网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)

admin
admin
admin
52485
文章
32
评论
2022年5月26日02:45:20安全文章评论13 views1983字阅读6分36秒阅读模式
网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)

01:LLMNR/NBT-NS欺骗攻击


接下来会把目标转移到PROD(219)和TIME(176)



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)


这里会引入一种比较少见的内网攻击方法NBT-NS欺骗攻击。https://zhuanlan.zhihu.com/p/467240308具体理论可以看看这位大佬的介绍。简单的来讲就是说域内有台主机想找一个xxx,首先会询问DNSServer说你知不知道xxx,如果DNSServer说我也不知道以后就会全体广播。类似于全体目光看向我,我宣布个事谁知道xxx。这时候作为攻击者我们就假装说我就是xxx,然后顺便说请把密码交出来作为验证身份的需要。这时候就成功骗到这台机子的账号密码了。



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)


这里启用kali自带的responder,这里可以截获到来自219(PROD)的petersj的密码hash
命令:responder -I tun0 -v



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)




然后保存成txt文本,放到hashcat里面跑,但是会遇到一个问题就是有可能kali自带的rockyou.txt可能还不够强大。这时候需要借助下一些额外的规则文件去添加额外的字典组合。这里会用到GitHub上的规则文件,然后重新跑一跑就可以破解成功了。最后密码为Throwback317
https://github.com/NotSoSecure/password_cracking_rules/blob/master/OneRuleToRuleThemAll.rule
命令:hashcat-m 5600 xxx.txt /usr/share/wordlists/rockyou.txt -rOneRuleToRuleThemAll.rule –debug-mode=1 –debug-file=matched.rule



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)




网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)

02:枚举系统信息


这里可以用ssh登录以后看到目前PetersJ只是一个普通用户。下一步就是想办法提权了




网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)


这里先接收powerup.ps1枚举脚本然后用Invoke-AllChecks运行



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)


往下拉可以发现注册表里存放着一个用户密码。



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)


利用ssh重新登录新的账号密码发现是admin组的也算是成功控制了这台机子。



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)


网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)

03:后渗透阶段


下一个目标就是.176了。在得到一堆账号密码的时候其中登录墨菲的账号可以看到有个重置密码链接直接打开是打不开的。



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)


如果从本地是无法打开,但是我们从刚才控制的219开启远程登录确实可以直接打开的。证明了该域名就是176(TIME)如果想访问得挂代理进行访问。



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)


这里先让msf刚才上线的会话中使用post/multi/manage/autoroute模块,设置好刚才获得的session,然后在设置目标网段如setsubnet 10.200.29.0然后exploit即可



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)


然后再使用另外一个模块auxiliary/server/socks_proxy只需要设置version即可。然后检查下自己的proxychain设置文件端口是否一样。



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)


这里再用Foxyproxy插件填写对应的socks4信息



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)


最后成功访问。同时通过URL大概推测出用户名murphy密码就是PASSWORD



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)


登录进去以后点UploadTime Card里面有个文件上传功能。



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)


也没有那么简单任意文件上传只能接收xlsm的文件。那我们可以考虑在excel表里面进行宏注入。



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)


网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)

04:EXCEL宏注入


首先在EXCEL文件中打开选项选择信任中心点开宏设置勾选启用VBA宏,然后打开文件点宏随机创建一个宏



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)


进入以后用throwback提供的脚本只需要更改下URL



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)


这个URL是由MSF里面的windows/misc/hta_server所提供的把srvhost和lhost都填写自己的IP设置好端口以后就会生成一个URL复制回去。最后保存成xlsm格式文件上传等待几分钟成功接收到shell。由于shell直接是Administrator所以不用提权了。



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)


网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)

05:内网信息收集


这里目前控制了几台机子了,是时候可以进行域控定位和扫描下内网资源了这里我用的adPEAS,可以直接在GitHub上下载https://github.com/61106960/adPEAS运行方法很简单上传以后先以管理员身份把防火墙关了免得AMSI把脚本拦住不给执行。随后进入powershell模式导入以后输入命令Invoke-adPEAS即可。比如说收获到一个SQLService的ticket



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)


放到hashcat解密,密码为mysql337570。



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)


同时adPEAS找到backup具有dsync权限,后面会讲到。



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)


其中有一个域管理员是叫MercerH。



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)


域控为10.200.29.117



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)


同时和一个域森林Corporate.local是好朋友可以访问。



网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)



原文始发于微信公众号(神隐攻防实验室):网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月26日02:45:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集) http://cn-sec.com/archives/1050065.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: