本文僅為了學習交流,自己搭建靶機環境進行測試,嚴禁非法使用!!!
(隨筆僅為平時的學習記錄,若有錯誤請大佬指出)
一: 內網靶機分布
內網入口(攻擊者和該win10在同一網段,攻擊者無法訪問win10虛擬機中的主機)
win10 phpstudy thinkphpv5.0.24
域環境(均可以出網)
win7 phpstudy uploads-lab
win2003 jboss4.x漏洞
win2008 域控 雙網卡(其中一個網卡鏈接着下面的主機)
其他主機(以下主機在同一網段,不能出網,與域環境處於不同網段,只有域控可以訪問以下主機)
win7 Tomcat
win2008 Mssql
win2003
win2012 weblogic
攻擊思路:
拿下存下ThinkPhp漏洞的主機-開啟socks代理進入內網-通過uploads-lab上傳webshell拿下win7-通過weblogic漏洞拿下win2012dc-通過jboss4.x漏洞拿下win2003-通過MS14-068漏洞拿下域控-添加第二個網卡的路由-通過Tomcat漏洞拿下win7-解密win7的數據庫密碼拿下win2008權限-獲取win2008的遠程連接憑證拿下win2003-拿下全部主機
二:(Cobalt Strike3.14簡稱CS,Msfconsole簡稱MSF)
訪問win10的web服務,發現thinkphp存在漏洞,利用Exp進行getshell
上傳代理腳本,本地可以使用proxifier或者sockscap64工具開啟socks5代理,進入內網,方便后面訪問內網的web服務
訪問內網主機win7的web服務,是uploads-lab,存在文件上傳漏洞,(筆者用proxifier加上burpsuite,進行代理上傳,存在各種問題,故放棄,還望大佬告知,所以采用sockscap64,burpsuite就很穩)
打開cs,生成木馬上傳到目標服務器,進行內網橫向移動
獲得了域機器WIN7的Administrator權限,想要一個System權限,繼續對Win7進行提權,上傳Powerup.ps1腳本,尋找主機上存在可利用的服務
用cs生成木馬,用存在漏洞的服務去啟動木馬文件,用來獲得一個system權限
進行域信息收集,然后橫向移動
為了方便后面打通內網的其他主機,與msf進行聯動
調用Ladon插件,再次進行內網主機信息收集
可以上傳Nbtscan掃描,掃描結果比較清晰
MSF添加路由之后,掃描內網中常見的端口,主要從內網主機的web服務入手
對weblogic漏洞嘗試cve-2019-48814漏洞,通過cs生成一段powershell代碼,通過burpsuite將powershell代碼放入該漏洞的Exp中進行攻擊
訪問內網的8080端口的服務,可以很明顯的看到是JBOSS,(由於本地代理JAVA工具失敗,所以采用手工上傳Webshell,如果是Jboss5.x需要爆破賬戶密碼,后台進行上傳webshell)
通過下載vps上部署好的war包,拿下jboss的主機
為了抓取該主機上的憑證,將shell彈到自己的cs上,比較方便,生成exe木馬,上傳執行即可
抓取win2003的密碼,通過sockscap64代理Mstsc,遠程連接主機,並上傳Incognito,查找域成員的token(其實在CS上也可以通過steal_token來偽造域成員,但無奈沒有找到該進程)
獲取該域成員admin的NTLM HasH和Sid,后面用MS14-068漏洞來打域控,在vps添加socks4代理之后,用cs上獲取的域成員的明文密碼,加上該成員的SID,來打域控
拿下域控后,添加域管理員,想通過計划任務,來反彈一個shell(其實也可以采用cs的smb進行攻擊,也可以返回一個system權限),我在已經獲取win7主機權限之后,添加一個Listen監聽器(也就是開一個端口,注意添加一個入站規則,讓域控的shell反彈到該主機上)
獲取了域控的權限后,彈到MSF中,繼續進行信息收集,防止漏掉域環境中其他的域主機
發現域控存在第二個網卡,添加第二個網卡的路由,探測存活主機和端口
對存在Tomcat的主機進行攻擊,嘗試cve-2017-12615漏洞,看看能不能進行getshell
在Tomcat主機上添加用戶(需要用MS17-010去攻擊要提供該主機賬戶和密碼),發現菜刀無法上傳文件(不知道什么原因),由於在內網中,該主機是無法訪問到我們的vps的,采用MS17-010進行攻擊,由於主機無法出網,開啟正向的連接
探測該主機的進程的時候,發現Tomcat主機中有Navicat進程,便想拿到該數據庫的賬戶和密碼,在代理中開啟遠程桌面,連接遠程主機,打開遠程主機的Navicat的時候,是無法看到該密碼
查找注冊表,獲取密碼加密的字符串,使用大佬的工具進行解密就可以了
通過本地的sockscap64代理Navicat工具,遠程連接數據庫主機
添加賬戶,並加入管理員,由於該主機處於第二個網段中,無法訪問到我們的主機,而我們是可以訪問到該主機,故cs生成一個bind_tcp的監聽器,通過make_token將該木馬通過ipc上傳到目標主機上,然后由計划任務啟動,因為使用的是bind_tcp正向的監聽器,還需要在cs使用connect連接目標主機,才可以上線
win2008上線之后,導入pwd.ps1腳本,用於獲取該主機遠程連接其他主機的憑證,即另一台win2003的賬戶密碼,拿到憑證之后,既可以使用本地代理工具,進行連接
到此,全部主機拿下(由於第一天做的時候,已經傍晚了,故第二天沒有全部重啟靶機,只是打剩下的靶機,所以cs上並沒有全部呈現出來)
總結:
這次的內網靶機滲透,先是拿下一台web服務主機,以此為跳板,然后向內網橫向,通過掃描內網中常見的端口(21,22,1433,3306,3389,6379,80,8080,7001),可能會有意向不到的驚喜,通過中間件漏洞或者web服務拿下主機權限,然后獲取憑證,繼續橫向移動,嘗試Ms14-068,黃金票據,白銀票據去攻擊域控,cs和msf進行聯動可以發揮很大的作用,對於不出網的機器,可以采用smb,或者正向連接都可以,走到死胡同的時候,搜集一下主機上的數據庫,遠程連接憑證,或者TeamViewer信息,用相關工具破解密碼,或許有出其不意的效果。
本次的內網滲透,其實也可以有其他的思路,並沒有全部嘗試如(在MSF或者cs上采用NTLM hash認證去攻擊,或者使用相關工具去導出瀏覽器的的賬戶,密碼,采用CS上的提權腳本進行提權等等),其次沒有安裝相關的防護軟件,所以讓本次滲透也相對容易,真實環境中,要考慮木馬免殺,才可以操作。這里只是提供思路,都是常規操作,大佬勿噴,以上的攻擊思路,均有借鑒以下文章。
靶機環境有借鑒:http://vulnstack.qiyuanxuetang.net/vuln/detail/7/
https://www.i0day.com/1965.html
https://mp.weixin.qq.com/s/W84s12Nx5dXXvkXLoAU2iw
https://exp10it.cn/#/posts/67
未經授權許可,私自測試,均是違法行為,以上均是筆者自行搭建靶機環境進行測試,此文檔僅供學習,參與違法行為與筆者無關。