一直以来做的都是内外网的Web系统渗透测试，没有做过内网中的域渗透测试，正值护网期间，客户要求我扮演一名进入到内网系统的红队人员，对域内安全进行渗透测试，此为前提。

我本机是通过网线直接接入到客户内网中的，自动分配的IP为10.134.x.x，查看DNS后发现可能存在另一网段172.32.x.x，使用多功能弱口令扫描器扫描C段，发现存在FTP、SSH、3389、redis等大把服务存在弱口令的情况。访问FTP服务，发现该主机直接开放本机C、D、E盘，简单查看文件后认定该主机为开发人员个人PC，结合C段内其它大量存在弱口令的情况猜测10网段为开发人员办公网络，登陆后验证该事实。

图1 FTP弱口令

那么接下来测试的目标就根据DNS中的记录，转向了172.32.x.x网段，使用RouteScan工具对172.32.x.x网段常见端口进行扫描，部分结果如下：

图2 RouteScan扫描结果

通过大量开放的3389端口可以确认172网段是存在域的服务器网段，虽然开放了445端口但已打好补丁，对该网段内存在的Weblogic与Tomcat进行弱口令尝试，找到其中一台Tomcat控制台存在弱口令，遂把jsp小马打包成war包进行上传，成功连接。

Weblogic工具：https://github.com/rabbitmask?tab=repositories

Tomcat工具：https://github.com/magicming200/tomcat-weak-password-scanner

图3 部署WAR包获得webshell
图4 成功连接jsp马

webshell成功上传之后开始在服务器内文件夹中查找有价值的线索，很遗憾，服务器上并没有存在有价值的东西，不然也不太可能会存在弱口令这一问题。服务器上运行有赛门铁克，webshell很多功能不能使用，尝试上传大马至服务器，试了很多🐴。。。。。。直到最后一个免杀马成功上传没有被删除，该大马能够上传文件、下载文件、命令执行，相对而言功能已经足够了。

图5 免杀的JSP大马

whoami结果为system，同时在服务器上执行了其它的信息搜集命令，部分如下：

图6 查询域列表
图7 查询域用户

顺便一提，域用户有一万五千多个，显示出来花了不少时间。。接下来尝试提取系统中用户密码，果不其然，上传的mimikatz直接被杀软拦掉，尝试在进程中kill掉赛门铁克没有成功，换其他工具，procdump64虽然能够上传但是却始终运行失败，上传了一个免杀的meterpreter打算反弹回来却也如下图所示：

图8 连接失败

通常情况下杀软是不会拦截微软官方的procdump，但为什么上传的那么多工具都不能成功运行？最后看着X86文件夹陷入沉思，传上去的工具好像都tm是64位的..

图9 成功dump口令

果不其然，上传了一个32位的procdump之后成功的把口令dump了下来，下载至本地后使用mimikatz进行解密，成功得到账号与密码。

图10 获得口令

在这台机器上只抓到了普通域用户的密码与本机的一个账号密码，并没有抓到域管理员的口令，在这台机器上挂3389的弱口令检查，用本机的账号密码去尝试域内其它主机，得到一大把主机。

图11 获取大量服务器登陆口令

做到这里时，客户终止了渗透行为，并没有进一步去尝试攻击域控主机，一方面是因为护网期间，与其它省市监测部门不好协商，另一方面也是因为该生产环境庞大，客户担心造成危险后果，遂终止。

总结

但在渗透测试过程中还有几点问题需要进一步思考，一是在内网扫描期间多次触发蜜罐报警与内网安全设备，如何快速、隐蔽的进行扫描需进一步学习与思考。二是在系统权限非system时，主机上安装有防护软件时的提权，免杀部分还需要进一步学习。