一步步成为你的全网管理员（下）

前言

接上一篇《一步步成为你的全网管理员（上）》。

现在已经获得了 IT-SUPPORT-JOHN 主机的权限，使用代理进去的msf获得一个shell。

查看权限发现属于system权限。

查看全部域用户。

查看john、lihua 在办公网的权限。发现在办公域中两人都不具备管理员权限。

查看办公域中的域管用户，发现 yasuo 用户属于域管理员组。

将流量代理进新发现的网络。

先对当前主机上的信息进行收集，根据路由表等信息发现172.16.0.0/16网段。同样使用 auxiliary/scanner/smb/smb_version 模块对内部网络进行扫描，当开启扫描时发现无法进行扫描。进行多次尝试发现流量并没有被代理到第二层网络。

猜测由于第一层使用的reGeorg，所以在msf中进行再次代理时出现了问题。本来想尝试更换代理方案，第一层代理更换为msf自己创建。由于第一层网络中的目标都无法直接出网，所以改为通过操作 IT-SUPPORT-JOHN 主机对内网进行探测。

上传扫描工具 nbtscan.exe 。

使用nbtscan对内网进行扫描，发现域内网中存在邮件系统和文件系统。

经过测试，可以对 FILESERVER 主机的部分共享文件进行管理。

为了更方便的对内部进行查看，冒险将 IT-SUPPORT-JOHN 主机的远程桌面打开，通过直接连接桌面对内部进行查看。

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

通过在远程桌面上操作，查看到目标内部 EMAIL 主机上存在 OUTLOOK。

使用浏览器隐私模式登录john、lihua 的邮箱查看用户邮件，发现 lihua 有一封新邮件发送给 Tom，Lucy，yasuo 三人，让三人及时查看其放在 FILESERVER 中的OA系统测试结果文档。

由于我们可以对 lihua 放在 FILESERVER 系统中的测试结果文件进行更改，所以尝试在这上面想办法。

思路如下：将对应文件下载回本地，进行后门捆绑，替换原始文件，之后等待查看的人员中招。由于目标办公网同样无法出网，而且我们代理进去的msf存在问题没法反弹shell和不知道中招人员的ip地址也没法使用正向shell。所以针对制作一个小工具，只具备两个功能，运行后在8080端口打开一个shell，随后挂载 IT-SUPPORT-JOHN 主机的 ipc$。这样当目标中招后，我们通过查看网络连接就可以找到中招主机。

方案实施后，等待目标获取测试文档查看。随后通过监控 IT-SUPPORT-JOHN 主机的网络连接情况发现上线主机。

连接对方的8080端口成功获取到一个shell，经过筛选，得到 yasuo 员工主机shell。

查看 yasuo 主机信息，其主机名为DG165643。

由于网络问题，无法直接向DG165643主机传文件，所以将mimikatz程序上传至 IT-SUPPORT-JOHN 主机，然后在DG165643上通过共享得到mimikatz。

net use \IT-SUPPORT-JOHNc$ "PASSWORD" /u:"USERNAME"

由于yasuo属于域管用户，所以在DG165643主机上其具备管理员权限，也就不用再进行提权操作了。以system权限在DG165643上运行mimikatz成功获取yasuo用户的明文账号密码。

使用域管理员yasuo的账号密码在 IT-SUPPORT-JOHN 上成功登录DGOffice域的域控。

修改域控注册表开启内存明文缓存。

reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

更改完成后诱导Administrator管理员重新进行登录操作，得到Administrator用户的明文密码。

到现在，我们已经控制了目标办公域的域控。但对办公域中的员工和主机对应情况不是很清楚，没法想去哪里去哪里。根据目标情况，假设目标中上班时间是周一至周五，只需要在域控主机上获取每天员工登录日志，从里面筛选出来员工和主机的一一对应关系，就可以知道员工和其所属主机是哪一个。

除了现有控下来两个域，根据lihua测试文档可以发现目标内部的测试网络（和办公域隔开），由于lihua是测试人员，可以找到对应主机，在上面进行信息收集发现前往目标测试网络的路线。在控制下来新的网络。

在对办公域中员工主机安装的办公软件进行查看时，发现其安装有CISCO的VPN客户端。并且根据连接日志记录发现连接过上篇中提到的VPN设备。根据连接时间段和浏览器日志记录综合判断，在那一段时间内，进行VPN连接的员工主机可以访问互联网。由于进入目标网络的线路是从WWW进入，线路并不稳定，所以可以在员工主机上通过键盘记录等方法获取所用VPN账号密码，然后查找目标外部是否存在入口VPN，去进行尝试连接。

到此，对目标网络的渗透基本就告一段落了。下面邀请灵魂画手绘制目标的网络拓扑。

总结

成为目标的全网管理员需要对目标整个网络的情况都要了解清楚，而这是需要对目标网络中的数据进行大量分析后才可以做到的，所以在整个内网渗透过程中，对发现的数据进行整理、分析的工作也是需要贯彻全部阶段的。