对国外某内网渗透的一次小结

wuyan

首先承认我有罪，大罪。好吧，看文章吧，请认真回复，你们的认真回复是对我最大的支持。

想来想去，不知道叫啥名字好，还是这个名字比较低调有内涵一些。Shell很早就有了，No0d1es同学给我的。服务器是jboss，看样子是前段时间爆出的java凡序列化漏洞拿的shell。

好吧，jsp的，不出意外，权限很大，果然是system权限。

这时候，ipconfig看一下，发现是内网啊，可是我自己也是内网耶，双内网渗透怎么玩？好吧，其实是可以得，搞个正向代理过去，通过webshell做流量转发，就可以打通内网和攻击机的通道了，但是速度慢的出奇。传一个reGeorg脚本就行了，具体怎么玩，请百度reGeorg+proxychains。没办法，只能等啊，等啊等，用nmap扫了整个网段一下午，（然后就去上课了）。好吧，晚上看的时候终于出来了，但是信息很不全面，只看到了几个ip开放了端口，有些扫不出来，我也不知道怎么回事。这时候我就想啊，竟然可以通过websehll来代理，那么我们可不可以写一个jsp脚本来让被我们控制的主机扫描下内网呢，当然是可以。百度一下，乌云还真有人写了，不过是对http服务探测的。（不要问我为什么不自己写，代码功能完善中.......）。好吧，我是代码渣渣，大致收到了一些信息地区是开了web服务的

Web服务尽收眼底。我们用proxychains，进去看看，看看217那个Ip的web服务吧。这里很卡，没办法，要是我有外网的话，自己就反代过去日了。(真慢)。双内网的玩法，大家可以参考下，尽然示范结束那么就开始啪啪啪搞内网了。
明确目标:1.如果没有域的话，只是几个简单的不同业务的服务器，那么目标就是尽可能的搞下多台机器啦
2.如果有域的话，想办法搞定域控就ok了。搞不定的话，就渗透你想要去渗透的那个业务，或者尽可能搞下多台。
0x0x1信息收集
Net view一下

看看有多少个域

Just one.
看看本地管理员组的用户有哪些。

看见Administrator了吧，本地管理员组，
GREIF-BR\Administrator
GREIF-BR\bdamasceno
GREIF-BR\Domain Admins
GREIF-BR\koniz
GREIF-BR\lynas.support，这些都是域管理员用户，说白了就是域管理员用户默认是域里面任何一台机器的本地管理员组，所以说，拿下了域管理员用户，基本可以登录域内任何机器。
那么问题来了，怎么得到域管理用户(domain admins)。其实别人也有总结。我简单的分两类，第一:搞下域控，直接在里面加域管理用户.(条件比较苛刻，就是必须用域管理员用户登录域控，再加一个域管理员用户)哎，将这些名字，是不是晕了呢，(ps:聪明的你一定能看懂，当然你看不懂的话，请联系青少年脑瘫治疗恢复中心，哈哈哈)。第二:搞到已经存在的域管理员。(两者就是和web渗透抓明文和添加一个管理员一样的意思)。好了，有了这些概念，那么开始撸吧。

看看域成员有哪些

看看域管理组的成员
Net group "domain admins"/domain

再看看域控吧。网上有多条命令
Net group "domain controllers" /domain”

竟然有这么多域控，我们随便nslookup看看

Ipconfig /all后找到dns服务器

Dns很有可能就是域服务器。Ping下发现也是这个ip,好吧，基本确定域控的ip了10.14.1.236。
回到原题，域控找到了，现在想办法搞到域管理员。分为这几类
1.溢出域控(常见08067或者dns溢出之类)，溢出后抓明文或者加用户，随你遍
2.对域控进行弱点入侵，扫描并探测web,sqlserver,mysql,ftp等等一大堆服务。通用密码，发现密码规律，或者社会工程学猜解。
3.钓鱼，在已经拿下的机器丢个键盘记录器之类的，等待域管理员账户登录那天。
4.本机抓hash，抓明文（方法和工具太多了）。
现在有外网了，这里我就不一种一种尝试了，直接上配置好payload，上msf了。
5.msf有个令牌假冒，这个完全看人品。


抓明文抓不到，不过这时候No0d1es给我介绍了另外一种方法

最后行了，密码芭啦芭啦。

看到domain就慌了，domian不是域本机名，我猜是域管理员，不是本地管理员。
果断msf端口转发过去，登陆试试。

啪啪啪，登陆域控试试。

发现30也是个域控


好吧，太卡了，截个图撞装下逼。

到此，域里面的任一台主机可以控制了，话说回来，当天还搞了另外一个内网，也是个域环境
，发现有个av的主机，登陆上去一看，傻眼了

，最后说一句，你不与人分享，谁与你分享，大家还是切勿浮躁，勤勤恳恳，脚踏实地的学习吧，别再水了，谢谢。(还说一句，在论坛做黑产的不要找我了)
哦，最后是广告时间，招人招人，有才华的展示才华，有理想的和我谈理想，谈人生
http://www.ihonker.org/thread-6130-1-1.html

No0d1es

难道我是沙发，

90_

这次比较完整，但有些细节处理的还不是很好。
在msf上绕了一些弯路

wuyan

90_ 发表于 2016-3-14 12:39
这次比较完整，但有些细节处理的还不是很好。
在msf上绕了一些弯路

是的

IIIIIdc

虽然看不懂，但是正在学习相关知识，膜拜一下大神

Te5tB99

这是我第二次见你这么6[快哭了][快哭了]

wuyan

白哥哥 发表于 2016-3-14 16:21
这是我第二次见你这么6[快哭了][快哭了]

怎么样？服不服我，文章逼格高不高

sladjfksld

我在山底仰望无言大婶

wuyan

sladjfksld 发表于 2016-3-14 17:14
我在山底仰望无言大婶

别这样说，很多地方还要向你学习呢

面包加火腿

学习大神一波操作。。有个比较水的问题，我的kali装在虚拟机里，然后学校网不能用桥接。。怎么可以接到反弹的shell啊？或者能桥接的话有什么方法可以接到。大神有没有这方面的文章啥的，分享一个，我百度了一波，语文实在捉急==跟百度表达不明白这意思