和同事利用周末时间对某单位做了一次攻防，主要就是采用近源攻击手法，最后也是通过该单位的一台自助机器进入内网。

前期通过踩点，发现了一个大厅的挂号机器：

这里点击空白处进行输入，可以调动 windows 键盘：

通过操作弹出文件管理器

由于该主机不出网，直接查看他的网络适配器：

我们到找到了一个可以插网线的接口，然后插上接口，按照地址地址去配，内网直接通了，在夜深人静的时候直接偷家了。

先进行网段的信息收集，利用 gogo 工具收集一下 172、192、10 段所有可达的C段：（这里我忘记截图了，就本地演示一下效果）

参考：https://chainreactors.github.io/wiki/gogo/do/#c

扫描完后会在当前目录下生成一个 .dat 文件，直接解密该文件可获取C段

类似方法，收集完所有C段，fscan 直接开始扫弱口令，由于是半夜，所以直接开干，当前网络环境较好，直接 -np 扫弱口令：

再开一个 fscan 扫描漏洞：

最终扫描结果堪忧，就扫到了几台 ssh 弱口令，还不出网，一个漏洞都没扫到

找到了一个 fck 编辑器界面，利用文件上传拿到了一个 webshell：

该主机权限较低且有杀软，就没想着提权，在该主机上获取到了重要数据库地址，密码：

利用账号密码横到了机台数据库和主机：

接下来就是对这几台主机横过去，由于主机有杀软，利用 impacket 执行命令时无法回显，利用 wmiexec-pro.py 成功绕过命令执行（这就是离!）：

开启 3389 直接登录：

利用上面的账号密码直接横过去

在一台机器上的 radmin 找到一个重要平台机器

获取到百万数据：

接下来把这个平台的密码给 dump 出来，读取注册表，本地获取到 hash 密码：

利用该密码 hash 继续横向，也是这个密码拿下了域控：

利用 wmiexec-pro.py 开启 rdp-pth-service：

利用 xfreerdp 登陆：

发现报错，加条参数就解决了：

成功登陆域控，获取域控 dns 记录，发现存在着大量 his 服务器和 emr 服务器：

发现一个 vcenter 界面。利用 CVE-2021-21972 文件上传获取到一个低权限 webshell ：

利用

https://github.com/worawit/CVE-2021-3156/blob/main/exploit_userspec.py

创建一个 gg/gg 用户，获取到 root 权限：

做了一个计划任务做个权限维持：

后面我选择的是创建一个管理员用户来接管 vcenter：

https://github.com/3gstudent/Homework-of-Python/blob/master/vCenterLDAP_Manage.py

这里借助一下网上截图：

例如增加一个 apple@vsphere.local 的用户，username 就是用户名随便填，dn 这里需要把第一个 CN 改成前面填写的用户名，然后 DC 字段与获取到的 dcAccountDN 一致，userPrincipalName 这里就是真正的登录名，也需要与原本的保持一致，大概照着提示填写即可。

然后把用户加进管理员组

这里直接输入前面加用户的那个 dn 就行

200 多台机器，直接起飞，最后也是 vcenter 拿下门户网站和 oa 系统

这种攻击也是第一次尝试，还挺好玩的，内网渗透相对来说就比较简单，平时多积累一些工具和方法。打起来相对比较轻松一点。

关注公众号后台回复 0001 领取域渗透思维导图，0002 领取VMware 17永久激活码，0003 获取SGK地址，0004 获取在线ChatGPT地址，0005 获取 Windows10渗透集成环境，0006 获取 CobaltStrike 4.9.1破解版

加我微信好友，邀请你进交流群

备用号，欢迎关注