对国外某内网渗透的一次小结

　　前言
　　想来想去，不知道叫啥名字好，还是这个名字比较低调有内涵一些。Shell很早就有了，No0d1es同学给我的。服务器是jboss，看样子是前段时间爆出的java凡序列化漏洞拿的shell。
　　双内网
　　jsp的，不出意外，权限很大，果然是system权限。
　　这时候，ipconfig看一下，发现是内网啊，可是我自己也是内网耶，双内网渗透怎么玩？好吧，其实是可以得，搞个正向代理过去，通过webshell做流量转发，就可以打通内网和攻击机的通道了，但是速度慢的出奇。传一个reGeorg脚本就行了，具体怎么玩，请百度reGeorgproxychains。没办法，只能等啊，等啊等，用nmap扫了整个网段一下午，（然后就去上课了）。好吧，晚上看的时候终于出来了，但是信息很不全面，只看到了几个ip开放了端口，有些扫不出来，我也不知道怎么回事。这时候我就想啊，竟然可以通过websehll来代理，那么我们可不可以写一个jsp脚本来让被我们控制的主机扫描下内网呢，当然是可以。百度一下，乌云还真有人写了，不过是对http服务探测的。（不要问我为什么不自己写，代码功能完善中。）。好吧，我是代码渣渣，大致收到了一些信息地区是开了web服务的
　　Web服务尽收眼底。我们用proxychains，进去看看，看看217那个Ip的web服务吧。这里很卡，没办法，要是我有外网的话，自己就反代过去日了。（真慢）。
　　内网
　　上面介绍了双内网的玩法，大家可以参考下，尽然示范结束那么就开始啪啪啪搞内网了。明确目标：如果没有域的话，只是几个简单的不同业务的服务器，那么目标就是尽可能的搞下多台机器啦如果有域的话，想办法搞定域控就ok了。搞不定的话，就渗透你想要去渗透的那个业务，或者尽可能搞下多台。
　　0x0x1信息收集
　　Netview一下
　　看看有多少个域
　　Justone。看看本地管理员组的用户有哪些。
　　看见Administrator了吧，本地管理员组
　　GREIFBRAdministratorGREIFBRbdamascenoGREIFBRDomainAdminsGREIFBRkonizGREIFBRlynas。support
　　这些都是域管理员用户，说白了就是域管理员用户默认是域里面任何一台机器的本地管理员组，所以说，拿下了域管理员用户，基本可以登录域内任何机器。那么问题来了，怎么得到域管理用户（domainadmins）。其实别人也有总结。我简单的分两类：第一：搞下域控，直接在里面加域管理用户。（条件比较苛刻，就是必须用域管理员用户登录域控，再加一个域管理员用户）哎，将这些名字，是不是晕了呢，（ps：聪明的你一定能看懂，当然你看不懂的话，请联系青少年脑瘫治疗恢复中心，哈哈哈）。第二：搞到已经存在的域管理员。（两者就是和web渗透抓明文和添加一个管理员一样的意思）。好了，有了这些概念，那么开始撸吧。看看域成员有哪些
　　看看域管理组的成员Netgroupdomainadminsdomain
　　再看看域控吧。网上有多条命令Netgroupdomaincontrollersdomain
　　竟然有这么多域控，我们随便nslookup看看
　　Ipconfigall后找到dns服务器
　　Dns很有可能就是域服务器。Ping下发现也是这个ip，好吧，基本确定域控的ip了10。14。1。236。回到原题，域控找到了，现在想办法搞到域管理员。分为这几类：溢出域控（常见08067或者dns溢出之类），溢出后抓明文或者加用户，随你遍对域控进行弱点入侵，扫描并探测web，sqlserver，mysql，ftp等等一大堆服务。通用密码，发现密码规律，或者社会工程学猜解。钓鱼，在已经拿下的机器丢个键盘记录器之类的，等待域管理员账户登录那天。本机抓hash，抓明文（方法和工具太多了）。现在有外网了，这里我就不一种一种尝试了，直接上配置好payload，上msf了。msf有个令牌假冒，这个完全看人品。
　　抓明文抓不到，不过这时候No0d1es给我介绍了另外一种方法
　　最后行了，密码芭啦芭啦。
　　看到domain就慌了，domian不是域本机名，我猜是域管理员，不是本地管理员。果断msf端口转发过去，登陆试试。
　　啪啪啪，登陆域控试试。
　　发现30也是个域控
　　好吧，太卡了
　　清日志，走人。
　　本文作者：未知转载自：http：www。mottoin。comdetail312。html