本次渗透测试的流程大致如下:信息收集 >> SSO爆破 >> JEECG GetShell >> 密码喷洒 >> DCsync,这些都是比较基础的操作。
GetShell 首先通过信息收集,从一个GitHub项目中找到了一些账号密码。
![图片[1]-弱口令导致域控制器沦陷:攻防演练小结-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240320162536991-image.png)
![图片[2]-弱口令导致域控制器沦陷:攻防演练小结-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240320162541884-image.png)
登录后了解到了工号的规则。
![图片[3]-弱口令导致域控制器沦陷:攻防演练小结-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240320162549603-image.png)
发现他们使用SSO进行统一登录,且没有验证码,于是进行爆破,成功获得了一些权限较高的账号。
![图片[4]-弱口令导致域控制器沦陷:攻防演练小结-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240320162603387-image.png)
SSO系统大部分都使用了较老版本的JEECG,已经有很多关于其漏洞的公开信息。通过JEECG的通用文件上传漏洞成功上传了Webshell。
![图片[5]-弱口令导致域控制器沦陷:攻防演练小结-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240320162608830-image.png)
内网 虽然公司内网安全设备不少,但并没有做什么限制,内部网络分为核心段、生产网和办公网。在内网我喜欢先攻击一些集权系统,如GitLab、Wiki等,但很遗憾这些系统都比较新,没有RCE漏洞。其中GitLab可以注册账号,登录后发现了许多数据库密码、AccessKey、邮箱账号密码,从而控制了云上的基本信息。
![图片[6]-弱口令导致域控制器沦陷:攻防演练小结-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240320162633689-image.png)
随后通过一些Shiro、XXLJob等漏洞拿到了一些Shell,已经收集到了大量凭据,并且大概猜出了密码的构成。决定使用Kerbrute进行密码喷洒,在拿到一些域用户后通过ADCS漏洞获取了域控权限。
![图片[7]-弱口令导致域控制器沦陷:攻防演练小结-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240320162637488-image.png)
![图片[8]-弱口令导致域控制器沦陷:攻防演练小结-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240320162646702-image.png)
PS:由于项目时间较久,当时未截取足够多的截图,敬请谅解。
© 版权声明
THE END
![表情[qiudale]-山海云端论坛](https://www.shserve.cn/wp-content/themes/Shanhai/img/smilies/qiudale.gif)
我也是买了领不了、
暂无评论内容