前言

这次流程大概是这样的：信息收集>>sso爆破>>jeecg getshell>>密码喷洒>>dcsync ，都是比较基础的操作。

getshell

刚开始通过信息收集从github一个项目里面找到了一些账号密码

登录进去之后知道了工号的规则

恰好他们是有用sso进行统一登录的，并且没有验证码，那就爆就完了，成功跑出来几个权限比较高的账号

sso里面的系统大部分都用的是jeecg比较老的版本，互联网已经有很多关于它的洞了，通过jeecg的通用文件上传，传了个马子

内网

该公司内网安全设备虽然不少但是并没有做什么限制，机器通核心段，生产网和办公网。我个人在内网比较喜欢先打一些集权系统，gitlab,wiki等，但是比较可惜，这些系统都是比较新的，无rce洞其中gitlab是可以注册账号，登入进去搜了一下发现了比较多的数据库密码，accesskey，mail的账号密码，至此云上的基本全控下来了

之后通过一些shiro，xxljob等一些洞拿到了一些shell，此时已经收集到了大量的凭据，并且也已经大概猜出来密码的构成
决定用kerbrute进行密码喷洒，拿到了一些域用户之后通过adcs的洞拿到了域控权限

ps:由于项目久远，当时并没有截很多图，抱歉。

原文链接:https://xz.aliyun.com/t/12466