记一次内网横向破解管理员密码

前言

本文章所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。
外网打点

首先一波信息收集过后，把最后收集的到的 url 拿到 httpx 去做一下存活检测

[img=720,772.0636363636364]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/3f88abf1-2ae9-4f81-9fd3-a2012f0344be.png[/img]

httpx 测活一下

[img=720,421.704]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/719ce1ac-8dea-4b26-9e9c-a5fe6ddbb949.png[/img]

测完活之后，搞波指纹

[img=720,304.704]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/936bc40e-2f42-4dc2-bf6c-21757229323e.png[/img]

指纹到手，这边一般我都是拿高危指纹去漏扫一下
然后找到了一个站点
GETshell

之后找到了一个站点

直接访问如下，相信这种情况很常见，别急，其实还有利用空间，然后我对它目录扫描了一波
发现竟然有

[img=720,383.1403636363636]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/7fe6ae18-5276-4f97-a613-f89c2eddd3d4.png[/img]

/api/actuator 泄露，这个利用的手法很多
【----帮助网安学习，以下所有学习资料免费领！加vx：YJ-2021-1，备注 “博客园” 获取！】
　① 网安学习成长路径思维导图
　② 60+网安经典常用工具包
　③ 100+SRC漏洞分析报告
　④ 150+网安攻防实战技术电子书
　⑤ 最权威CISSP 认证考试指南+题库
　⑥ 超1800页CTF实战技巧手册
　⑦ 最新网安大厂面试题合集（含答案）
　⑧ APP客户端安全检测指南（安卓+IOS）
先遍历访问一下常见的接口
但是这个点接口权限不够，比如常见的 env 和 heapdump 访问不到

[img=720,577.9232727272728]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/c1951f06-eeb5-4495-854e-a93a14de7323.png[/img]

[img=720,722.5636363636364]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/31680e71-93aa-434c-bacb-6afecf7f6794.png[/img]

决定溜了的时候发现 bp 我的 dns 平台传来了动静

[img=720,298.9232727272727]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/37628126-ec77-465f-9b6c-c2294f7af8d5.png[/img]

[img=720,399.8454545454546]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/31f6b564-4282-4d44-a174-144dfe373cc6.png[/img]

竟然有 log4j
呜呜呜，网上一堆工具，打 log4j 都到完全自动化的地步了
CS 生成一个命令，上线到 cs 上，因为不好传文件，就执行命令

1. 07/23 15:13:23 beacon> shell whoami
2. 07/23 15:13:23 [*] Tasked beacon to run: whoami
3. 07/23 15:13:23 [+] host called home, sent: 37 bytes
4. 07/23 15:13:23 [+] received output:
5. xxxxxx\administrator
6. ​

复制代码

内网启动
内网信息收集

首先简单看下内网的网段

[img=720,354.0676363636364]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/40fbbac9-424d-42f6-9cd3-4ab640f3f6cf.png[/img]

找到了内网之后我们就需要查看存活情况了，我的 fscan 没有免杀，这里只能随便看看了
随便 arp-a 看了一下

[img=720,732.8454545454546]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/94ba9c05-065a-4821-9653-cb357b0d6fbc.png[/img]

发现 c 段的主机还是很多的
systeminfo

[img=720,670.5]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/89f742f2-34f3-4145-bcd6-8eea83b081bf.png[/img]

win2012 的用户，不过已经是高权限了，也没有必要提权了
然后我发现在域的时候我就先不管了，先找找凭据
凭据收集

[img=720,575.3454545454546]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/adc4d8e5-0dbb-4c47-8043-18c570715819.png[/img]

这里没有抓取到密码
然后自己尝试了半天，大师傅提示了一些东西，我觉得这个思路也不错，下面讲讲是如何突破的
突破

当时因为还拿下了一台主机，而且是同一个内网的
查询连接信息的时候查到了之前的那个内网，我就想着可以尝试使用 DPAPI
DPAPI 是 Windows 系统用来加密敏感数据（比如用户保存的密码、浏览器凭据、无线密码等）的一个加密机制
MasterKey 就是一串“主密钥”，是每个用户登录 Windows 后系统自动为其生成的，用来加密和解密数据的“钥匙”
流程

1. [ 用户口令 → 派生 Key1 ]       ← 用来加密 MasterKey
2.       ↓
3. [ MasterKey ]               ← 用来加密 DPAPI 中的密码等敏感数据
4.       ↓
5. [ 某个应用的数据（如 WiFi 密码） ]

复制代码

1. GUID      : {3cef9fc0-4319-42da-80ff-9e74470a9f7c}
2. Time      : 2025/2/4 0:23:08
3. MasterKey : aed5fc1156359826c231e1079996c769cf1ee...
4. sha1(key) : deb68bc117a3323d424a7d21a86173438e2419f7

复制代码

 

[img=720,197.02702702702703]https://www.yijinglab.com/headImg.action?news=42e41318-5b02-4e20-a76c-19feea547a5c.png[/img]

Master Key Files

存放密钥的文件则被称之为 MasterKeyFiles，其路径一般为 %APPDATA%/Microsoft/Protect/%SID%。而这个文件中的密钥实际上是随机 64 位字节码经过用户密码等信息的加密后的密文，所以只需要有用户的明文密码/Ntlm/Sha1 就可以还原了。
当然除了 GUID 命名的文件之外，还有 Preferred，显示当前系统正在使用的 MasterKey file 及其过期时间
我这里去寻找一下 amdin 的凭证

[img=720,859.4312727272727]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/72b7002e-6efb-4759-8e7b-e776c57d70e6.png[/img]

直接拿最新的那个
然后去获取 guid

[img=720,446.14036363636365]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/c0f06252-8cc4-4db2-a329-916127ff4079.png[/img]

之后通过这个 guid，我们去寻找 masterkey
首先需要把全部的 masterkey 找出来

1. mimikatz sekurlsa::dpapi

复制代码

sekurlsa::dpapi 会从 lsass 中提取当前用户登录会话的 DPAPI MasterKey 解密材料（如密码、hash、SID 等），用于离线解密各种 DPAPI 加密的凭据文件
因为内容很多，直接把结果复制到记事本

[img=720,867.5596363636363]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/5ff34fac-f300-40a8-bf27-cf86e6798e06.png[/img]

然后搜索一下

[img=720,833.7818181818182]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/4d168d8e-d11d-4ac6-82f4-535f96b54203.png[/img]

太好了，找到了，然后我们直接去破解

1. mimikatz dpapi::cred
2. /in:C:\Users\Administrator\appdata\local\microsoft\credentials\xxxxx /masterkey:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

复制代码

[img=720,520.7040000000001]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/b46e3261-a31c-4f2b-8e38-44c839e47d65.png[/img]

直接获取到了管理员的密码
而且这个密码应该是集团的通用密码，后续发现这个这个内网网段的管理员都是这个密码
远程其他网段的桌面

[img=720,552.9]https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/e7d0e2a2-b9ea-4ae1-8a79-c54bb2b2645a.png[/img]

利用这个密码，横向了大概有 9 台主机
更多网安技能的在线实操练习，请点击这里>>
  

来源：豆瓜网用户自行投稿发布，如果侵权，请联系站长删除