通过linux服务器进入内网后如何快速达到域控的思路总结
此文章为转发,方便日后查阅。
通过linux服务器进入内网后如何快速达到域控的思路总结 - 哔哩哔哩 (bilibili.com)
linux服务器的resolve.conf 中dns可能会设置为域控
查/etc/krb5.conf
Azure 中的vm可以通过配置kerberos将vm加入托管域,使Azure AD域账户通过ssh登录linux服务器
查smb.conf / 查mnt cifs挂载
linux 主机连接windows 445 smb共享文件夹有两种方式,一种是通过samba-client客户端,一种是通过mount cifs去挂载共享文件夹的cifs文件系统,可以查看samba-client 的配置文件,或者查看.bash_history查看连接历史,这里连接的大概率不是域控主机,但可能是域内的nas或域内的服务器,小概率会是开发的测试机,不管怎么样,都离我们的目标更近了一步,而且nas里面有敏感信息正常吗,很正常啊
找ad登录验证的web服务器
在大型组织的内网,很可能存在通过域进行身份验证的服务器,包括但不限于通过ad账号验证的erp、crm系统、邮箱系统或域账号管控系统,通过web端口扫描找到对应的服务器并尝试对web系统、数据库弱口令等各种姿势去getshell,在进入内网后的众多web系统中可以提高对他的渗透优先级
拿到后可以在web源码或配置文件中找到ad服务器的ip端口等信息,如果数据库保存了账号密码明文很好,但大概率是加密后的账号密码,可以改源码加个后门把域账号密码明文保存下来
找ad账号验证的vdi管控或登录系统(Crtrix ADC、Vcenter、国内某些厂商的VDI管控平台等等)
这里的vdi系统其实也是套web系统,但因为这些网络设备如果是登录系统拿到shell权限后大概率会跨网段进入域控和vdi主机所在的网段,如果是管控系统的话,如果都是vdi主机组的域,那基本就结束了,所以单独拿出来说一下。拿到对应的服务器权限后一般都会有一个本地与域控服务器通信的域控账号将设备注册到域控中,密码不出意外都是加密的,这里吹一波msf,在cs烂大街的情况下,还是有一堆痴心不改的老外愿意把这些关键设备的配置文件解密脚本更新到msf的插件中
找WSUS服务器/EDR终端管控服务器/SCCM服务器
WSUS就是windows推送更新补丁包的服务器,拿到之后可以给域控分发补丁(exe或恶意命令)然后打域控,当然不是扫135看到WSUS就一定有域,这玩意也能放到工作组里用
SCCM是 Microsoft 的一种解决方案,可在整个组织中以可扩展的方式增强管理。SCCM 允许大量功能,包括将 PowerShell 脚本推送到其客户端、将命令推送到其客户端、在客户端上打开远程终端会话、在其客户端上安装软件、更改其客户端上的策略等等。
netstat -ano/cat /var/log/secure
emm...如果拿到内网web系统,查下端口访问,可能能看到办公机访问的ip或办公网网关ip,对所在网段389或636,3268,3269(GC服务)端口扫描可能会有收获
查看ssh连接历史的ip也是一个意思,快速定位可达windows主机的IP段,尽量少在内网大的网段扫描探测
135端口扫描
OXID find是yyds啦
openvpn配置文件
适用的环境比较奇怪,现在的云主机比较多嘛,有时候源码在内网的gitlab上,或者有些其他需要与内网资源交互的奇特场景,会给服务器上配个vpn,拿到账号密码ip端口就去连内网去搞内网渗透去了,像vpn账号嘛、邮箱账号嘛、sso账号嘛和域控账号密码一毛一样很正常嘛,如果能在主机上能翻到ADFS sso账号简直中奖好嘛,这一块主要看操作的人在主机上留了什么东西了
gitlab信息收集
就像前面说的内网存在一些需要ad验证的web系统,如果拿到gitlab之类的源码平台搜索关键字ldap在源码中、注释中可能会找到测试的ad账号和服务器地址,如果最新的版本中找不到,记得在老的commit中翻一下,git系统的位置可以在拿到权限的服务器源码的.git的config之类的配置文件中找
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。后续可能会有评论区,不过也可以在github联系我。