| 关键词: 管理员 用户 Domain 明文 就是 啪啪 本机 GREIF 服务 或者 |
前言 想来想去,不知道叫啥名字好,还是这个名字比较低调有内涵一些。Shell很早就有了,No0d1es同学给我的。服务器是jboss,看样子是前段时间爆出的java凡序列化漏洞拿的shell。 ![]() 双内网 jsp的,不出意外,权限很大,果然是system权限。 ![]() 这时候,ipconfig看一下,发现是内网啊,可是我自己也是内网耶,双内网渗透怎么玩? 好吧,其实是可以得,搞个正向代理过去,通过webshell做流量转发,就可以打通内网和攻击机的通道了,但是速度慢的出奇。传一个reGeorg脚本就行了,具体怎么玩,请百度reGeorg+proxychains。 没办法,只能等啊,等啊等,用nmap扫了整个网段一下午,(然后就去上课了)。 好吧,晚上看的时候终于出来了,但是信息很不全面,只看到了几个ip开放了端口,有些扫不出来,我也不知道怎么回事。 这时候我就想啊,竟然可以通过websehll来代理,那么我们可不可以写一个jsp脚本来让被我们控制的主机扫描下内网呢,当然是可以。 百度一下,乌云还真有人写了,不过是对http服务探测的。(不要问我为什么不自己写,代码功能完善中…….)。好吧,我是代码渣渣,大致收到了一些信息地区是开了web服务的 ![]() Web服务尽收眼底。我们用proxychains,进去看看,看看217那个Ip的web服务吧。这里很卡,没办法,要是我有外网的话,自己就反代过去日了。(真慢)。 内网 上面介绍了双内网的玩法,大家可以参考下,尽然示范结束那么就开始啪啪啪搞内网了。 明确目标:
0x0x1信息收集 Net view一下 ![]() 看看有多少个域 ![]() Just one. 看看本地管理员组的用户有哪些。 ![]() 看见Administrator了吧,本地管理员组
这些都是域管理员用户,说白了就是域管理员用户默认是域里面任何一台机器的本地管理员组,所以说,拿下了域管理员用户,基本可以登录域内任何机器。 那么问题来了,怎么得到域管理用户(domain admins)。其实别人也有总结。 我简单的分两类: 第一:搞下域控,直接在里面加域管理用户.(条件比较苛刻,就是必须用域管理员用户登录域控,再加一个域管理员用户)哎,将这些名字,是不是晕了呢,(ps:聪明的你一定能看懂,当然你看不懂的话,请联系青少年脑瘫治疗恢复中心,哈哈哈)。 第二:搞到已经存在的域管理员。(两者就是和web渗透抓明文和添加一个管理员一样的意思)。好了,有了这些概念,那么开始撸吧。 看看域成员有哪些 ![]() 看看域管理组的成员 Net group “domain admins”/domain ![]() 再看看域控吧。网上有多条命令 Net group “domain controllers” /domain” ![]() 竟然有这么多域控,我们随便nslookup看看 ![]() Ipconfig /all后找到dns服务器 ![]() Dns很有可能就是域服务器。Ping下发现也是这个ip,好吧,基本确定域控的ip了10.14.1.236。 回到原题,域控找到了,现在想办法搞到域管理员。分为这几类:
![]() ![]() 抓明文抓不到,不过这时候No0d1es给我介绍了另外一种方法 ![]() 最后行了,密码芭啦芭啦。 ![]() 看到domain就慌了,domian不是域本机名,我猜是域管理员,不是本地管理员。 果断msf端口转发过去,登陆试试。 ![]() 啪啪啪,登陆域控试试。 ![]() 发现30也是个域控 ![]() ![]() 好吧,太卡了 ![]() 清日志,走人。 本文作者:未知 转载自:http://www.mottoin.com/detail/312.html |
| 本文出处: https://www.toutiao.com/a6674094119448478220/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|