记一次内网实战之不会免杀（下）

本文作者 : 重生信安 - 鲨鱼

0x01前言

前几天忙的一批，也是没法再写文章，工作中黑盒测试也遇到很有意思的渗透故事，但鉴于保密问题也没法向大家公开。上篇说到进入内网遭到杀软残忍杀害，这篇我将带头冲锋，本人免杀也只是略知一二只是走着别人走过的路，废话不多说开搞。

 

0x02正文

  内网第一波肯定是信息收集但是我已经拿到了很多信息，可以参考《一次实战内网漫游》文章下方的msf模板进行收集信息。

 

Msf监听接收到shell，然后开启内网转发进入内网。

 

run autoroute –s 网段

 

Use auxiliary/scanner/smb/smb_ms17_010

Set rhosts    #网段ip

Set threads  #线程

run 

这很泰国ms17-010基本都没打补丁。

上篇文章说到199ip很可能是个域控，存在大量用户（199不出网，不通外网）。

因为杀软问题直接利用ms17-010反弹shell是无法成功的，这里我们使用ms17-010命令执行的exp。

Use auxiliary/admin/smb/ms17_010_command

Set command  #执行的命令

Set rhosts   #目标

Run

Ok执行成功，然后添加用户和管理组（不再进行截图）。

然后regeorg配合proxifier进入内网（regeorg通过web脚本文件将内网流量转发出来，具体可百度学习）。

然后远程到199ip的桌面，下面让199ip主机反弹shell到msf。

我们已经拿到6的权限，可以使用微软自带的netsh转发进行中转shell。

我们这里设置的是将访问ip 10.1.1.6  8081端口的流量全部转发到外网vps 4478端口

然后我们在我们的VPS上监听4478端口。

199这个IP直接反弹shell到6的8081端口。（6会通过netsh设置转发到公网VPS上）。

199这个主机也没什么东西（假域控）读波密码溜。（读密码需要system权限我们使用ms17-010进行提权）

通过ms17提权成功，读密码。

Load mimikatz  #加载mimikatz

Kerberos          #读取明文

我们拿到了199的明文密码。（下面我们利用此密码进行撞C段主机）。

Use auxiliary/scanner/smb/smb_login

Set rhosts IP

Set smbuser  #用户名

Set smbpass  #密码

Set threads #线程

Run

撞出了大量主机（部分截图）。

 

此时行总发来了电报说他腰疼，七夕节腰疼有点意思。

通过行总发来的文档，得知内网存在5个C段，每个段都存在域控？？

前边已经得知10ip主机存在ms17（通外网，直接添加管理员用户）。

然后在进行IPC进行连接。

然后把马copy到目标C盘。

使用ms17进行执行木马反弹shell。

读取密码进行远程桌面连接。

Run getgui –e   #开启远程桌面。

域内没有一台主机卧槽？域不要钱一样的搭建。（我们把目标转向1 IP主机 貌似还挺多域内主机 1的域为ESOURCE）。

 

1 IP主机没有可利用系统漏洞，目标转向域内用户，碰碰运气看能不能读到域管理密码。（先攻击存在ms17的域内主机）

基本套路ms17添加用户IPC上传文件ms17执行木马。（不要问我为啥不直接弹shell，因为杀软拦截，为啥拦截？我不知道！）

 

读了两台域内主机的密码，都没有读到域用户密码。（连个域普通用户都没有，还想搞个黄金票据）。

 

最后目标锁定在79 IP上 他的本地管理员密码和199 IP主机本地管理员密码相同。

最后成功读到一枚域管理密码,登陆1 IP域控。

 

这特码是域环境？这特码是工作组吧。头疼死了，其他段的域控制器不想搞了，遗憾的是没用到黄金票据等一些拿域控的操作。

 

0X03 总结

  本文操作手法都为常规手法，主要在于免杀 ，没有免杀则没有灵魂。本人对免杀略知一二，下面放上我们团队微信群供大家交流分享，本人也会把常用的免杀工具分享给大家！最后欢迎各位大佬来一起交流！等你！