內網滲透 破解管理員的空格密碼

2021-12-29 20:50:54 字數 3329 閱讀 1276

前言

一客戶,指定要給其公司做安全測試可從網路層面做,也可以人肉社工 :) 對於乙個小清新來說,怎麼可以做人肉社工呢,要是把對方公司的妹子騙走怎麼辦,於是果斷交給單身的同事去做了,自己默默的看站,客戶扔過來的乙個網域名稱,網域名稱是a.com,其他什麼資訊都沒有。

資訊收集

google搜了下,得到了一批二級網域名稱;開起kali用fierce來一輪網域名稱列舉,成功列舉出某網域名稱下的子網域名稱列表。

可 以看到郵件伺服器的網域名稱是mail.a.com,採用微軟的exchange所搭建。再用nslookup看了下mx記錄,發現是smtp1.a.com,smtp2.a.com,也就是說目標郵件伺服器不是用的騰訊或者谷歌之類的企業郵箱,而是他們自己的郵件伺服器。因為一般這種情況下郵件伺服器所在的ip位址段就是目標公司真實的ip位址段。於是剔除掉不在其ip段的網域名稱,將目標鎖定在mail.a.com所在的網段開始一系列的掃瞄。

內網滲透

經過一輪前端掃瞄,成功的掃到乙個存在漏洞的二級網域名稱,姑且稱其為vulnerable.a.com。該**用wordpress所搭建,但是由於管理員的疏忽,在**其中的乙個資料夾還搭建了另一套測試系統,該系統在安全防護上較為薄弱,因此通過sql注入跨庫查詢到wordpress管理員帳號密碼,成功登入到**後台。由於wordpress後台拿webshell網上有不少教程了,這裡就不再贅述。拿到webshell之後執行了下whoami命令發現許可權是nt authority\system,估計是管理員疏忽沒有做降權操作。

得到了webshell,首先看看內網是什麼結構,net time /domain看了下,沒有回顯;ipconfig /all得到如下結果。

net view 檢視下周邊機器情況得到如下結果,目測是工作組環境了

但是exchange是基於域來搭建的,已經拿下來的這台**伺服器所處的環境是工作組,經過進一步的分析發現這幾台內網伺服器並沒有涉及到目標的核心服務,因此初步判定**伺服器位於目標內網的dmz區。繼續蒐集各種資訊,首先netstat -ano看一下埠連線情況,很意外的發現有幾個內網ip連線了過來,另一方面伺服器連線到了內網乙個ip的1433埠。姑且不去分析管理員到底在這台 伺服器上做了什麼操作,但是能肯定的是內網的訪問控制肯定沒做好。一般來說,當規劃乙個擁有dmz的網路時候,dmz訪問內網要有限制,否則當入侵者攻陷 dmz時,就可以進一步進攻到內網的重要資料。接著net start命令檢視伺服器開了什麼服務,發現伺服器用的殺軟是金山毒霸。立刻著手免殺了個htran丟上去做個socks5**方便下一步的滲透工作,經過掃瞄發現內網存在幾台開了1433埠的伺服器,習慣性的用sa使用者名稱123456作為密碼成功的連線上了其中一台資料庫伺服器。執行了一系列的命令後發現,主要的伺服器都部署在域當中。

屢屢受挫

很不幸在資料庫伺服器上沒有抓取到域管理員的雜湊,只得到了乙個普通域成員密碼。通過這個普通成員的密碼嘗試登入內網的其他機器,在某台機器上居然抓到了其中乙個域管理的雜湊,當時很興奮的嘗試用破出來的管理員密碼去登入域控,很可惜登入失敗了。net user 後發現管理員在乙個月前修改過密碼。所以抓到的這個歷史密碼也毫無意義了。期間嘗試過可能會出現的密碼組合以及管理員的習慣去加以嘗試,均以失敗告終。因為在內網踩點時得知域控伺服器是windows2008,因此嘗試用windows gpp安全問題去碰碰運氣,結果域管理員根本就沒有設定過組策略,也沒有設定過什麼登入指令碼,因此這條路子就此夭折。又經過了半個月的測試,一天,不知道是什麼原因引起管理員的注意,管理員在清理掉了我的webshell之後還在網路邊界安裝了個waf,導致無論是中國菜刀還是k8飛刀,只要有post過去的敏感資料都被重置連線了,這一時半會也找不到什麼好的替代品,只能重新找個大馬湊合著用。另一方面waf還定義的很多狗血的規則,一旦在web伺服器上上傳了大小超過100k的檔案就會提示資料報長度超出,一時間滲透的思路就斷了。

希望之光

遇到這種情況就應該吃根辣條冷靜下。雖然大馬在用起來有諸多不便,但是管理員還是沒把許可權降下來,webshell依舊是system許可權;嘗試連線內網的資料庫伺服器,sa密碼也沒有更改。但是socks5**已經無法正常使用,估計是內網也做了一定的安全防護。於是著手寫個vbs指令碼去連線內網的那台資料庫伺服器來執行域命令。看了下之前被我關掉的那台伺服器還是沒開起來……再次使用net user 命令檢視域管理員的資訊,幾天下來發現管理員登入次數還是很頻繁的,看來還是只能通過蹲點碰運氣去抓管理員的雜湊了。此時因為不能輕易登入域內其他伺服器 導致打草驚蛇,因此用乙個更簡單的方法去刺探管理員是否登入某台域內伺服器。在命令提示符下輸入「tasklist /s x.x.x.x /u username  /p password /v」(不包括引號)即可檢視到ip位址為x.x.x.x 的遠端系統的程序。/u後指tasklist命令使用的使用者賬號,它必須是遠端系統上的乙個合法賬號,/p後的「password 」指的是該使用者的密碼。寫乙個批處理,定時的對可以登入的域內伺服器去跑,檢視管理員是否曾經登入過,經過了漫長的等待,終於得到了回報,發現其中一台伺服器上有域管理員登入過

當時馬上操傢伙上去把雜湊抓了,破解後嘗試登入域控。但現實是殘酷的,還是提示登入錯誤!抱著絕望的心態再次net user檢視了下管理員的資訊,發現管理員在一天前剛修改了密碼。雖然結局很悲傷,但是值得欣慰的是這個辦法是有效的,只要堅持不懈就能成功的搞定域管理員。

幾近崩潰

又是一段漫長的等待,某天又在另一台域內伺服器看到了類似上圖的結果,抱著崩潰的心情再次去抓取了管理員雜湊,破解後登入域控制器,結果還是提示密碼錯誤。但是這次的結果很蹊蹺,我反覆的查詢發現管理員在這段期間並沒有修改密碼。但是為什麼無法登入就不得而知了。後來和朋友聊到這個事情,他說既然搞不定,就先放放聊聊說不定有思路呢,來聊點開心的,前些日子他說他惡搞了乙個他討厭的人,那娃通過社工得到了對方的論壇密碼,然後很**的修改密碼在其原始密碼處加了兩個空格,因為那個論壇在找回密碼的時候是會把密碼傳送到註冊郵箱的,不提供直接修改密碼的功能。因此這招非常的陰險,一般人來說怎麼會注意到密碼後面多了幾個空格呢。

峰迴路轉

這陰損招數倒是提醒了我,因為我在最後一次抓雜湊的時候,我很確定對方管理員在期間是沒有修改過密碼的,所以破出來的密碼應該是不存在任何問題。難道是管理員在密碼後加有空格!果然,我仔細的觀察了在那**破解雜湊的**所破出來的密碼後,後邊居然跟了3個空格!拿著這個逗比密碼,成功的登入了域控,抓到了所有人的雜湊,整個滲透終於告一段落。最後得出個結論:如果不夠細心,就算幸運之神眷顧了自己,還是無法獲得成功的。game over。

mac管理員密碼破解

方法一 官方解決方法。找出電腦原配的系統盤,找不到就借一張或者燒錄一張,重啟電腦,啟動的時候按c鍵,選好語言後進入安裝的時候,點選 常用工具 裡面有一項是 重設密碼 這時就可以重新設定mac os系統的管理員密碼了。方法二 黑客解決方法。開機,啟動時按 cmd s 這時進入單一使用者模式 singl...

DISCUZ論壇管理員密碼破解

discuz論壇管理員密碼忘記了怎麼辦?今天,乙個朋友在qq上問我,如果discuz論壇管理員密碼忘記了 從mysql 找啊?他用的是hostmonster的虛擬主機。yun 自己也沒用過discuz,只好說,這個不是很清楚,可以直接去改一下資料庫的記錄試一下,但是不知道discuz是否對密碼加密了...

如何破解域管理員密碼

初到一公司才發現前面那個管理員沒有交接就走了,只有乙個域管理員那就是administrator,打 問那個傢伙居然說他說不知道。這人簡直是沒有 一點職業道德。進不了伺服器怎麼辦?但伺服器有不可以重灌,還有還有exchange,要是重灌了,全部都得來過。唯一可以操作的平台是還原目錄模式,那麼,我進入還...