AD

通过VOIP渗透内网域控

0x01概述

通过VOIP渗透内网域控。

0x02技术细节

通过探测VOIP内部端口探测,VOIP使用50605061两个端口来发现网络中支持VOIP的设备。每一个设备连接到WEB段的80端口。
查看一个VOIP电话的状态信息,可以发现一个文件没有更新成功,例如:SEPDC*****90.cnf.xml.sgn



由此可以将,所有VOIP电话通过TFTP方式下载最新的配置文件,TFTP服务运行在网络中的呼叫管理设备上。
通过VOIP电话上的设置菜单,可以找到呼叫管理设备上的TFTP地址:


可以通过该TFTP服务器获取SEPDC*****90.cnf.xml.sgn文件:



该配置文件包含如下信息,其中包含服务配置文件名称:SPDefault.cnf.xml


通过TFTP服务下载服务配置文件SPDefault.cnf.xml,在该文件中可以找到用于连接LDAP的域认证信息,该域认证信息的用户名格式为‘***mmunicatio*’



通过上面找到的域认证信息,可以连接到DC域控,然后枚举出来在该域中的所有用户。这个帐号只有查询和更新信息权限,没有RDP和添加用户等权限。


枚举用户时,可以使用一些常见的用户,例如mcafee*****n, sql-****n等。
然后利用netscan,可以找到有已经登录的管理员帐号,然后使用类似sql-****n的帐号连接RDP。如果运气好的话,可以找到一个正在运行RDP窗口的用户。
最后利用该用户,停掉安全防护软件,下载mimitatz,获取密码文件,找到管理员用户密码即可。


最后利用找到的管理员帐号登录到DC域控,将***-voip该用户添加至管理员用户组,世界将变得更加美好。










评论

此博客中的热门博文

简单粗暴导出小米便签

我——终于一个人了

Ubiquiti_Networks_UniFi_Cloud_Key_authed_rce