前言

接上一篇《一步步成为你的全网管理员(上)》


跨域

现在已经获得了 IT-SUPPORT-JOHN 主机的权限,使用代理进去的msf获得一个shell。

seoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-147650-1606274449.png" style="margin:10px 0px;padding:0px;box-sizing:border-box;border-width:1px;border-style:solid;border-color:#EEEEEE;image-rendering:-webkit-optimize-contrast;max-width:90%;max-height:90%;cursor:zoom-in;" />

查看权限发现属于system权限。

查看全部域用户。

查看john、lihua 在办公网的权限。发现在办公域中两人都不具备管理员权限。

查看办公域中的域管用户,发现 yasuo 用户属于域管理员组。


横向移动

将流量代理进新发现的网络。

先对当前主机上的信息进行收集,根据路由表等信息发现172.16.0.0/16网段。同样使用 auxiliary/scanner/smb/smb_version 模块对内部网络进行扫描,当开启扫描时发现无法进行扫描。进行多次尝试发现流量并没有被代理到第二层网络。

猜测由于第一层使用的reGeorg,所以在msf中进行再次代理时出现了问题。本来想尝试更换代理方案,第一层代理更换为msf自己创建。由于第一层网络中的目标都无法直接出网,所以改为通过操作 IT-SUPPORT-JOHN 主机对内网进行探测。

上传扫描工具 nbtscan.exe 。

使用nbtscan对内网进行扫描,发现域内网中存在邮件系统和文件系统。

经过测试,可以对 FILESERVER 主机的部分共享文件进行管理。

为了更方便的对内部进行查看,冒险将 IT-SUPPORT-JOHN 主机的远程桌面打开,通过直接连接桌面对内部进行查看。

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

通过在远程桌面上操作,查看到目标内部 EMAIL 主机上存在 OUTLOOK。

使用浏览器隐私模式登录john、lihua 的邮箱查看用户邮件,发现 lihua 有一封新邮件发送给 Tom,Lucy,yasuo 三人,让三人及时查看其放在 FILESERVER 中的OA系统测试结果文档。

由于我们可以对 lihua 放在 FILESERVER 系统中的测试结果文件进行更改,所以尝试在这上面想办法。

思路如下:将对应文件下载回本地,进行后门捆绑,替换原始文件,之后等待查看的人员中招。由于目标办公网同样无法出网,而且我们代理进去的msf存在问题没法反弹shell和不知道中招人员的ip地址也没法使用正向shell。所以针对制作一个小工具,只具备两个功能,运行后在8080端口打开一个shell,随后挂载 IT-SUPPORT-JOHN 主机的 ipc$。这样当目标中招后,我们通过查看网络连接就可以找到中招主机。

方案实施后,等待目标获取测试文档查看。随后通过监控 IT-SUPPORT-JOHN 主机的网络连接情况发现上线主机。

连接对方的8080端口成功获取到一个shell,经过筛选,得到 yasuo 员工主机shell。

查看 yasuo 主机信息,其主机名为DG165643。

由于网络问题,无法直接向DG165643主机传文件,所以将mimikatz程序上传至 IT-SUPPORT-JOHN 主机,然后在DG165643上通过共享得到mimikatz。

net use \IT-SUPPORT-JOHNc$ "PASSWORD" /u:"USERNAME"

由于yasuo属于域管用户,所以在DG165643主机上其具备管理员权限,也就不用再进行提权操作了。以system权限在DG165643上运行mimikatz成功获取yasuo用户的明文账号密码。


获取域控

使用域管理员yasuo的账号密码在 IT-SUPPORT-JOHN 上成功登录DGOffice域的域控。

修改域控注册表开启内存明文缓存。

reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

更改完成后诱导Administrator管理员重新进行登录操作,得到Administrator用户的明文密码。


扩大影响

到现在,我们已经控制了目标办公域的域控。但对办公域中的员工和主机对应情况不是很清楚,没法想去哪里去哪里。根据目标情况,假设目标中上班时间是周一至周五,只需要在域控主机上获取每天员工登录日志,从里面筛选出来员工和主机的一一对应关系,就可以知道员工和其所属主机是哪一个。

除了现有控下来两个域,根据lihua测试文档可以发现目标内部的测试网络(和办公域隔开),由于lihua是测试人员,可以找到对应主机,在上面进行信息收集发现前往目标测试网络的路线。在控制下来新的网络。

在对办公域中员工主机安装的办公软件进行查看时,发现其安装有CISCO的VPN客户端。并且根据连接日志记录发现连接过上篇中提到的VPN设备。根据连接时间段和浏览器日志记录综合判断,在那一段时间内,进行VPN连接的员工主机可以访问互联网。由于进入目标网络的线路是从WWW进入,线路并不稳定,所以可以在员工主机上通过键盘记录等方法获取所用VPN账号密码,然后查找目标外部是否存在入口VPN,去进行尝试连接。

到此,对目标网络的渗透基本就告一段落了。下面邀请灵魂画手绘制目标的网络拓扑。


总结

成为目标的全网管理员需要对目标整个网络的情况都要了解清楚,而这是需要对目标网络中的数据进行大量分析后才可以做到的,所以在整个内网渗透过程中,对发现的数据进行整理、分析的工作也是需要贯彻全部阶段的。


本文作者:酒仙桥六号部队

本文为安全脉搏专栏作者发布,转自:https://www.secpulse.com/archives/147650.html