一位練習時長兩年半的內網滲透練習生

前段時間看了一下內網滲透，所以想找個環境練習一下，恰好有個兄弟丟了個站點出來，一起“練習內網”，然后就開始了“實戰代練”。由於“懶”，所以記錄時間和截圖有些是補的。

0x00 外網入口點

打開站點（這里用baidu.com替代）看了看，左翻翻右翻翻能看到很明顯的“注入”點。簡單測試一下（and 1=1、1=2），返回不一樣，所以sqlmap一把梭。

Thread 10開十個線程，跑的能快點

sqlmap -u https://baidu.com/detail.asp?Prod=2222222222 --random-agent --thread 10

 

估計外國站和帶寬的原因，跑的很慢。所以走了一遍正常的信息收集:

真實ip:8.8.8.8
Web容器:Microsoft-IIS/7.5
子域名：
mailserver.baidu.com
mail.baidu.com
端口：80、443
......

發現頁面登錄處admin有個萬能密碼，登錄進去發現只有查看賬單的一些功能，所以沒用。

C段發現用同一套模板的站，判斷是屬同一家，所以也注入點跑了一遍。發現這個站跑的比目標站快很多，所以先搞。

 

--is-dba為dba權限，故os--shell試試，權限system

 

兩個站都是08系統+sql注入+dba權限+system權限，直接拿到權限一條龍。外網入口點太輕松，可忽略，抱着學內網的心態。都一樣的站，所以搞目標站。

0x01 中轉搗鼓

執行回顯得很慢，加了threads 10也是很慢。想着上cs和msf，死活不上線，懷疑有殺軟或者攔截協議或者其他。

ceye試一下 ping xxxxxxx.ceye.io

 

平台有記錄，能通外網。但是bitsadmin等下載命令都試了，不上線。走echo寫馬路線。

先找到web的目錄，目錄在C盤根目錄？

 

寫了n次馬子，愣是沒上去，位置不對還是有查殺小馬的玩意？嗯，位置不對（猜可能有其他盤，d盤bingo）和好像還有個殺馬子的玩意（用了個大小寫換下，^是轉義字符）。

 

 

0x02 驚現殺軟

查看進程，之前發現有進程有ekrn.exe，egui.exe（eset的進程），不會免殺的我浪死在沙灘上。之前在刀上能執行命令的，這次回去補圖居然執行不了命令了。sqlmap那個執行回顯太慢，找張內網機子的圖補一下（它內網機子都裝了eset）。

 

翻翻文件（無腦子的翻，不確定哪些重要哪些不重要，感覺都重要），看看有什么數據庫密碼什么的。找到一些配置文件，發現數據庫密碼、郵服密碼？。（在某個文件夾里面發現同行的腳本，應該沒被日穿吧。）

 

 

 

先留着這些賬號密碼，存着之后可以考慮進入內網開始爆破操作。

0x03 msf大殺四方

直接用之前獲取到的Sqlserver的sa賬號密碼，xp_cmdshell執行命令

 

Msf監聽接收到shell，然后開啟內網轉發進入內網。

 

run autoroute –s 網段

 

MS17-010安排上，秒殺內網開始

Use auxiliary/scanner/smb/smb_ms17_010
Set rhosts 網段ip
Set threads 線程
run

 

這很泰國ms17-010基本都沒打補丁。

 

搜集了一下信息，發現199ip很可能是個域控，存在大量用戶（199不出網，不通外網）。

因為殺軟問題直接利用ms17-010反彈shell是無法成功的，這里我們使用ms17-010命令執行的exp。

Use auxiliary/admin/smb/ms17_010_command
Set command 執行的命令
Set rhosts 目標
Run

 

 

Ok執行成功，添加用戶和管理組

然后regeorg配和proxifier用之前的外網口子進入內網（regeorg通過web腳本文件將內網流量轉發出來，具體可百度學習）

 

 

然后遠程到199ip的桌面，下面讓199ip主機反彈shell到msf。

 

我們已經拿到6的權限，可以使用微軟自帶的netsh轉發進行中轉shell。

我們這里設置的是將訪問ip 10.1.1.6 8081端口的流量全部轉發到外網vps 4478端口

 

 

199這個IP直接反彈shell到6的8081端口。（6會通過netsh設置轉發到公網VPS上）。

 

 

199這個主機也沒什么東西讀波密碼溜。（讀密碼需要system權限我們使用ms17-010進行提權）

通過ms17提權成功，讀密碼。

 

Load mimikatz 加載mimikatz

Kerberos 讀取明文

 

我們拿到了199的明文密碼。（下面我們利用此密碼進行撞C段主機）。

Use auxiliary/scanner/smb/smb_login
Set rhosts IP
Set smbuser 用戶名
Set smbpass 密碼
Set threads 線程
Run

 

撞出了大量主機

 

此時行總發來了電報說他腰疼，七夕節腰疼有點意思。

通過行總發來的文檔，得知內網存在5個C段，每個段都存在域控？？

前邊已經得知10ip主機存在ms17（通外網，直接添加管理員用戶）。

 

然后在進行IPC進行連接。

 

然后把馬copy到目標C盤。

 

使用ms17進行執行木馬反彈shell。

 

讀取密碼進行遠程桌面連接。

 

Run getgui –e 開啟遠程桌面。

 

 

域內沒有一台主機卧槽？域不要錢一樣的搭建。（我們把目標轉向1 IP主機 貌似還挺多域內主機 1的域為ESOURCE）。

 

1 IP主機沒有可利用系統漏洞，目標轉向域內用戶，碰碰運氣看能不能讀到域管理密碼。（先攻擊存在ms17的域內主機）

 

 

 

基本套路ms17添加用戶IPC上傳文件ms17執行木馬。（不要問我為啥不直接彈shell，因為殺軟攔截，為啥攔截？我不知道！）

讀了兩台域內主機的密碼，都沒有讀到域用戶密碼。（連個域普通用戶都沒有，拿到一個普通用戶還能搞個黃金票據）。

 

 

最后目標鎖定在79 IP上 他的本地管理員密碼和199 IP主機本地管理員密碼相同。

 

 

最后成功讀到一枚域管理密碼，deng登陸進去

 

這特碼是域環境？這特碼是工作組吧。

 

頭疼死了，其他段的域控制器不想搞了，本次內網滲透就此結束，遺憾的是沒用到黃金票據等一些拿域控的操作。~