前言
接上一篇《一步步成为你的全网管理员(上)》。
跨域
现在已经获得了 IT-SUPPORT-JOHN 主机的权限,使用代理进去的msf获得一个shell。
查看权限发现属于system权限。
查看全部域用户。
查看john、lihua 在办公网的权限。发现在办公域中两人都不具备管理员权限。
查看办公域中的域管用户,发现 yasuo 用户属于域管理员组。
横向移动
将流量代理进新发现的网络。
先对当前主机上的信息进行收集,根据路由表等信息发现172.16.0.0/16网段。同样使用 auxiliary/scanner/smb/smb_version 模块对内部网络进行扫描,当开启扫描时发现无法进行扫描。进行多次尝试发现流量并没有被代理到第二层网络。
猜测由于第一层使用的reGeorg,所以在msf中进行再次代理时出现了问题。本来想尝试更换代理方案,第一层代理更换为msf自己创建。由于第一层网络中的目标都无法直接出网,所以改为通过操作 IT-SUPPORT-JOHN 主机对内网进行探测。
上传扫描工具 nbtscan.exe 。
使用nbtscan对内网进行扫描,发现域内网中存在邮件系统和文件系统。
经过测试,可以对 FILESERVER 主机的部分共享文件进行管理。
为了更方便的对内部进行查看,冒险将 IT-SUPPORT-JOHN 主机的远程桌面打开,通过直接连接桌面对内部进行查看。
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
通过在远程桌面上操作,查看到目标内部 EMAIL 主机上存在 OUTLOOK。
使用浏览器隐私模式登录john、lihua 的邮箱查看用户邮件,发现 lihua 有一封新邮件发送给 Tom,Lucy,yasuo 三人,让三人及时查看其放在 FILESERVER 中的OA系统测试结果文档。
由于我们可以对 lihua 放在 FILESERVER 系统中的测试结果文件进行更改,所以尝试在这上面想办法。
思路如下:将对应文件下载回本地,进行后门捆绑,替换原始文件,之后等待查看的人员中招。由于目标办公网同样无法出网,而且我们代理进去的msf存在问题没法反弹shell和不知道中招人员的ip地址也没法使用正向shell。所以针对制作一个小工具,只具备两个功能,运行后在8080端口打开一个shell,随后挂载 IT-SUPPORT-JOHN 主机的 ipc$。这样当目标中招后,我们通过查看网络连接就可以找到中招主机。
方案实施后,等待目标获取测试文档查看。随后通过监控 IT-SUPPORT-JOHN 主机的网络连接情况发现上线主机。
连接对方的8080端口成功获取到一个shell,经过筛选,得到 yasuo 员工主机shell。
查看 yasuo 主机信息,其主机名为DG165643。
由于网络问题,无法直接向DG165643主机传文件,所以将mimikatz程序上传至 IT-SUPPORT-JOHN 主机,然后在DG165643上通过共享得到mimikatz。
net use \IT-SUPPORT-JOHNc$ "PASSWORD" /u:"USERNAME"
由于yasuo属于域管用户,所以在DG165643主机上其具备管理员权限,也就不用再进行提权操作了。以system权限在DG165643上运行mimikatz成功获取yasuo用户的明文账号密码。
获取域控
使用域管理员yasuo的账号密码在 IT-SUPPORT-JOHN 上成功登录DGOffice域的域控。
修改域控注册表开启内存明文缓存。
reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
更改完成后诱导Administrator管理员重新进行登录操作,得到Administrator用户的明文密码。
扩大影响
到现在,我们已经控制了目标办公域的域控。但对办公域中的员工和主机对应情况不是很清楚,没法想去哪里去哪里。根据目标情况,假设目标中上班时间是周一至周五,只需要在域控主机上获取每天员工登录日志,从里面筛选出来员工和主机的一一对应关系,就可以知道员工和其所属主机是哪一个。
除了现有控下来两个域,根据lihua测试文档可以发现目标内部的测试网络(和办公域隔开),由于lihua是测试人员,可以找到对应主机,在上面进行信息收集发现前往目标测试网络的路线。在控制下来新的网络。
在对办公域中员工主机安装的办公软件进行查看时,发现其安装有CISCO的VPN客户端。并且根据连接日志记录发现连接过上篇中提到的VPN设备。根据连接时间段和浏览器日志记录综合判断,在那一段时间内,进行VPN连接的员工主机可以访问互联网。由于进入目标网络的线路是从WWW进入,线路并不稳定,所以可以在员工主机上通过键盘记录等方法获取所用VPN账号密码,然后查找目标外部是否存在入口VPN,去进行尝试连接。
到此,对目标网络的渗透基本就告一段落了。下面邀请灵魂画手绘制目标的网络拓扑。
总结
成为目标的全网管理员需要对目标整个网络的情况都要了解清楚,而这是需要对目标网络中的数据进行大量分析后才可以做到的,所以在整个内网渗透过程中,对发现的数据进行整理、分析的工作也是需要贯彻全部阶段的。