记一次从Linux打到域控

昨晚做梦，梦到周公给了我一个日本的域名，域名为company.com.cn，想让我出个报告

https://conpany.com.cn

后渗透发现我目前能做到的免杀哥斯拉、冰蝎都无法绕过杀软、fscan无法扫描内网，于是做正代:

https://conpany.com.cn/wls-wsat/suo5.jsp

顺带着解密本地数据库配置：

本机信息收集过程中，主要看以下几个地方：

1.进程里有没有zabbix的进程，这个配置文件里可以找到zabbix的地址

2.端口里是否有特殊的端口：389为ldap认证的端口，猜测可能存在域

因此，在etc目录下查找ldap.conf:

查看到相关配置信息：使用ldap browser进行认证：

可以看到所有人的账号密码(1000+)：

随便找一个用户对该密码进行解密：

在外网搜索邮件、VPN等域用户认证的资产，发现exchange：

发现此处使用邮箱登录：

exchange:

CN\v000229:Xsw21qaz

爆出来真正的域名，利用该域名和账户进行云桌面登录：

突破内网隔离

找域控：

域管：

域信任：

不出网：

这个企业的策略对云桌面限制的比较死，web端云桌面只能上传，无法下载，客户端云桌面。

但是可以上传下载的话，用工具启动一个http服务，用之前的webshell去访问一下，然后通过webshell下载到本地：

代理进去访问目标的8080：

域内机器(17w+)：

域用户(16w+)：

导出adexplorer:

域管：

存在麦咖啡杀软，想导出密码，无法提到system且被杀软拦截，所以先扫内网：

查询登录本地的域管：

查看权限：

2021-1675无法提权：

基本限制的很死，到此为止后续就是做一个免杀的提权工具到system，导出域管密码，使用dcsync拿下所有域用户hash。

用ldap browser 查域管：

解密之后发现两个域管口令：

直接3389登录，随机找一个域控：

成功拿下域管，人员太多，暂不导出所有用户hash

这个环境从4月就拿到了，之前老是因为扫不出来东西就放弃了好多次，但是内心告诉我不能这样就草草了事，所以抽出一个周末打完了这个环境，此次环境均为虚构，如有雷同，纯属巧合。