JBoss引起的内网渗透-3

待人如知己!!!

首先说明,这个系列的JBoss都是批量获取的,并不是针对某地区某组织而为。

WebShell如同上一篇文章获取,但是这次是直接上传jsp脚本文件,这样更加快捷。

信息收集

1
2
3
4
5
6
7
8
9
本机用户信息:
%computername% --> SZXzzAO-RxxxSY
ifconfig --> 192.168.140.171
%os% --> Windows Server 2008 R2 x64
System Model --> VMware Virtual Platform
Statistiques depuis --> 19/03/2018 15:00:18
域情况:
存在域
使用循环ping找出了50+台C段存活主机

翻阅目录

  • 从用户目录来看,发现域管登录的痕迹;
  • C盘根目录下有metasploit,创建时间为2016-04-19
  • 用户support用于黑客行为操作用户(CrackMapExec扫描日志等);
  • deploy\management存在大量后门文件;
  • $Recycle.Bin存在已删除的恶意exe可执行文件;
  • 存在Panda Security(熊猫卫士)文件夹
  • 后门之多无法想象。

进程收集

  • 存在PSANHost.exe(熊猫卫士)
  • 大量的cmd.exepowershell.exetaskkill.exe

其他

  • screenshot –> 锁屏

问题处理

问题

  • 上传的远控可执行文件运行无反应;
  • 执行Desktop下的mimikatz.exe,一执行就消失(杀软?);
  • 使用powershell执行mimikatz获取hash,但密码为空(注册表被篡改了?);
  • 无法将自添加的用户加入管理员组;
  • 无法执行net view等命令(net 系列缺失)。

分析

  • 生成的马是免杀的(virustotal.com);
  • Panda动态查杀mimikatz
  • 存在KB2871997补丁(Administrator-500);
  • 执行命令无回显估计是因为地区语言的原因。

突破方法

  • 生成新的CS马
  • 修改注册表;
  • 使用PsExec进行hash注入
  • 对内网使用MS-17-010
  • 对内网的Web服务进行渗透。

横向拓展

前奏

反弹个metasploit的shell,利用smb进行主机识别。但是失败,估计是在添加路由的时候出现错误,导致访问不到它的内网段。

已知条件:

  • 远控上线;
  • SZXzzAO-RxxxSY各用户的hash

定位

想要横向,那就得需要知道域控为哪些,域管为哪些,域用户为哪些,内网机器存活为多少。这就关于到内网渗透定位技术问题。

常规的命令:

1
2
3
4
5
6
7
net user /domain # 存在数据
net view /domain # 该列表是空的
net group /domain # 存在数据
net group "domain admins" /domain # 无法找到组名称
net time /domain # 存在数据
net group "domain controllers" /domain # 无法找到组名称
nltest /dclist:ALxxx.lxxxl # 存在数据

以下内容是以上信息的综合:

1
2
3
域控:
SZXDC01 --> 192.168.140.10
SZXDC02 --> 192.168.140.11

使用Cobalt Strike的ARP扫描(因为net view使用不了),使得Targets有记录。

接下来就是找域管理员,既然不知道组名称,那就先找组名,过程参考内网渗透测试定位技术总结

完成!

方法

用比较典型的hash注入碰一下看看运气怎么样。由于存在KB2871997补丁,所以只能使用administrator用户进行注入。

登陆情况如下:

1
2
3
4
5
6
7
8
192.168.140.10 # 失败
192.168.140.11 # 失败
192.168.140.14 # 成功
....
192.168.140.57 # 成功
192.168.140.78 # 失败
192.168.140.160 # 成功
....

这个过程就是不断的进行hash注入,不断的dump密码,结果就如上图。看Credentials里是否存在域管用户账密。

成功获取到域管的账号密码。进行登陆。

!坚持技术分享,您的支持将鼓励我继续创作!