待人如知己!!!
首先说明,这个系列的JBoss都是批量获取的,并不是针对某地区某组织而为。
WebShell如同上一篇文章获取,但是这次是直接上传jsp脚本文件,这样更加快捷。
信息收集
1 | 本机用户信息: |
翻阅目录
- 从用户目录来看,发现域管登录的痕迹;
- C盘根目录下有
metasploit,创建时间为2016-04-19; - 用户
support用于黑客行为操作用户(CrackMapExec扫描日志等); - 在
deploy\management存在大量后门文件; - 在
$Recycle.Bin存在已删除的恶意exe可执行文件; - 存在
Panda Security(熊猫卫士)文件夹 - 后门之多无法想象。
进程收集
- 存在
PSANHost.exe(熊猫卫士) - 大量的
cmd.exe、powershell.exe及taskkill.exe
其他
- screenshot –> 锁屏
问题处理
问题
- 上传的
远控可执行文件运行无反应; - 执行Desktop下的
mimikatz.exe,一执行就消失(杀软?); - 使用
powershell执行mimikatz获取hash,但密码为空(注册表被篡改了?); - 无法将自添加的用户加入管理员组;
- 无法执行
net view等命令(net 系列缺失)。
分析
- 生成的马是免杀的(virustotal.com);
Panda动态查杀mimikatz;- 存在
KB2871997补丁(Administrator-500); - 执行命令无回显估计是因为地区语言的原因。
突破方法
- 生成新的
CS马; - 修改注册表;
- 使用
PsExec进行hash注入; - 对内网使用
MS-17-010; - 对内网的Web服务进行渗透。
横向拓展
前奏
反弹个metasploit的shell,利用smb进行主机识别。但是失败,估计是在添加路由的时候出现错误,导致访问不到它的内网段。
已知条件:
- 远控上线;
SZXzzAO-RxxxSY各用户的hash。
定位
想要横向,那就得需要知道域控为哪些,域管为哪些,域用户为哪些,内网机器存活为多少。这就关于到内网渗透定位技术问题。
常规的命令:
1 | net user /domain # 存在数据 |
以下内容是以上信息的综合:
1 | 域控: |
使用Cobalt Strike的ARP扫描(因为net view使用不了),使得Targets有记录。
接下来就是找域管理员,既然不知道组名称,那就先找组名,过程参考内网渗透测试定位技术总结。
完成!
方法
用比较典型的hash注入碰一下看看运气怎么样。由于存在KB2871997补丁,所以只能使用administrator用户进行注入。
登陆情况如下:
1 | 192.168.140.10 # 失败 |
这个过程就是不断的进行hash注入,不断的dump密码,结果就如上图。看Credentials里是否存在域管用户账密。
成功获取到域管的账号密码。进行登陆。
