记一次曲折拿下内网HR系统（无图）

sandalwood

原文链接：记一次曲折拿下内网HR系统（无图）

写在前面

    上一个红队内网项目，第一天nopac漏洞拿到了所有域内哈希，剩下时间都在当靶场练手，从来没打过这么富的仗。拿下域控以后，各自对感兴趣的部分进行了尝试，包括全面的域内信息收集，exchange邮件重要信息获取，OA 1day漏洞尝试，某HR系统获取等等，跟着实验室师傅学习，偷工具，开心。

    这里以纯文字聊天形式分享两个有意思的内网场景解决方式，如果有别的方式欢迎师傅们私聊交流经验，共同进步。

目录

0x01 无明文情况开启RDP

0x02 HR系统权限获取

无明文情况开启RDP

因为已经dump了所有哈希，正常开启RDP都是需要明文账密的。场景:《获取哈希后如何RDP》。

方法一：现实通过破解哈希得到了几个域管理员组成员的明文账密。

可以直接登录。所以第一个方法破解哈希（跟没说一样）。

方法二：RID劫持，没有尝试，师傅们感兴趣可以查文章。

方法三：域管理组添加新用户，明文登录

方法四：mimikatz开启管理员用户，debug需要管理员权限。

psexec自己传自己，获取自己的管理员cmd。

实战拉起来RDP进程，登录界面任然需要输入账号密码遂放弃。

怀疑是有什么策略，请各位师傅不吝赐教。

HR系统权限获取

目标《获取EHRweb系统管理员权限》，试图获得员工信息证明危害。

扫描没有发现EHR的web端，但是发现了有机器名为HRweb的机器IP为10.10.10.10，猜测大概率存在web。Fscan扫全端口，或者直接登录这台机器查看开放端口（如果嫌扫描速度慢），发现web端口为14443。访问报错400，无法直接使用IP加端口访问，需要通过域名访问，场景《找域名》。

通过已经解得的域管账密登录10.10.10.10的机器，开始菜单查看IIS管理器，找到网站上面有对应的域名，xxhr.abc.com.cn:14433，终于可以访问了。获得了几个普通用户账号登录，权限较低。存在admin账号，未获得管理员密码。10.10.10.10机器打开IE浏览器，发现有登录痕迹，一般开发布置完系统登录测试一下合情合理。查看IE明文账密，此机器没有发现账密。翻此web系统配置文件，看有没有数据库连接信息，发现sqlserver数据库ip地址10.10.10.11和多个账密。密码加密，解密需要代码审计，未尝试未破解。

分享一下IE浏览器获取明文账密

打开IE浏览器界面

选择设置中的Internet选项

选择内容选项，打开内容界面

选择自动完成的设置选项

选择管理界面按钮，查看浏览器保存的账户密码

选择需要查看账户密码的网址，点击显示

另一方面，发现10.10.10.11机器名为xxHRDB，侧面确认是HR系统数据库。登录此机器，dump哈希，发现本地管理员账号hash可解，本地管理员账号登录此机器，发现IE浏览器存在此系统登录记录，获得HR系统权限。另外HRDB机器开着SQLQuery89，为登录状态，本机windows认证也可登录。HR系统到此结束。

感觉这个web系统权限获取还是很曲折的，常规扫描不能发现这个页面的存在，即使端口扫描也没法直接登录。Web服务器没有登录记录，在DB上意外发现了登录记录，并且DB此用户打开着数据库，省了我们登录。以上是站在实验室师傅肩膀上，跟着他的思路复现的。

写在最后

    本人坚决反对利用文章内容进行恶意攻击行为，一切错误行为必将受到惩罚，绿色网络需要靠我们共同维护，推荐大家在了解技术原理的前提下，更好地维护个人信息安全、企业安全、国家安全。

    未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。