穿透三层内网VPC2

网络拓扑

目标出网web地址：192.168.139.4

信息收集端口扫描：

打开8080端口是一个tomcat的服务

版本是Apache Tomcat/7.0.92

很熟悉了，可能存在弱口令

tomcat/tomcat 成功登录

用哥斯拉生成马子，上传war包，进入后台

CS建立监听生成后门上线

进行信息收集，发现2.0网段

主机发现和端口探测发现另外三台主机

上传fscan进行漏洞探测

2.11机器有SQLserver服务，并且抓到账号密码

这里直接代理连上2.11机器SQLserver服务

执行命令成功

上传后门上线CS

信息收集发现域

查看域真实IP

尝试抓取密码横向移动

这里我建立了IPC连接失败，可能有杀软

只能用分离免杀后门上线CS

这里还有台2.12机器

利用域控pxesec上线

在域控上进行信息收集，发现3.0网段

进行主机发现和端口探测

扫到3.11机器有80端口

配置代理访问3.11机器80端口

通达框架，拿漏扫器扫一下

存在漏洞哥斯拉连接，成功命令执行

上传马子上线CS

发现有域，查看域控机器地址

确定域控IP

尝试域控是否有CVE2020-1472

确实有，抓取hash

得到hash，横向移动上线域控

发现4.0网段，进行主机发现和端口探测

发现3台主机

抓取明文密码，尝试是否可以横向移动

成功上线

发现域

找域控真实IP和名称

下面的思路是拿下域控，经过一番尝试和查找，域控设置了约束性委派

上传Adfind，探测发现存在约束委派

查看机器用户是否设置委派

shell AdFind.exe -b "DC=xiaodi,DC=vpc" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

查看服务用户是否设置委派

存在上传kekeo获取票据，在此之前抓一下密码

shell kekeo "tgt::ask /user:fileadmin /domain:xiaodi.vpc /NTLM:109614516980a96b5faa02f3edaddebb /ticket:administrator.kirbi" "exit"

利用票据获取域控票据

shell kekeo "tgs::s4u /tgt:TGT_fileadmin@XIAODI.VPC_krbtgt~xiaodi.vpc@XIAODI.VPC.kirbi /user:Administrator@xiaodi.vpc /service:cifs/dc.xiaodi.vpc" "exit"

导入票据到内存

导入完成，检查是否远程查看域控目录

上传马子到域控

利用服务上线CS

成功上线

抓取hash上线域内机器4.12

成功上线

至此测试完成