一次平淡无奇的域渗透

一次平淡无奇的域渗透

这是一次很普通的渗透过程,好兄弟撕夜于网站上发现了SQL注入,为一处登陆处的注入,注入点为用户名或密码。说着我们复制了post包放入sqlmap目录下,直接来一发 -r

  • 注入

    POST /XXXXXX/XXX/Login.asp HTTP/1.1
    Host: target.com
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 29
    Origin: http://target.com
    Connection: close
    Name=admin*&PassWord=asdasd

我们发现支持堆叠注入,直接使用cs生成pscommand于os-shell中执行,上线到cs上便于操作。

  • Cobalt Strike

我们进入命令行发现机器为域内机器,为普通用户,所以首先第一步想要把权限提升至高权限用户

查看系统补丁情况,到补丁缺少查询网站查询,发现缺少ms16-075,到github中下载对应的提取插件,使用插件进行权限提升,成功将权限提升至system权限

查看了域内机器情况,发现有名为AD1、AD2、AD3的一台主控,两台辅控机器

在当前已经提升了权限的高权限下dump hash,获取到部分用户账户,这时候一个惊喜发生了,就是通过dump hash发现了域管的账号情况,这不是美滋滋吗

但是首先我们将shell注入到了其他进程,万一一下掉了呢对吧

接下来进行pth,使用已经获取的域管账号hash对其他机器进行移动,首先就是AD1的域控

成功获取到了AD1域控的SYSTEM权限

于AD1上进行dump hash

将域管账号对其他机器进行批量pth,梭哈就完事了

最后获得了三台AD,mail,file一些权限,然后就去看电视了