实战 | 记一次对某企业的一次内网渗透总结

admin 2022年8月24日02:56:51安全文章评论24 views2790字阅读9分18秒阅读模式

0x01 外网打点到Getshell

目标站点:

实战 | 记一次对某企业的一次内网渗透总结

通过各种工具和在线网站,对子域名进行收集,并解析ip。发现主站存在CDN,使用fofa,搜索网站title、js等关键信息和子域名解析的ip对应的C段,发现真实ip。对真实ip的ip段进行扫描,发现一台机器存在Weblogic中间件,使用exp进行测试,发现成功Getshell。

http://xxx.xxx.xxx.xxx:9001/
weblogic
CVE-2017-10271

administrator权限,使用免杀马成功shell

实战 | 记一次对某企业的一次内网渗透总结

0x02 内网渗透

有杀软,做完免杀之后,直接上线CS,进行进程迁移。存在杀软

实战 | 记一次对某企业的一次内网渗透总结


实战 | 记一次对某企业的一次内网渗透总结

写入注册表,做好权限维持,这里忘记截图了。

shell reg add 
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /f /v "dll" /t REG_SZ
/d "rundll32 C:WindowsTemplog.dll start"
信息收集
看了一下,当前存在域xxx,但不是域用户,也无法使用命令查询域环境,抓取不到密码。

实战 | 记一次对某企业的一次内网渗透总结

这里使用工作组渗透手法,先拿下域内的机器然后再进行域渗透操作,这里本想上传fscan扫描内网,但在C:/windows/temp下发现有前辈上传的fscan和扫描记录,间隔时间两天,可以拿来一用。扫描结果如下,域内漏洞还挺多的。

实战 | 记一次对某企业的一次内网渗透总结

发现172.168.0.3(MAIN_FILESERVER)存在MS17010,该机器名表示着这台机器可能是内网中重要的机器,使用MSF的模块进行攻击,发现成功上线。
在172.168.0.3机器上,发现当前为域用户,可以使用命令查询域环境,mimikatz抓取明文密码和hash,并发现了域控帐户密码(太幸运了吧)。
xxx.COMAdministrator xxxxxx
信息收集结果如下:


实战 | 记一次对某企业的一次内网渗透总结

域用户

实战 | 记一次对某企业的一次内网渗透总结

域管理员


实战 | 记一次对某企业的一次内网渗透总结

域机器


域内机器大概有70-80台左右,属于一个小型的内网。

实战 | 记一次对某企业的一次内网渗透总结

域控机器:
172.168.0.1:SERVER,单域控,域内结构还比较简单。
各类密码搜集:
查看当前机器上安装的程序,如果有浏览器,那么就可以搜集浏览器的密码,如果有安装的数据库,也可以找数据库的配置文件,读取帐户密码,总之,要对每一台机器进行仔细地信息收集。得到域管理员账户密码就可以进行密码喷洒工具,先使用frp反向代理进行隧道搭建。这里也没有截图。

0x03 横向渗透

将kali代理进内网,扫描内网存活机器,使用域管理员帐户密码,使用crackmapexec对域内进行密码喷洒。

实战 | 记一次对某企业的一次内网渗透总结

使用CS自带的psexec对其他机器进行横向渗透,部分机器无法上线,对不能直接CS上线的机器,使用impacket-wmiexec上线机器,然后上传beacon.exe执行中转上线。
无法上线的原因:
1. 账号密码不对。
2. 该账户密码在目标机器上停用。
3. 存在杀软拦截横向渗透。
域渗透:
使用impacket-wmiexec和域管帐户密码对域控进行攻击,发现成功执行命令,但无法上传beacon.exe上线CS,判断该机器上存在杀软拦截beacon.exe,但不拦截横向渗透。域控机器:

实战 | 记一次对某企业的一次内网渗透总结

命令行注册表开启远程桌面,发现一个大大的TeamView。
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

实战 | 记一次对某企业的一次内网渗透总结

实战 | 记一次对某企业的一次内网渗透总结

到这里已经完成了渗透目标。对域内部分重要机器进行截图:
MAIN_FILESERVER机器

实战 | 记一次对某企业的一次内网渗透总结


0x04 痕迹清理

清理日志和上传的webshell、木马和工具。

常见日志
应用程序日志文件:%systemroot%system32configAppEvent.EVT;
安全日志文件:%systemroot%system32configSecEvent.EVT;
系统日志文件:%systemroot%system32configSysEvent.EVT;
DNS日志默认位置:%sys temroot%system32config,默认文件大小512KB
Internet信息服务FTP日志默认位置:%systemroot%system32logfilesmsftpsvc1,默认每天一个日志;
Internet信息服务WWW日志默认位置:%systemroot%system32logfilesw3svc1,默认每天一个日志;
Scheduler服务日志默认位置:%sys temroot%schedlgu.txt;
以上日志在注册表里的键:
应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的:HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。
Schedluler服务日志在注册表中HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent
获取日志分类列表:
wevtutil el >1.txt

实战 | 记一次对某企业的一次内网渗透总结

查看指定日志的具体内容:
wevtutil qe /f:text "windows powershell"

实战 | 记一次对某企业的一次内网渗透总结

获取单个日志类别的统计信息:
wevtutil gli "windows powershell"

实战 | 记一次对某企业的一次内网渗透总结

删除单个日志类别的所有信息:
wevtutil cl "windows powershell"

实战 | 记一次对某企业的一次内网渗透总结


0x05 攻击结果

使用域管帐户密码对域内机器进行批量上线,部分被上线机器列表如下。

实战 | 记一次对某企业的一次内网渗透总结

实战 | 记一次对某企业的一次内网渗透总结

0x06 总结


1.外围打点,注重资产收集,真实ip的寻找、攻击面的扩大,平常要对各种0day进行收集,做好webshell的免杀,方便在项目中直接使用。
2.内网渗透,注重对内网机器的信息收集和机器定位,流量代理(有可能被杀,可以二次开发一些流量代理工具),做好木马的免杀和权限维持,要有一套自己的内网渗透方法。
3.域渗透,对各类域渗透的攻击手法和工具使用要熟悉,要判断当前在域的结构,如果拿不下域控,可以尝试对一些其余域内的重要服务器进行渗透,运气好直接就能拿到域管帐户密码,那么整个域就相当于直接拿下了。
4.做好痕迹清理。

实战 | 记一次对某企业的一次内网渗透总结

推荐阅读:


干货 | Twitter渗透技巧搬运工(一)


干货 | Twitter渗透技巧搬运工(二)


干货 | Twitter渗透技巧搬运工(三)


干货 | Github安全搬运工 2022年第十五期


干货 | Github安全搬运工 2022年第十六期


实战 | WAF-Bypass之SQL注入绕过思路总结


点赞,转发,在看


作者:Wangfly

作者博客:https://www.hui-blog.cool/posts/4b95.html
如有侵权,请联系删除

实战 | 记一次对某企业的一次内网渗透总结

原文始发于微信公众号(HACK学习呀):实战 | 记一次对某企业的一次内网渗透总结

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月24日02:56:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  实战 | 记一次对某企业的一次内网渗透总结 http://cn-sec.com/archives/1249440.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: