记一次未完成内网渗透实战记录

gclome

原文链接：记一次未完成内网渗透实战记录

这篇文章来自@sin好友投稿，最近闲来无事做，找口子提升内网渗透水平，通过fofa语法找到了一个Jenkins入口。

​

看一下权限，狂喜，总算找到一个system权限口子啦。
​

看一下对方运行的进程，做下信息收集，可以很清楚的看到对方是微软的杀软，那这里我用404实验室的免杀工具来进行绕过。

项目地址：

• https://github.com/knownsec/shellcodeloader
  
  

​

接下来使用cerutil远程下载到对方机器的C:\ProgramData文件目录下，然后在jenkins中运行我们下载过去的exe马，坐等上线。
​
​
​

先做一波常见的信息收集，他这里环境不像常见的内网，arp关联IP都在公网上，应该是把C段买下来啦。

net user看一下，这里创建的用户挺多的，但出于篇幅就不截全了。
​

net localgroup看一下存在的组，这里看到了一个DCOM组，想到最近刚好了解了一下DCOM横向移动先记录着。
​

目标机器的中间件是iis，使用appcmd列一下站点目录和文件。
​

wmic product list brief 查看当前机器安装软件。
​

查看对方已启动的服务
​

查看对方机器时间，对方是晚上10点，应该下班了。
​

抓明文，看看能不能直接梭哈，不过没抓到。
​

导出一下hash，看来只能做hash传递啦。
​

检测一下内网存活并且开放了445端口的机器。
​

然后随便找了一台机器进行psexec，也是以失败告终。
​

到这里为止我自己绕了个坑，我想着既然抓不到密码，那我用Procdump+Mimikatz导出内存来获取密码应该没问题。

首先上传procdump到 programdata目录，执行命令导出lsass.exe进程内存。
​
​

下载会有点点慢，只有出现download of才算是下完了。
​

将导出来的dmp文件放到mimikaz目录下，然后执行以下两条命令，不过好像还是出现了一点问题。

1. sekurlsa::minidump lsass.dmp
   
2. sekurlsa::logonPasswords full

复制代码

​

​

在百度了后，应该是两种原因一个是mimikatz版本原因，还有一个是要修改注册表，等管理员重启或者注销后登陆才行。

• https://blog.csdn.net/m0_46622606/article/details/105350970
  
  

到这步已经很晚了，休息后到了第二天再看，先看看管理员有无在线，Active表示在线，对方说泰国应该还没下班，现在等他下班后在继续吧！
​

到晚上九点管理员总算下班了，然后我们继续。因为我们是system权限，所以我们不能屏幕截图，需要先到admin权限，这里我用msf窃取令牌（CS不知道怎么窃取）。
​
​

可以截图，那我上个tv来抓个图看一下，结果如下。
​

那现在横向不行，抓截图连tv不行，那就只有试一波ms17010了。
​
​

扫到几台，但感觉不是很靠谱，因为这里显示的机器是win10，只能打一下试试，结果还是失败了。
​

到这里后休息了一天，这里我只能用3h师傅的向日葵来获取对方的远程了，当然也是成功的获取到了对方的远程屏幕。《向日葵软件在渗透测试中的应用》

因为当时忙着去做测试了就没记录，大致方法和这篇文章差不多，用本地的config.ini文件替换目标机器上的config.ini即可。

这里我登录过去发现对方也还是锁屏状态，然后看了一下mimiktaz只要对方处于锁屏状态并且解锁就可以抓到明文，修改注册表即可，接下来就是等咯......！！！


修改注册表：

1. reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ /v UseLogonCredential /t REG_DWORD /d 1

复制代码

服务器锁屏：

1. rundll32.exe user32.dll,LockWorkStation

复制代码

只需关注公众号并回复“9527”即可获取一套HTB靶场学习文档和视频，“1120”获取安全参考等安全杂志PDF电子版，“1208”获取个人常用高效爆破字典，“0221”获取2020年酒仙桥文章打包，还在等什么？赶紧关注学习吧！