随后直接 Bypass AV 后直接上线到 CobaltStrike：
​
初步发现当前机器是一个域机器：
​
JuicyPotato (ms16-075) 提权到 SYSTEM：
​
​
拿到 SYSYEM 权限后我立马做了一个权限维持：

12345

自启动：REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "VMwareTools" /t REG_SZ /F /D "C:\temp\ma.exe"    计划任务：schtasks /create /RL HIGHEST /F /tn "Windows Server Update" /tr "C:\temp\ma.exe" /sc DAILY /mo 1 /ST 09:00 /RU SYSTEM

​
域内信息搜集
知道了当前是域环境，那么就对域进行信息搜集吧！
首先是查看了下当前域管有哪些：

12345

net group "domain admins" /domainAdministrator            BLombardo                caroot                   CThomas                  dbagent                  EFisher                  PSAdmin                  SMSUSER                  sqladmin

​
再查看当前域控是哪些机器，然后定位域控的 IP：

1234	net group "Domain Controllers" /domainxxxDC1$ 192.168.0.6                  xxxDC2$        192.168.0.13

​
由于当前 ip 是 10 这个网段，而域控是 192 这个网段，猜测会有多网段：
​
由于当前进程是有域管进程的，可以直接拿到域控，我之前写的文章也讲过怎么拿，在这里几句不多阐述。
​
由于不能用进程窃取这个骚操作拿到域控，那按照老传统来打吧！
​​
由于当前机器是 Windows 2012 不能直接抓到明文，只能获取到 Hash：
​
且当前 Hash 也解密不出来：
​

只能通过 Hash The Pass 这种方式来横向移动！看了看 10 这个段的 B 段存活机器很少：
​看 192 这个网段发现存活机器很多：
​
本来想翻翻敏感文件看看有没有密码文件等等，这里教大家一个单靠命令对系统文件进行搜集的技巧：

1	shell dir /s /b "*pass*" "*user*" "*config*" "username.*" "password.*"

​
漏洞情况信息搜集
通过对 192 和 10 网段存活的主机探测发现有 0708、永恒之蓝有以下机器：

12345678910

永恒之蓝：192.168.0.6(Windows Server 2012 R2 Datacenter 9600) stays in safety192.168.0.13(Windows Server 2012 R2 Standard 9600) stays in safety0708:192.168.0.74 - SAFE - CredSSP/NLA required192.168.0.13 - SAFE - Target appears patched192.168.0.34 - SAFE - CredSSP/NLA required192.168.0.28 - SAFE - CredSSP/NLA required192.168.0.6 - SAFE - CredSSP/NLA required

至此信息搜集差不多了，进行下一步横向移动。
横向移动 Bypass AV
通过 PTH 对 10 网段的机器，成功拿到了多台机器权限：（有些没成功的应该是被 AV 拦截了）
​
​
随后对这些主机进行信息搜集，看看有没有密码文件：
​
密码文件倒是没找到，但是看上去这个域已经被大哥来过！字典文件都直接放到目标系统，小伙子你不讲武德啊！
​
随后我通过 Mimikatz 抓密码，成功拿到个明文：（当前机器是 Windows 2012 看来已经被大哥修改过注册表了）
​通过拿到当前密码去横向密码喷洒：
​
​
这不就横向出来了吗？大量机器密码都相同！其实域控两台密码也是这个！

由于当前内网是有 VIPRE AV 的，不能使用常规的 Psexec 和 WMI，不然必被拦截！这个时候我使用我插件里的工具进行 Psexec：(其实有很多工具都可以实现 Bypass AV 横向 psexec 的，我只写了一个(github上的项目)，有空再加上去发出来给兄弟们)
​​
​
成功 Bypass 完成命令执行！既然域控（192.168.0.6、192.168.0.13）的密码也是这个密码，我们也可以通过相同的密码对他们进行横向移动：
​
​
两个域控都拿到执行命令的权限了，就不上线到 CobaltStrike 了，太简单了。

CobaltStrike 这工具还是太变态了，有手就能打穿内网域，还是少用这玩意虽然方便，但是很多原理和攻击手法不懂那就 GG了，下次写实战文章我打算少用 CobaltStrike 来打内网，尽量让 XD 们都了解内网域渗透的攻击手法和原理！
​