内网渗透之一次域环境的渗透测试

【前言】
这一切都是在自己搭建环境的条件下完成的，或你已得到授权的情况下才可进行渗透测试，如有其他用途与我无关
【实验目标】
拿到域环境下其他主机的数据
【渗透思路】
通过拿到网站shell渗透到内网，由内网存活主机拿到域控权限，再由域控渗透到其他域里面得主机获取资源
【渗透流程】
0x01 寻找后台
IP：39.106.226.95:9235
进入网页，是一个html网站

使用御剑扫描一下

发现robots.txt文件，管理员经常将后台地址保存在此文件中

发现后台地址果然被保存在此文件中
访问进入后台

尝试抓包进行爆破

成功跑出后台登录密码 passw0rd
登录后台，选择全功能版

成功进入后台
0x02 文件上传
首页处显示为IIS6.0搭建，可以利用IIS解析漏洞
界面风格处可以利用iis的解析漏洞上传
在模板选择功能模块可以将文件夹名修改为1.asp，可以利用IIS会将x.asp文件夹下的所有文件解析为asp文件的解析漏洞上传

修改后该文件夹下的html文件也会被解析为.asp执行，新建一个模板，点击添加模板，创建一个html页面，将asp一句话写进去，

访问验证是否解析

为空白页面，证明成功解析为asp执行
用菜刀连接

成功连接
0x03 提权
传入一个cmd.exe方便我们执行命令

输入whoami查看一下权限

为network service权限，无法添加账户
上传提权工具发现无法成功执行，尝试从其他端口切入，ipconfig查看一下ip

这里我们转换一下思路，通过菜刀上传一个aspx大马
ipconfig查看一下ip，发现内网IP的两个网段：一个152段的，一个79段的

本地编写一个bat文件，利用大马执行

使用大马的端口扫描功能得知已知IP开放了如下端口

192.168.152.173的机器只开放了1433端口，可以看出这台机器很可能就是数据库服务器，

• 收集信息

可以看到config配置文件，查看里面的文件查看有没有可用的信息

可以看到CMS的配置文件，点击编辑查看

果然里面存放着数据库的用户名密码
利用得到的用户名密码登录MSSQL数据库
成功连接
whoami查看一下权限，已经是system权限，不需要提权

查看管理员组信息

查看域用户

arp -a 查看该主机缓存信息发现几个内网IP

查看所在域名称

查看当前域中的PC列表

发现域中存在一台数据库服务器，一台文件服务器，web服务器和NAS服务器（网络接入服务器（Network Attached Server，缩写为NAS）是远程访问接入设备）和一台个人PC

利用大马添加一个用户并添加至管理员组

net user lqd Amazing@123 /add
net localgroup administrators lqd /add

查看一下成功添加

我们发现192.168.152.173开放了3389端口

利用reGeorg+Proxifier设置代理尝试远程登录

隧道成功打通

win+r 打开运行界面输入mstsc 打开远程桌面
输入所要连接的计算机的IP ：192.168.152.173

输入账号密码登录

成功登录到远程桌面

利用文件共享上传一个QuarksPwDump.exe，然后使用QuarksPwDump.exe抓取一下系统管理员密码hash并导出到一个txt文件里

md5解密发现解不开，是个高强度密码

我们知道域里面的主机都是有一定的命名规则的
查看获得shell的网站发现他的网站根目录的命名为game.fbi.gov.us
通过手动测试发现一个域名为oa.fbi.gov.us的网站

访问我们oa.fbi.gov.us域名发现是一个源码库日志管理系统

尝试利用asp万能密码绕过登陆
账号：liufeng’ or ‘1’='1密码任意
成功登录到后台

在添加日志处发现存在存储型xss

点进我们添加的日志查看一下属性，发现添加的日志的URL

测试一下得到的URL是否存在注入，发现报500错误

我们利用啊D注入工具登录到网站后台

然后尝试注入该URL发现成功注出管理员密码
username不知道什么原因没跑出来，不过问题不大，上面我们已经得到了几个用户名，也不多，可以一个一个尝试

利用我们前面的到的用户名和密码尝试登录域里面得其他主机

成功登录到其他主机，然后我们就可以查看下载域里面其他PC段的文件了