0x01 外網打點到Getshell

目標站點:

通過各種工具和在線網站,對子域名進行收集,并解析ip。發現主站存在CDN,使用fofa,搜索網站title、js等關鍵信息和子域名解析的ip對應的C段,發現真實ip。對真實ip的ip段進行掃描,發現一臺機器存在Weblogic中間件,使用exp進行測試,發現成功Getshell。

http://xxx.xxx.xxx.xxx:9001/
weblogic
CVE-2017-10271

administrator權限,使用免殺馬成功shell

0x02 內網滲透

有殺軟,做完免殺之后,直接上線CS,進行進程遷移。存在殺軟

寫入注冊表,做好權限維持,這里忘記截圖了。

shell reg add 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /f /v "dll" /t REG_SZ
 /d "rundll32 C:\Windows\Temp\log.dll start"

信息收集:

看了一下,當前存在域xxx,但不是域用戶,也無法使用命令查詢域環境,抓取不到密碼。

這里使用工作組滲透手法,先拿下域內的機器然后再進行域滲透操作,這里本想上傳fscan掃描內網,但在C:/windows/temp下發現有前輩上傳的fscan和掃描記錄,間隔時間兩天,可以拿來一用。掃描結果如下,域內漏洞還挺多的。

發現172.168.0.3(MAIN_FILESERVER)存在MS17010,該機器名表示著這臺機器可能是內網中重要的機器,使用MSF的模塊進行攻擊,發現成功上線。

在172.168.0.3機器上,發現當前為域用戶,可以使用命令查詢域環境,mimikatz抓取明文密碼和hash,并發現了域控帳戶密碼(太幸運了吧)。

xxx.COM\Administrator xxxxxx

信息收集結果如下:

域用戶

域管理員

域機器

域內機器大概有70-80臺左右,屬于一個小型的內網。

域控機器:

172.168.0.1:SERVER,單域控,域內結構還比較簡單。

各類密碼搜集:

查看當前機器上安裝的程序,如果有瀏覽器,那么就可以搜集瀏覽器的密碼,如果有安裝的數據庫,也可以找數據庫的配置文件,讀取帳戶密碼,總之,要對每一臺機器進行仔細地信息收集。得到域管理員賬戶密碼就可以進行密碼噴灑工具,先使用frp反向代理進行隧道搭建。這里也沒有截圖。

0x03 橫向滲透

將kali代理進內網,掃描內網存活機器,使用域管理員帳戶密碼,使用crackmapexec對域內進行密碼噴灑。

使用CS自帶的psexec對其他機器進行橫向滲透,部分機器無法上線,對不能直接CS上線的機器,使用impacket-wmiexec上線機器,然后上傳beacon.exe執行中轉上線。

無法上線的原因:
1. 賬號密碼不對。
2. 該賬戶密碼在目標機器上停用。
3. 存在殺軟攔截橫向滲透。

域滲透:

使用impacket-wmiexec和域管帳戶密碼對域控進行攻擊,發現成功執行命令,但無法上傳beacon.exe上線CS,判斷該機器上存在殺軟攔截beacon.exe,但不攔截橫向滲透。域控機器:

命令行注冊表開啟遠程桌面,發現一個大大的TeamView。

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

到這里已經完成了滲透目標。對域內部分重要機器進行截圖:

MAIN_FILESERVER機器

0x04 痕跡清理

清理日志和上傳的webshell、木馬和工具。

常見日志

應用程序日志文件:%systemroot%\system32\config\AppEvent.EVT;
安全日志文件:%systemroot%\system32\config\SecEvent.EVT;
系統日志文件:%systemroot%\system32\config\SysEvent.EVT;
DNS日志默認位置:%sys temroot%\system32\config,默認文件大小512KB
Internet信息服務FTP日志默認位置:%systemroot%\system32\logfiles\msftpsvc1\,默認每天一個日志;
Internet信息服務WWW日志默認位置:%systemroot%\system32\logfiles\w3svc1\,默認每天一個日志;
Scheduler服務日志默認位置:%sys temroot%\schedlgu.txt;

以上日志在注冊表里的鍵:

應用程序日志,安全日志,系統日志,DNS服務器日志,它們這些LOG文件在注冊表中的:HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog有的管理員很可能將這些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目錄。

Schedluler服務日志在注冊表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent

獲取日志分類列表:

wevtutil el >1.txt

查看指定日志的具體內容:

wevtutil qe /f:text "windows powershell"

獲取單個日志類別的統計信息:

wevtutil gli "windows powershell"

刪除單個日志類別的所有信息:

wevtutil cl "windows powershell"

0x05 攻擊結果

使用域管帳戶密碼對域內機器進行批量上線,部分被上線機器列表如下。

0x06 總結

1.外圍打點,注重資產收集,真實ip的尋找、攻擊面的擴大,平常要對各種0day進行收集,做好webshell的免殺,方便在項目中直接使用。

2.內網滲透,注重對內網機器的信息收集和機器定位,流量代理(有可能被殺,可以二次開發一些流量代理工具),做好木馬的免殺和權限維持,要有一套自己的內網滲透方法。

3.域滲透,對各類域滲透的攻擊手法和工具使用要熟悉,要判斷當前在域的結構,如果拿不下域控,可以嘗試對一些其余域內的重要服務器進行滲透,運氣好直接就能拿到域管帳戶密碼,那么整個域就相當于直接拿下了。

4.做好痕跡清理。

注冊表
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接