记一次大型内网渗透实践 【一】
本场景是基于"火天网境攻防演训靶场"进行搭建,通过靶场内置的演训导调、演训裁判以及演训运维功能可以对整个攻防演练过程进行管控和详尽的评估与复盘。
·场景名称
某大型内网渗透实践场景
·场景概述
本场景基于某业务架构进行搭建,场景内包含了100余台主机以及20余子网,内置相关应用,包括Web服务
邮件服务、文件服务、OA服务等,本场景多通过水坑攻击、钓鱼攻击、服务爆破等相关技术,其中包含了
Chrome漏洞利用、Office漏洞利用等。通过本场景可以进行相关攻防技术训练。
· 影响分析
本场景最后可以进行数据渗出,造成核心数据泄露。
·网络拓扑及攻击路径
·攻击目标
获取域控并拿到内网重要文件
·攻击过程
初始访问
访问靶场提供的地址:http://www.rangenet.cn,网站没有太多敏感漏洞可以利用。
网站中发现邮箱地址:liming@rangenet.cn
获取到邮箱后首先想到是否能够去进行钓鱼攻击,所以准备利用靶场提供域名服务造一个域名相似的网站
www.rangenet.com注册完成后访问进行网站伪造,下图则是伪造后的页面
放置后门程序
网站伪造完成后,需要生成相关的shell后门,利用msf进行后门程序的生成
在伪造网站的根目录下放置后门程序
访问伪造站点install.exe,可下载
后门监听
登录靶场提供的C2服务器。
在C2服务器上使用MSF进行监听
钓鱼邮件
向liming@rangenet.cn发送伪造域名的钓鱼链接,等待目标上线
第一台主机上线
目标网络主机上线(接收端通过AI机器人自动触发)
进程迁移
将后门程序进行进行迁移,防止掉线。
查看IP信息并添加路由
读取密码
获取system权限,读取密码
开启3389
利用Metepreter打开3389
设置代理
使用MSF开启socks代理监听
使用proxifier配置代理服务器
RDP登录
登录成功,这台主机应该是员工的主机,至此可以去翻一些敏感资料。
信息收集
通过信息搜集,没有发现很敏感的其他信息,此台主机也不在域内,所以需要想其他方法横向至其他
主机通过查看邮件,发现了一些其他员工的机器,所以要再次尝试邮件钓鱼。
CVE-2017-11882
这里用到了CVE-2017-11882进行新一轮的邮件钓鱼攻击,通过文档形式让内网主机上线。
首先需要上传PS_shell.rb到msf模块目录下,利用PS_shell生成doc后门文件并监听
cd /usr/share/metasploit-framework/modules/exploits/windows/
创建new目录
mkdir new
将PS_shell.rb放到new目录下在MSF中使用exploit/windows/new/PS_shell模块
将生成的后门文件放到C2服务器WEB根目录下
在liming办公机上下载1.doc文件
将1.doc作为附件对该邮箱发送钓鱼邮件,等待上线
关键主机权限获取
通过发送钓鱼邮件,我们可以等待目标主机的上线(AI行为),等待的时间也会有些漫长
但还好主机上线了。
对进程进行迁移防止连接断掉。
主机提权
准备使用MS14-058进行提权,并且通过提权脚本运行后门文件
首先利用msf生成.exe的后门文件。
上传提权软件及后门,利用提权软件运行后门程序
成功获取system权限
开启目标主机3389端口进行桌面查看
添加管理员账号
欲知后事,请听下回分解。
页:
[1]